Guía de migración del flujo de direcciones IP de bucle invertido

Descripción general

El 16 de febrero de 2022, anunciamos planes para aumentar la seguridad de las interacciones de OAuth de Google con flujos de OAuth más seguros. Esta guía te ayuda a comprender los cambios y los pasos necesarios para migrar con éxito del flujo de direcciones IP de bucle invertido a las alternativas compatibles.

Esta medida es una medida de protección contra los ataques de suplantación de identidad (phishing) y de apps durante las interacciones con los extremos de autorización de OAuth 2.0 de Google.

¿Qué es el flujo de dirección IP de bucle invertido?

El flujo de direcciones IP de bucle invertido admite el uso de una dirección IP de bucle invertido, o localhost como el componente de host del URI de redireccionamiento al que se envían las credenciales después de que un usuario aprueba una solicitud de consentimiento de OAuth. Este flujo es vulnerable a los ataques de tipo de intermediario, en los que una app malvada, que accede a la misma interfaz de bucle invertido en algunos sistemas operativos, puede interceptar la respuesta del servidor de autorización al URI de redireccionamiento determinado y obtener acceso al código de autorización.

El flujo de direcciones IP de bucle invertido dejará de estar disponible para los tipos de clientes nativos de OAuth para iOS, Android y Chrome, pero seguirá siendo compatible con las apps de escritorio.

Fechas de cumplimiento clave

  • 14 de marzo de 2022: Se bloqueó el uso del flujo de direcciones IP de bucle invertido para los nuevos clientes de OAuth
  • 1 de agosto de 2022: Es posible que se muestre un mensaje de advertencia para el usuario en las solicitudes de OAuth que no cumplan con las políticas.
  • 31 de agosto de 2022: Se bloqueó el flujo de direcciones IP de bucle invertido para los clientes nativos de OAuth para iOS, Android y la app de Chrome que se hayan creado antes del 14 de marzo de 2022.
  • 21 de octubre de 2022: Todos los clientes existentes están bloqueados (incluidos los clientes exentos)

Para las solicitudes que no cumplan con las políticas, se mostrará un mensaje de error al usuario. El mensaje indicará a los usuarios que la app está bloqueada y, al mismo tiempo, mostrará el correo electrónico de asistencia que registraste en la pantalla de consentimiento de OAuth en la Consola de API de Google.

Hay dos pasos principales que se deben completar para realizar el proceso de migración:
  1. Determina si te ves afectado.
  2. Migra a una alternativa compatible si te ves afectado.

Cómo determinar si te afecta

Revisa el tipo de ID de cliente de OAuth

Navega al Credentials page de Google API Console y consulta tu tipo de ID de cliente de OAuth en la sección ID de cliente de OAuth 2.0. Será cualquiera de los siguientes: aplicación web, Android, iOS, Universal Windows Platform (UWP), app de Chrome, TVs y dispositivos de entrada limitada o app de escritorio.

Continúa con el siguiente paso si tu tipo de cliente es Android, App de Chrome o iOS, y usas el flujo de direcciones IP de bucle invertido.

No es necesario que hagas nada relacionado con esta baja si usas el flujo de direcciones IP de bucle invertido en un cliente de OAuth de apps para computadoras, ya que el uso con ese tipo de cliente de OAuth seguirá siendo compatible.

Cómo determinar si tu app usa el flujo de direcciones IP de bucle invertido

Inspecciona el código de la app o la llamada de red saliente (en caso de que la app use una biblioteca de OAuth) para determinar si la solicitud de autorización de OAuth de Google que realiza tu app usa valores de URI de redireccionamiento de bucle invertido.

Inspecciona el código de tu aplicación

Revisa la sección del código de la aplicación en la que realizas llamadas a los extremos de autorización de Google OAuth y determina si el parámetro redirect_uri tiene alguno de los siguientes valores:
  • redirect_uri=http://127.0.0.1:<port>, p.ej., redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port>, p.ej., redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port>, p.ej., redirect_uri=http://localhost:3000
Una solicitud de flujo de redireccionamiento de una dirección IP de bucle invertido de muestra se verá como la que se muestra a continuación:
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

Inspeccionar llamada de red saliente

El método para inspeccionar las llamadas de red variará según el tipo de cliente de tu aplicación.
Mientras inspeccionas las llamadas de red, busca las solicitudes enviadas a los extremos de autorización de Google OAuth y determina si el parámetro redirect_uri tiene alguno de los siguientes valores:
  • redirect_uri=http://127.0.0.1:<port>, p.ej., redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port>, p.ej., redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port>, p.ej., redirect_uri=http://localhost:3000
Una solicitud de flujo de redireccionamiento de una dirección IP de bucle invertido de muestra se verá de la siguiente manera:
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

Cómo migrar a una alternativa compatible

Clientes para dispositivos móviles (Android / iOS)

Si determinas que tu app usa el flujo de direcciones IP de bucle invertido con un tipo de cliente de OAuth para iOS o Android, debes migrar a los SDK para dispositivos móviles de Acceso con Google (para iOS y Android).

El SDK facilita el acceso a las APIs de Google y controla todas las llamadas a los extremos de autorización de OAuth 2.0 de Google.

En los vínculos de documentación que aparecen a continuación, se proporciona información sobre cómo usar los SDK de Acceso con Google para acceder a las APIs de Google sin usar un URI de redireccionamiento de dirección IP de bucle invertido.

Accede a las APIs de Google en Android

Acceso al servidor (sin conexión)
En el siguiente ejemplo, se muestra cómo acceder a las APIs de Google en el servidor en Android.
Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
try {
  GoogleSignInAccount account = task.getResult(ApiException.class);
  
  // request a one-time authorization code that your server exchanges for an
  // access token and sometimes refresh token
  String authCode = account.getServerAuthCode();
  
  // Show signed-in UI
  updateUI(account);

  // TODO(developer): send code to server and exchange for access/refresh/ID tokens
} catch (ApiException e) {
  Log.w(TAG, "Sign-in failed", e);
  updateUI(null);
}

Consulta la guía de acceso del servidor sobre cómo acceder a las APIs de Google desde el servidor.

Accede a las APIs de Google en una app para iOS

Acceso del cliente

En el siguiente ejemplo, se muestra cómo acceder a las APIs de Google del cliente en iOS.

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

Usa el token de acceso para llamar a la API, ya sea incluyendo el token de acceso en el encabezado de una solicitud de REST o gRPC (Authorization: Bearer ACCESS_TOKEN), o con el autorizador del recuperador (GTMFetcherAuthorizationProtocol) con la biblioteca cliente de las APIs de Google para Objective-C para REST.

Revisa la guía de acceso del cliente para saber cómo acceder a las APIs de Google del cliente. sobre cómo acceder a las APIs de Google del cliente.

Acceso del servidor (sin conexión)
El siguiente ejemplo muestra cómo acceder a las APIs de Google en el servidor para admitir un cliente de iOS.
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

Consulta la guía de acceso del servidor sobre cómo acceder a las APIs de Google desde el servidor.

Cliente de la app de Chrome

Si determinas que tu app usa el flujo de direcciones IP de bucle invertido en el cliente de la app de Chrome, debes migrar al uso de la API de Chrome Identity.

En el siguiente ejemplo, se muestra cómo obtener todos los contactos del usuario sin usar un URI de redireccionamiento de la dirección IP de bucle invertido.

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

Revisa la guía de la API de Chrome Identity para obtener más información sobre cómo acceder a la autenticación de usuarios y llamar a los extremos de Google con la API de Chrome Identity.