解决dotnet/android项目中Google OAuth登录的URI匹配问题

背景介绍

在dotnet/android项目中实现Google OAuth登录时，开发者经常会遇到URI匹配问题导致认证流程无法正常完成。这个问题主要出现在Android平台上使用自定义URI方案进行OAuth回调时，特别是在处理URI中的斜杠数量时会出现各种异常情况。

问题现象

开发者在使用Google OAuth进行Android应用登录时，通常会遇到以下三种情况：

1. 单斜杠情况：使用com.googleusercontent.apps.{uniqueCode}:/oauth2redirect格式时，浏览器无法正常打开，应用停留在当前界面并报错提示需要子类化WebAuthenticatorCallbackActivity。

2. 双斜杠情况：使用com.googleusercontent.apps.{uniqueCode}://oauth2redirect格式时，虽然能打开浏览器，但会显示Google OAuth 2.0策略错误(400 invalid_request)。

3. 混合斜杠情况：使用不同斜杠数量的redirectUri和callbackUri时，虽然能到达登录页面，但登录后无法正确返回到应用。

技术分析

这个问题的根源在于Android Intent过滤机制对URI的解析方式。Android系统对自定义URI方案的匹配有严格要求，特别是在处理URI中的斜杠数量时：

• 单斜杠(:/)通常表示路径(path)
• 双斜杠(://)通常表示主机(host)

Google OAuth服务对回调URI的验证也十分严格，要求客户端和服务端使用的URI格式必须完全一致。

解决方案

经过深入研究和测试，发现可以通过在AndroidManifest.xml中配置两个Intent过滤器来同时匹配两种URI格式：

[Activity(NoHistory = true, Exported = true)]
// 匹配双斜杠格式(host形式)
[IntentFilter(
    new[] { Android.Content.Intent.ActionView },
    Categories = new[] { 
        Android.Content.Intent.CategoryDefault, 
        Android.Content.Intent.CategoryBrowsable 
    },
    DataScheme = "com.googleusercontent.apps.YOURCODE",
    DataHost = "oauth2redirect"
)]
// 匹配单斜杠格式(path形式)
[IntentFilter(
    new[] { Android.Content.Intent.ActionView },
    Categories = new[] {
        Android.Content.Intent.CategoryDefault,
        Android.Content.Intent.CategoryBrowsable
    },
    DataScheme = "com.googleusercontent.apps.YOURCODE",
    DataPath = "/oauth2redirect"
)]
public class MyWebAuthenticatorCallbackActivity : Microsoft.Maui.Authentication.WebAuthenticatorCallbackActivity
{
    [DynamicDependency(DynamicallyAccessedMemberTypes.All, typeof(WebAuthenticatorCallbackActivity))]
    public static readonly object _preserve = new object();
}

实现要点

1. 双Intent过滤器配置：分别处理host形式和path形式的URI匹配
2. Activity属性设置：
   • NoHistory=true确保回调Activity不会保留在返回栈中
   • Exported=true允许从应用外部启动该Activity
3. 动态依赖保留：使用DynamicDependency确保AOT编译时保留必要成员

最佳实践建议

1. 在Google Cloud Console中正确配置Android客户端ID时，确保使用的URI格式与代码中完全一致
2. 对于调试和发布版本，建议使用不同的客户端ID和回调URI
3. 实现PKCE(Proof Key for Code Exchange)增强安全性
4. 正确处理各种异常情况，提供友好的用户反馈

总结

通过配置双重Intent过滤器，可以完美解决dotnet/android项目中Google OAuth登录的URI匹配问题。这种方案既保证了与Google OAuth服务的兼容性，又满足了Android平台的URI解析要求，为开发者提供了一种可靠的身份验证实现方式。