跳过内容
Capgo - 实时更新您的 Capacitor 应用 Capgo

Supabase Google 登录 - 一般设置

GitHub

简介

简介部分

本指南将指导您如何使用 Capacitor 社交登录插件,集成 Google Sign-In 与 Supabase 身份验证。该设置允许您在移动平台上使用本机 Google Sign-In,同时利用 Supabase Auth 进行后端身份验证。

前提条件

前提条件部分

在开始之前,请确保您已完成以下步骤:

  1. 创建 Supabase 项目

  2. 阅读 Google 登录通用设置 指南以设置 Google OAuth 凭证

  3. 遵循各个平台的指南以设置 Google OAuth 凭证

在 Supabase 中启用 Google OAuth 提供者

标题:在 Supabase 中启用 Google OAuth 提供者

  1. 前往您的 Supabase 控制台

  2. 点击您的项目

    Supabase 项目选择器

  3. 请前往菜单 Authentication 菜单

    Supabase 认证菜单

  4. 点击 Providers 选项卡

    Supabase 提供商选项卡

  5. 找到 Google 提供商

    Supabase Google 提供商

  6. 启用提供商

    Supabase Google 提供商启用

  7. 为您计划使用的平台添加客户端 ID

    Supabase Google Provider Add Client IDs

  8. 点击 Save 按钮

    Supabase Google Provider Save

Google Sign-In with Supabase 身份验证助手的工作原理

Google Sign-In with Supabase 身份验证助手的工作原理

本节解释了 Supabase 与 Google Sign-In 的整合背后的工作原理。了解此流程将有助于您实施和调试身份验证过程。

完整实现

1. 随机数生成

Section titled “1. 随机数生成”

实现生成一个安全的随机数对,遵循 Supabase 随机数要求 Supabase 随机数要求:

// Generate URL-safe random nonce
function getUrlSafeNonce(): string {
  const array = new Uint8Array(32);
  crypto.getRandomValues(array);
  return Array.from(array, (byte) => byte.toString(16).padStart(2, '0')).join('');
}


// Hash the nonce with SHA-256
async function sha256Hash(message: string): Promise<string> {
  const encoder = new TextEncoder();
  const data = encoder.encode(message);
  const hashBuffer = await crypto.subtle.digest('SHA-256', data);
  const hashArray = Array.from(new Uint8Array(hashBuffer));
  return hashArray.map((b) => b.toString(16).padStart(2, '0')).join('');
}


// Generate nonce pair
async function getNonce(): Promise<{ rawNonce: string; nonceDigest: string }> {
  const rawNonce = getUrlSafeNonce();
  const nonceDigest = await sha256Hash(rawNonce);
  return { rawNonce, nonceDigest };
}

流程:

  • rawNonce: URL 安全的随机字符串(64 个十六进制字符)
  • nonceDigest: SHA-256 哈希值 rawNonce (十六进制编码)
  • nonceDigest 传递给 Google Sign-In → Google 将随机数摘要包含在 ID 令牌中
  • rawNonce 传递给 Supabase → Supabase 哈希原始随机数并与令牌的随机数进行比较

2. Google Sign-In

Section titled “2. Google Sign-In”

函数初始化插件并使用 Google 登录:

await SocialLogin.initialize({
  google: {
    webClientId: 'YOUR_WEB_CLIENT_ID.apps.googleusercontent.com',
    // iOS only:
    iOSClientId: 'YOUR_IOS_CLIENT_ID.apps.googleusercontent.com',
    mode: 'online', // Required to get idToken
  },
});


const response = await SocialLogin.login({
  provider: 'google',
  options: {
    scopes: ['email', 'profile'],
    nonce: nonceDigest, // Pass the SHA-256 hashed nonce
  },
});

3. JWT 验证

Section titled “3. JWT 验证”

在将令牌发送到 Supabase 之前,实现验证 JWT 令牌:

function validateJWTToken(idToken: string, expectedNonceDigest: string): { valid: boolean; error?: string } {
  const decodedToken = decodeJWT(idToken);


  // Check audience matches your Google Client IDs
  const audience = decodedToken.aud;
  if (!VALID_GOOGLE_CLIENT_IDS.includes(audience)) {
    return { valid: false, error: 'Invalid audience' };
  }


  // Check nonce matches
  const tokenNonce = decodedToken.nonce;
  if (tokenNonce && tokenNonce !== expectedNonceDigest) {
    return { valid: false, error: 'Nonce mismatch' };
  }


  return { valid: true };
}

为什么在 Supabase 之前验证?

验证 JWT 令牌在发送令牌到 Supabase 之前有几个重要的目的:

  1. 防止无效请求: 如果令牌的受众或 nonce 不匹配,Supabase 将拒绝令牌。验证首先避免了不必要的 API 调用并提供了更清晰的错误消息。

  2. 令牌缓存问题:某些平台(尤其是iOS)上,Google Sign-In SDK 可能会缓存令牌以提高性能。当缓存令牌返回时,缓存令牌可能使用不同的 nonce(或无 nonce)生成,导致 Supabase 拒绝令牌并显示“nonce 匹配错误”。通过在发送到 Supabase 之前验证令牌,我们可以尽早检测到此问题并自动重试使用新令牌。

  3. 安全 (iOS): 在 iOS 上,验证确保令牌是为您的特定 Google Client IDs 发出的,防止使用其他应用程序的令牌引起潜在安全问题。

  4. 更好的错误处理:检测问题之前 Supabase 允许自动重试逻辑,这对于在 iOS 缓存问题下进行透明处理至关重要。

如果验证失败,函数自动:

  1. 从 Google 登出(清除缓存令牌 - iOS 上至关重要)
  2. 尝试一次重新认证(强制使用正确 nonce 的新令牌生成)
  3. 如果重试也失败,返回错误

4. Supabase Sign-In

标题:4. Supabase Sign-In

最后,经过验证的令牌被发送到 Supabase:

const { data, error } = await supabase.auth.signInWithIdToken({
  provider: 'google',
  token: googleResponse.idToken,
  nonce: rawNonce, // Pass the raw (unhashed) nonce
});

完成Code参考

标题为“完成Code参考”的部分

完整实现可在 示例应用的 supabaseAuthUtils.ts 文件中找到,包括:

  • getUrlSafeNonce() - 生成 URL 安全的随机非对称密钥
  • sha256Hash() - 使用 SHA-256 对字符串进行散列
  • getNonce() - 生成非对称密钥 pair
  • decodeJWT() - 解码 JWT 令牌
  • validateJWTToken() - 验证 JWT 受众和非对称密钥
  • authenticateWithGoogleSupabase() - 主要身份验证函数,自动重试

更多示例文件

标题:更多示例文件

下一步

标题:下一步

请前往针对目标平台的设置指南:

从 Supabase Google 登录 - 通用设置继续

标题:从 Supabase Google 登录 - 通用设置继续

如果您正在使用 Supabase Google 登录 - 通用设置 来规划身份验证和帐户流程,连接它到 使用 @capgo/capacitor-social-login 为在使用 @capgo/capacitor-social-login 中的原生能力 使用 @capgo/capacitor-social-login 为在 @capgo/capacitor-social-login 中的实现细节 使用 @capgo/capacitor-passkey 为在 @capgo/capacitor-passkey 中的实现细节 使用 @capgo/capacitor-native-biometric 对于 @capgo/capacitor-native-biometric 的实现细节 双因素认证 对于双因素认证的实现细节