ループバック IP アドレス フローの移行ガイド

概要

2022 年 2 月 16 日に、より安全な OAuth フローを使用して Google OAuth の操作をより安全にする計画を 発表しました。このガイドでは、ループバック IP アドレスのフローからサポートされている代替アドレスフローに正常に移行するために必要な変更と手順について説明します。

この取り組みは、Google の OAuth 2.0 認可エンドポイントとのやり取り中のフィッシング攻撃やアプリのなりすまし攻撃から保護するための対策です。

ループバック IP アドレスのフローとは

ループバック IP アドレスのフローでは、ユーザーが OAuth 同意リクエストを承認した後に認証情報が送信されるリダイレクト URI のホスト コンポーネントとして、ループバック IP アドレスまたは localhost を使用できます。このフローは中間者攻撃に対して脆弱です。この攻撃では、一部のオペレーティング システムで同じループバック インターフェースにアクセスする悪意のあるアプリが、認可サーバーから指定されたリダイレクト URI へのレスポンスを傍受して、認可コードにアクセスするおそれがあります。

ループバック IP アドレスフローは、iOS、Android、Chrome の OAuth クライアント タイプのネイティブでのサポートが終了しますが、デスクトップ アプリでは引き続きサポートされます。

主なコンプライアンス期間

  • 2022 年 3 月 14 日 - 新しい OAuth クライアントのループバック IP アドレス フローの使用をブロック
  • 2022 年 8 月 1 日 - ポリシーに準拠していない OAuth リクエストに対して、ユーザー向けの警告メッセージが表示される場合がある
  • 2022 年 8 月 31 日 - 2022 年 3 月 14 日より前に作成されたネイティブ Android、Chrome アプリ、iOS OAuth クライアントに対するループバック IP アドレスのフローのブロック
  • 2022 年 10 月 21 日 - 既存のすべてのクライアントをブロックします(除外されたクライアントを含む)

準拠していないリクエストについては、ユーザー向けのエラー メッセージが表示されます。このメッセージは、アプリがブロックされていることをユーザーに伝えると同時に、Google API Console の OAuth 同意画面で登録したサポートメールを表示します。

移行プロセスを完了するには、主に次の 2 つの手順を行います。
  1. ご自身に影響があるかどうかを判断します。
  2. 影響を受ける場合は、サポートされている代替手段に移行してください。

影響を受けるかどうかを判断する

OAuth クライアント ID のタイプを確認する

の に移動し、[OAuth 2.0 クライアント ID] セクションで OAuth クライアント ID の種類を表示します。次のいずれかになります: ウェブ アプリケーションAndroidiOSUniversal Windows Platform(UWP)Chrome アプリテレビと入力制限のあるデバイスデスクトップ アプリ

クライアントの種類が Android、Chrome アプリ、iOS のいずれかで、ループバック IP アドレス フローを使用している場合は、次のステップに進みます。

デスクトップ アプリの OAuth クライアントでループバック IP アドレスフローを使用している場合は、この OAuth クライアント タイプでの使用が引き続きサポートされるため、このサポート終了に関連して何もする必要はありません。

アプリがループバック IP アドレス フローを使用しているかどうかを確認する方法

アプリコードまたは送信ネットワーク呼び出し(アプリが OAuth ライブラリを使用している場合)を検査して、アプリが行う Google OAuth 認証リクエストがループバック リダイレクト URI 値を使用しているかどうかを確認します。

アプリケーション コードを検査する

Google OAuth 認可エンドポイントを呼び出すアプリケーション コードのセクションを確認し、redirect_uri パラメータが次のいずれかの値になっているか確認します。
  • redirect_uri=http://127.0.0.1:<port>(例: redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port>(例: redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port>(例: redirect_uri=http://localhost:3000
ループバック IP アドレス リダイレクト フロー リクエストの例は次のようになります。
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

発信ネットワーク呼び出しの検査

ネットワーク呼び出しを検査する方法は、アプリのクライアントのタイプによって異なります。
ネットワーク呼び出しの検査中に、Google OAuth 認可エンドポイントに送信されたリクエストを探し、redirect_uri パラメータが次のいずれかの値となっているかどうかを確認します。
  • redirect_uri=http://127.0.0.1:<port>(例: redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port>(例: redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port>(例: redirect_uri=http://localhost:3000
ループバック IP アドレス リダイレクト フロー リクエストの例を以下に示します。
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

サポートされている代替サービスに移行する

モバイル クライアント(Android / iOS)

Android または iOS の OAuth クライアント タイプでループバック IP アドレスのフローを使用していることが判明した場合は、Google ログイン モバイル SDK(AndroidiOS)を使用するように移行する必要があります。

この SDK により、Google API に簡単にアクセスでき、Google の OAuth 2.0 認可エンドポイントへのすべての呼び出しが処理されます。

以下のドキュメント リンクでは、Google ログイン SDK を使用して、ループバック IP アドレスのリダイレクト URI を使用せずに Google API にアクセスする方法について説明します。

Android で Google API にアクセスする

サーバーサイド(オフライン)アクセス
次の例は、Android のサーバー側から Google API にアクセスする方法を示しています。
Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
try {
  GoogleSignInAccount account = task.getResult(ApiException.class);
  
  // request a one-time authorization code that your server exchanges for an
  // access token and sometimes refresh token
  String authCode = account.getServerAuthCode();
  
  // Show signed-in UI
  updateUI(account);

  // TODO(developer): send code to server and exchange for access/refresh/ID tokens
} catch (ApiException e) {
  Log.w(TAG, "Sign-in failed", e);
  updateUI(null);
}

サーバー側から Google API にアクセスする方法については、サーバー側のアクセスガイドをご覧ください。

iOS アプリで Google API にアクセスする

クライアントサイド アクセス

次の例は、iOS のクライアント側で Google API にアクセスする方法を示しています。

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

アクセス トークンを使用して API を呼び出すには、アクセス トークンを REST または gRPC リクエストのヘッダーに含めるか(Authorization: Bearer ACCESS_TOKEN)、フェッチャー承認ツール(GTMFetcherAuthorizationProtocol)と Objective-C for REST 用 Google API クライアント ライブラリを使用します。

クライアントサイドで Google API にアクセスする方法については、クライアントサイド アクセスガイドをご覧ください。クライアント側で Google API にアクセスする方法も学びました。

サーバーサイド(オフライン)アクセス
以下の例は、サーバー側で Google API にアクセスして iOS クライアントをサポートする方法を示しています。
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

サーバー側から Google API にアクセスする方法については、サーバー側のアクセスガイドをご覧ください。

Chrome アプリ クライアント

アプリが Chrome アプリ クライアントのループバック IP アドレス フローを使用していることが判明した場合は、 Chrome Identity API を使用するよう移行する必要があります。

次の例は、ループバック IP アドレスのリダイレクト URI を使用せずに、すべてのユーザーの連絡先を取得する方法を示しています。

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

Chrome Identity API を使用してユーザー認証にアクセスし、Google エンドポイントを呼び出す方法については、 Chrome Identity API ガイドをご覧ください。