概要
2022 年 2 月 16 日に、より安全な OAuth フローを使用して Google OAuth のインタラクションをより安全にする計画を 発表しました。このガイドでは、ループバック IP アドレス フローからサポートされている代替手段に移行するために必要な変更と手順について説明します。
これは、Google の OAuth 2.0 認可エンドポイントとのやり取りの際に発生するフィッシングやアプリのなりすまし攻撃に対する保護対策です。
ループバック IP アドレス フローとは何ですか?
ループバック IP アドレス フローでは、ユーザーが OAuth 同意リクエストを承認した後に認証情報が送信されるリダイレクト URI のホスト コンポーネントとして、ループバック IP アドレスまたはlocalhost を使用できます。このフローは、中間者攻撃に対して脆弱です。一部のオペレーティング システムで同じループバック インターフェースにアクセスする悪意のあるアプリが、認証サーバーから指定されたリダイレクト URI へのレスポンスを傍受し、認証コードにアクセスする可能性があります。ループバック IP アドレス フローは、ネイティブ iOS、Android、Chrome の OAuth クライアント タイプでは非推奨になりますが、デスクトップ アプリでは引き続きサポートされます。
コンプライアンスの主な日程
- 2022 年 3 月 14 日 - 新しい OAuth クライアントがループバック IP アドレス フローの使用をブロックされる
- 2022 年 8 月 1 日 - 準拠していない OAuth リクエストに対して、ユーザー向けの警告メッセージが表示されることがあります。
- 2022 年 8 月 31 日 - 2022 年 3 月 14 日より前に作成されたネイティブ Android、Chrome アプリ、iOS の OAuth クライアントでループバック IP アドレス フローがブロックされます。
- 2022 年 10 月 21 日 - 既存のすべてのクライアントがブロックされます(除外されたクライアントを含む)。
準拠していないリクエストに対しては、ユーザー向けのエラー メッセージが表示されます。このメッセージは、アプリがブロックされていることをユーザーに伝え、Google API Console の OAuth 同意画面で登録したサポート メールアドレスを表示します。
- 影響を受けるかどうかを判断します。
- 影響を受ける場合は、サポートされている代替手段に移行してください。
影響を受けるかどうかを確認する
OAuth クライアント ID のタイプを確認する
Google Cloud Console の Clients page に移動し、[OAuth 2.0 クライアント ID] セクションで OAuth クライアント ID のタイプを確認します。ウェブ アプリケーション、Android、iOS、ユニバーサル Windows プラットフォーム(UWP)、Chrome アプリ、テレビと入力制限のあるデバイス、デスクトップ アプリのいずれかになります。
クライアント タイプが Android、Chrome アプリ、iOS で、ループバック IP アドレス フローを使用している場合は、次のステップに進みます。
デスクトップ アプリの OAuth クライアントでループバック IP アドレス フローを使用している場合、その OAuth クライアント タイプでの使用は引き続きサポートされるため、この非推奨に関連して何かを行う必要はありません。
アプリがループバック IP アドレス フローを使用しているかどうかを確認する方法
アプリのコードまたは送信ネットワーク呼び出し(アプリが OAuth ライブラリを使用している場合)を調べて、アプリが作成している Google OAuth 認証リクエストがループバック リダイレクト URI 値を使用しているかどうかを確認します。
アプリケーション コードを検査する
redirect_uri パラメータに次のいずれかの値が含まれているかどうかを判断します。
-
redirect_uri=http://127.0.0.1:<port>(例:redirect_uri=http://127.0.0.1:3000) -
redirect_uri=http://[::1]:<port>(例:redirect_uri=http://[::1]:3000) -
redirect_uri=http://localhost:<port>(例:redirect_uri=http://localhost:3000)
https://accounts.google.com/o/oauth2/v2/auth? redirect_uri=http://localhost:3000& response_type=code& scope=<SCOPES>& state=<STATE>& client_id=<CLIENT_ID>
送信ネットワーク通話を検査する
- ウェブ アプリケーション - Chrome でネットワーク アクティビティを検査する
- Android - ネットワーク インスペクタでネットワーク トラフィックを検査する
-
Chrome アプリ
- Chrome 拡張機能ページに移動します。
- 拡張機能ページの右上にある [デベロッパー モード] チェックボックスをオンにします。
- モニタリングする拡張機能を選択する
- 拡張機能ページの [ビューを検証] セクションで、[背景ページ] リンクをクリックします。
- デベロッパー ツールのポップアップが開き、 [ネットワーク] タブでネットワーク トラフィックをモニタリングできます。
- iOS - Instruments を使用して HTTP トラフィックを分析する
- ユニバーサル Windows プラットフォーム(UWP) - Visual Studio でネットワーク トラフィックを検査する
- デスクトップ アプリ - アプリの開発対象のオペレーティング システムで利用可能なネットワーク キャプチャ ツールを使用します。
redirect_uri パラメータに次のいずれかの値が含まれているかどうかを判断します。
-
redirect_uri=http://127.0.0.1:<port>(例:redirect_uri=http://127.0.0.1:3000) -
redirect_uri=http://[::1]:<port>(例:redirect_uri=http://[::1]:3000) -
redirect_uri=http://localhost:<port>(例:redirect_uri=http://localhost:3000)
https://accounts.google.com/o/oauth2/v2/auth? redirect_uri=http://localhost:3000& response_type=code& scope=<SCOPES>& state=<STATE>& client_id=<CLIENT_ID>
サポートされている代替手段に移行する
モバイル クライアント(Android / iOS)
アプリが Android または iOS の OAuth クライアント タイプでループバック IP アドレス フローを使用していると判断した場合は、推奨の SDK(Android、iOS)を使用するように移行する必要があります。
この SDK を使用すると、Google API に簡単にアクセスでき、Google の OAuth 2.0 認証エンドポイントへのすべての呼び出しを処理できます。
以下のドキュメントへのリンクでは、推奨される SDK を使用して、ループバック IP アドレス リダイレクト URI を使用せずに Google API にアクセスする方法について説明しています。
Android で Google API にアクセスする
クライアントサイド アクセス
次の例は、推奨の Google Identity Services Android ライブラリを使用して、Android のクライアント側で Google API にアクセスする方法を示しています。
ListrequestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA); AuthorizationRequest authorizationRequest = AuthorizationRequest.builder().setRequestedScopes(requestedScopes).build(); Identity.getAuthorizationClient(activity) .authorize(authorizationRequest) .addOnSuccessListener( authorizationResult -> { if (authorizationResult.hasResolution()) { // Access needs to be granted by the user PendingIntent pendingIntent = authorizationResult.getPendingIntent(); try { startIntentSenderForResult(pendingIntent.getIntentSender(), REQUEST_AUTHORIZE, null, 0, 0, 0, null); } catch (IntentSender.SendIntentException e) { Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage()); } } else { // Access already granted, continue with user action saveToDriveAppFolder(authorizationResult); } }) .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));
定義したメソッドに authorizationResult を渡し、ユーザーのドライブ フォルダにコンテンツを保存します。authorizationResult には、アクセス トークンを返す
getAccessToken() メソッドがあります。
サーバーサイド(オフライン)アクセス
次の例は、Android のサーバーサイドで Google API にアクセスする方法を示しています。ListrequestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA); AuthorizationRequest authorizationRequest = AuthorizationRequest.builder() .requestOfflineAccess(webClientId) .setRequestedScopes(requestedScopes) .build(); Identity.getAuthorizationClient(activity) .authorize(authorizationRequest) .addOnSuccessListener( authorizationResult -> { if (authorizationResult.hasResolution()) { // Access needs to be granted by the user PendingIntent pendingIntent = authorizationResult.getPendingIntent(); try { startIntentSenderForResult(pendingIntent.getIntentSender(), REQUEST_AUTHORIZE, null, 0, 0, 0, null); } catch (IntentSender.SendIntentException e) { Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage()); } } else { String authCode = authorizationResult.getServerAuthCode(); } }) .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));
authorizationResult には、認証コードを返す
getServerAuthCode() メソッドがあります。この認証コードをバックエンドに送信して、アクセス トークンと更新トークンを取得できます。
iOS アプリで Google API にアクセスする
クライアントサイド アクセス
次の例は、iOS のクライアントサイドで Google API にアクセスする方法を示しています。
user.authentication.do { authentication, error in guard error == nil else { return } guard let authentication = authentication else { return } // Get the access token to attach it to a REST or gRPC request. let accessToken = authentication.accessToken // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for // use with GTMAppAuth and the Google APIs client library. let authorizer = authentication.fetcherAuthorizer() }
アクセス トークンを使用して API を呼び出します。これを行うには、REST または gRPC リクエストのヘッダーにアクセス トークンを含める(Authorization: Bearer ACCESS_TOKEN)か、
Objective-C for REST の Google API クライアント ライブラリでフェッチャー認証子(GTMFetcherAuthorizationProtocol)を使用します。
クライアント側で Google API にアクセスする方法については、クライアントサイド アクセスガイドをご覧ください。クライアント サイドで Google API にアクセスする方法について説明します。
サーバーサイド(オフライン)アクセス
次の例は、iOS クライアントをサポートするためにサーバーサイドで Google API にアクセスする方法を示しています。GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
guard error == nil else { return }
guard let user = user else { return }
// request a one-time authorization code that your server exchanges for
// an access token and refresh token
let authCode = user.serverAuthCode
}サーバーサイドから Google API にアクセスする方法については、サーバーサイド アクセスガイドをご覧ください。
Chrome アプリ クライアント
アプリが Chrome アプリ クライアントでループバック IP アドレス フローを使用していると判断した場合は、 Chrome Identity API を使用するように移行する必要があります。
次の例は、ループバック IP アドレス リダイレクト URI を使用せずにすべてのユーザー連絡先を取得する方法を示しています。
window.onload = function() { document.querySelector('button').addEventListener('click', function() { // retrieve access token chrome.identity.getAuthToken({interactive: true}, function(token) { // .......... // the example below shows how to use a retrieved access token with an appropriate scope // to call the Google People API contactGroups.get endpoint fetch( 'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY', init) .then((response) => response.json()) .then(function(data) { console.log(data) }); }); }); };
Chrome Identity API を使用してユーザーを認証し、Google エンドポイントを呼び出す方法について詳しくは、 Chrome Identity API ガイドをご覧ください。