GoogleはOne Tapというサインインサービスを提供している。 
ユーザのGoogleアカウントを使って他のサービスにサインインできるようになったりプロフィールを共有したりする。サイトにアクセスしたら右上に出てくるやつ。 
それをRailsサービスに最速で導入する手引き。
<img src="https://storage.googleapis.com/zenn-user-upload/02287fc0ed6e-20211119.png" alt loading="lazy" class="md-img">
<h1 id="%E4%BA%8B%E5%89%8D%E6%BA%96%E5%82%99">
<a class="header-anchor-link" href="#%E4%BA%8B%E5%89%8D%E6%BA%96%E5%82%99" aria-hidden="true"></a> 事前準備</h1>
<h2 id="googleapi%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88id%E3%81%AE%E5%8F%96%E5%BE%97">
<a class="header-anchor-link" href="#googleapi%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88id%E3%81%AE%E5%8F%96%E5%BE%97" aria-hidden="true"></a> GoogleAPIクライアントIDの取得</h2>
<a href="https://developers.google.com/identity/gsi/web/guides/get-google-api-clientid" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a>に従って<a href="https://console.cloud.google.com/apis/credentials" target="_blank" rel="nofollow noopener noreferrer">Google Cloud Platform</a>でOAuth 2.0 Client IDを作って取得する。公式ドキュメントにもある通り、 <code>Authorized JavaScript origins</code> に <code>localhost</code> も追加する必要があるのが注意点。
<h1 id="one-tap-%E8%A1%A8%E7%A4%BA">
<a class="header-anchor-link" href="#one-tap-%E8%A1%A8%E7%A4%BA" aria-hidden="true"></a> One Tap 表示</h1>
まずライブラリを読み込む。全ページに表示させるなら <code>application.html.erb</code> に入れておく。
<div class="code-block-container"><pre class="language-html"><code class="language-html">&lt;script src="https://accounts.google.com/gsi/client" async defer&gt;&lt;/script&gt;
</code></pre></div>次にOne Tapを表示させるコードを入れる。
<div class="code-block-container"><pre class="language-erb"><code class="language-erb">&lt;div id='g_id_onload'
 data-client_id='ここにGoogleAPIクライアントIDを入れる'
 data-login_uri='ここにCallBack URLを入れる'
 data-prompt_parent_id='g_id_onload'
 style='position: fixed; top: 76px; right: 16px;'
 data-authenticity_token='&lt;%= form_authenticity_token %&gt;'&gt;
&lt;/div&gt;
</code></pre></div>必須なのはdivのid、クライアントIDそれにCallBack URLだけ。位置を調整するために <code>data-prompt_parent_id</code> と <code>style</code> を指定している。 
ユーザがOne Tapを利用するとCallBack URLにPOSTリクエストが来る。なのでCSRFトークンを渡すために <code>data-authenticity_token</code> も指定しておく。
これでOne Tapが表示される。
<h1 id="callback">
<a class="header-anchor-link" href="#callback" aria-hidden="true"></a> CallBack</h1>
ユーザがOne TapをクリックしてGoogleによる認証が終わった後にアクセスしてくるCallBackエンドポイントを作る。 
必要なのはユーザ情報の取得とその情報を使って登録したりログインしたりする処理。登録やログインは各サービスでまちまちなのでここでは割愛。 
送られてくるユーザ情報の認証には<a href="https://github.com/googleapis/google-auth-library-ruby" target="_blank" rel="nofollow noopener noreferrer">googleauth</a>を使うと楽。署名とクライアントIDの両方をチェックしてくれる
<div class="code-block-container"><pre class="language-ruby"><code class="language-ruby">class GoogleOneTapController &lt; ApplicationController
 def callback
 payload = Google::Auth::IDTokens.verify_oidc(params[:credential], aud: 'ここにGoogleAPIクライアントIDを入れる')
 
 # 登録・ログイン処理
 rescue Google::Auth::IDTokens::SignatureError, Google::Auth::IDTokens::AudienceMismatchError =&gt; e
　 　　# 署名やクライアントIDが不正な場合の処理
 end
end
</code></pre></div>なお、payloadにはemailやnameが入っている。 
cf. <a href="https://developers.google.com/identity/gsi/web/reference/js-reference#credential" target="_blank" rel="nofollow noopener noreferrer">クレデンシャル</a>
<div class="code-block-container"><pre class="language-ruby"><code class="language-ruby">payload
{
 "iss": "https://accounts.google.com", // The JWT's issuer
 "nbf": 161803398874,
 "aud": "314159265-pi.apps.googleusercontent.com", // Your server's client ID
 "sub": "3141592653589793238", // The unique ID of the user's Google Account
 "hd": "gmail.com", // If present, the host domain of the user's GSuite email address
 "email": "elisa.g.beckett@gmail.com", // The user's email address
 "email_verified": true, // true, if Google has verified the email address
 "azp": "314159265-pi.apps.googleusercontent.com",
 "name": "Elisa Beckett",
 // If present, a URL to user's profile picture
 "picture": "https://lh3.googleusercontent.com/a-/e2718281828459045235360uler",
 "given_name": "Elisa",
 "family_name": "Beckett",
 "iat": 1596474000, // Unix timestamp of the assertion's creation time
 "exp": 1596477600, // Unix timestamp of the assertion's expiration time
 "jti": "abc161803398874def"
}
</code></pre></div><h1 id="%E5%8F%82%E8%80%83">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h1>
<ul>
<li><a href="https://developers.google.com/identity/gsi/web/guides/overview" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a></li>
</ul>

Google One Tap を秒で実装する on Rails

Discussion