Pengaturan Umum Login Google Supabase

Pendahuluan

Panduan ini akan memandu Anda melalui integrasi Sign-In Google dengan Supabase Authentication menggunakan plugin Capacitor Social Login. Konfigurasi ini memungkinkan Anda menggunakan Sign-In Google asli pada platform mobile sambil memanfaatkan Supabase Auth untuk autentikasi backend.

Persyaratan Sebelumnya

Sebelum memulai, pastikan Anda telah:

1. Membuat proyek Supabase

2. Baca panduan Pengaturan Google Login Umum panduan untuk mengatur kredit OAuth Google

3. Ikuti panduan platform khusus yang relevan untuk mengatur kredit OAuth Google untuk platform target Anda:

   • Pengaturan Android
   • Pengaturan iOS
   • Pengaturan Web

   Peringatan

   Sebelum memulai tutorial Supabase, Anda perlu menghasilkan ID klien untuk platform yang Anda rencanakan untuk digunakan. Anda akan menggunakan mereka di langkah 7 dari panduan ini.

Mengaktifkan penyedia OAuth Google di Supabase

1. Pergi ke akun Dashboard Supabase

2. Klik pada proyek Anda

   

3. Pergi ke menu Authentication Menu

   

4. Klik pada Providers Tab

   

5. Temukan Google Pengembang

   

6. Aktifkan penyedia

   

7. Tambahkan ID klien untuk platform yang Anda rencanakan untuk digunakan

   

   Catatan

   Hal ini termasuk ID klien web, ID klien iOS dan ID klien Android. Anda dapat melewatkan menyediakan beberapa di antaranya, tergantung pada platform yang Anda gunakan.

8. Klik pada tombol Save tombol

   

Catatan

Anda HARUS TIDAK mengatur Client Secret (for OAuth) atau Callback URL (for OAuth). Beberapa sumber mungkin juga menyarankan untuk mengatur Skip nonce checks untuk Google di iOS, tetapi dengan panduan ini hal ini tidak perlu.

Voilà, Anda telah mengaktifkan Sign-In Google dengan Supabase Authentication 🎉

Bagaimana Google Sign-In dengan Supabase Authentication Helper Bekerja

Bagian ini menjelaskan bagaimana integrasi Sign-In Google dengan Supabase bekerja di balik layar. Memahami alur ini akan membantu Anda mengimplementasikan dan menyelesaikan masalah autentikasi.

Implementasi Lengkap

Implementasi lengkap tersedia di file aplikasi contoh. supabaseAuthUtils.ts 1. Penghasilan Nonce

Bagian berjudul “1. Penghasilan Nonce”

kebutuhan nonce Supabase Salin ke clipboard:

// Generate URL-safe random nonce
function getUrlSafeNonce(): string {
  const array = new Uint8Array(32);
  crypto.getRandomValues(array);
  return Array.from(array, (byte) => byte.toString(16).padStart(2, '0')).join('');
}

// Hash the nonce with SHA-256
async function sha256Hash(message: string): Promise<string> {
  const encoder = new TextEncoder();
  const data = encoder.encode(message);
  const hashBuffer = await crypto.subtle.digest('SHA-256', data);
  const hashArray = Array.from(new Uint8Array(hashBuffer));
  return hashArray.map((b) => b.toString(16).padStart(2, '0')).join('');
}

// Generate nonce pair
async function getNonce(): Promise<{ rawNonce: string; nonceDigest: string }> {
  const rawNonce = getUrlSafeNonce();
  const nonceDigest = await sha256Hash(rawNonce);
  return { rawNonce, nonceDigest };
}

: String acak yang aman untuk URL (64 karakter hex)

• rawNonce: Hash SHA-256 dari
• nonceDigestFlow: rawNonce (kode hex)
• nonceDigest diarahkan ke Google Sign-In → Google mencantumkan digest nonce dalam token ID
• rawNonce diarahkan ke Supabase → Supabase menghash nonce mentah dan membandingkannya dengan nonce token

2. Google Sign-In

Fungsi ini menginisialisasi plugin dan masuk dengan Google:

await SocialLogin.initialize({
  google: {
    webClientId: 'YOUR_WEB_CLIENT_ID.apps.googleusercontent.com',
    // iOS only:
    iOSClientId: 'YOUR_IOS_CLIENT_ID.apps.googleusercontent.com',
    mode: 'online', // Required to get idToken
  },
});

const response = await SocialLogin.login({
  provider: 'google',
  options: {
    scopes: ['email', 'profile'],
    nonce: nonceDigest, // Pass the SHA-256 hashed nonce
  },
});

3. Validasi JWT

Sebelum mengirimkan token ke Supabase, implementasi melakukan validasi token JWT:

function validateJWTToken(idToken: string, expectedNonceDigest: string): { valid: boolean; error?: string } {
  const decodedToken = decodeJWT(idToken);

  // Check audience matches your Google Client IDs
  const audience = decodedToken.aud;
  if (!VALID_GOOGLE_CLIENT_IDS.includes(audience)) {
    return { valid: false, error: 'Invalid audience' };
  }

  // Check nonce matches
  const tokenNonce = decodedToken.nonce;
  if (tokenNonce && tokenNonce !== expectedNonceDigest) {
    return { valid: false, error: 'Nonce mismatch' };
  }

  return { valid: true };
}

Mengapa melakukan validasi sebelum Supabase?

Validasi token JWT sebelum mengirimkan token ke Supabase memiliki beberapa tujuan penting:

1. Mencegah Permintaan Tidak Sah: Jika token memiliki audiens atau nonce yang salah, Supabase akan menolak token tersebut. Validasi terlebih dahulu menghindari panggilan API yang tidak perlu dan memberikan pesan kesalahan yang lebih jelas.

2. Issue Cache Token: Pada beberapa platform (terutama iOS), Google Sign-In SDK dapat menyimpan token untuk meningkatkan kinerja. Ketika token yang disimpan dikembalikan, token yang disimpan mungkin telah dibuat dengan nonce yang berbeda (atau tidak ada nonce sama sekali), sehingga Supabase menolak token tersebut dengan pesan kesalahan “nonce mismatch”. Dengan melakukan validasi sebelum mengirimkan ke Supabase, kita dapat mendeteksi masalah ini lebih awal dan secara otomatis mengulangi dengan token yang segar.

3. Keamanan (iOS): Validasi memastikan token tersebut diterbitkan untuk ID Klien Google yang spesifik, sehingga mencegah potensi masalah keamanan dari menggunakan token yang dimaksudkan untuk aplikasi lain.

4. Pengelolaan Kesalahan yang Lebih Baik: Mendeteksi masalah sebelum Supabase memungkinkan logika ulang otomatis, yang sangat penting untuk mengelola masalah cache iOS secara transparan.

Jika validasi gagal, fungsi tersebut secara otomatis:

1. Keluar dari Google (membersihkan token yang disimpan - sangat kritis pada iOS)
2. Ulangi autentikasi sekali (memaksa pembuatan token segar dengan nonce yang benar)
3. Jika ulang juga gagal, kembali error

4. Supabase Sign-In

Akhirnya, token yang telah diverifikasi dikirim ke Supabase:

const { data, error } = await supabase.auth.signInWithIdToken({
  provider: 'google',
  token: googleResponse.idToken,
  nonce: rawNonce, // Pass the raw (unhashed) nonce
});

Complete Code Reference

Implementasi lengkap tersedia di contoh aplikasi’s supabaseAuthUtils.ts file, yang mencakup:

• getUrlSafeNonce() - Membuat URL-aman acak nonce
• sha256Hash() - Menghash string dengan SHA-256
• getNonce() - Membuat pasangan nonce
• decodeJWT() - Membuka token JWT
• validateJWTToken() - Mengvalidasi audiens dan nonce JWT
• authenticateWithGoogleSupabase() - Fungsi autentikasi utama dengan retry otomatis

Contoh File Tambahan

• SupabasePage.tsx - Komponen contoh dengan penanganan redirect (Web)
• SupabaseCreateAccountPage.tsx - Halaman contoh pembuatan akun

Langkah-Langkah Selanjutnya

Silakan lanjutkan ke panduan pengaturan platform khusus untuk platform target Anda:

• Pengaturan Android
• Pengaturan iOS
• Pengaturan Web