ループバック IP アドレス フローの移行ガイド

概要

2022 年 2 月 16 日、Google はより安全な OAuth フローを使用して、Google OAuth インタラクションをより安全にする計画を 発表しました。このガイドでは、ループバック IP アドレスのフローからサポートされている代替アドレスに移行するために必要な変更と手順について説明します。

この取り組みは、Google の OAuth 2.0 認可エンドポイントとのやり取りにおけるフィッシング攻撃やアプリのなりすまし攻撃を防ぐための対策です。

ループバック IP アドレス フローは、iOS、Android、Chrome の OAuth ネイティブ クライアント タイプで非推奨となっていますが、デスクトップ アプリでは引き続きサポートされます。

影響を受けているかどうかを確認する

OAuth クライアント ID のタイプを確認する

Google API Console の Credentials page に移動し、[OAuth 2.0 クライアント ID] セクションで OAuth クライアント ID タイプを表示します。ウェブアプリ、Android、iOS、Universal Windows Platform（UWP）、Chrome アプリ、テレビと入力制限のあるデバイス、デスクトップ アプリのいずれかになります。

クライアントの種類が Android、Chrome アプリ、iOS のいずれかで、ループバック IP アドレスフローを使用している場合は、次のステップに進みます。

デスクトップ アプリの OAuth クライアントでループバック IP アドレス フローを使用している場合は、このサポート終了に関連して何もする必要はありません。この種類の OAuth クライアントでの使用は引き続きサポートされます。

アプリがループバック IP アドレス フローを使用しているかどうかを確認する方法

アプリのコードまたは発信ネットワーク呼び出し（アプリが OAuth ライブラリを使用している場合）を検査して、アプリが行う Google OAuth 認証リクエストがループバック リダイレクト URI 値を使用しているかどうかを確認します。

アプリケーション コードを検査する

https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

発信ネットワーク通話の検査

https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

サポートされている代替手段に移行する

モバイル クライアント（Android、iOS）

アプリが Android または iOS の OAuth クライアント タイプでループバック IP アドレス フローを使用していると判断した場合は、Google ログイン モバイル SDK（Android、iOS）の使用に移行する必要があります。

この SDK により、Google API に簡単にアクセスできるようになり、Google の OAuth 2.0 認可エンドポイントへのすべての呼び出しが処理されます。

ループバック IP アドレスのリダイレクト URI を使用せずに、Google ログイン SDK を使用して Google API にアクセスする方法については、以下のドキュメントのリンクをご覧ください。

Android で Google API にアクセスする

サーバーサイド（オフライン）アクセス

Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
try {
  GoogleSignInAccount account = task.getResult(ApiException.class);
  
  // request a one-time authorization code that your server exchanges for an
  // access token and sometimes refresh token
  String authCode = account.getServerAuthCode();
  
  // Show signed-in UI
  updateUI(account);

  // TODO(developer): send code to server and exchange for access/refresh/ID tokens
} catch (ApiException e) {
  Log.w(TAG, "Sign-in failed", e);
  updateUI(null);
}

サーバーサイドから Google API にアクセスする方法については、サーバーサイドのアクセスガイドをご覧ください。

iOS アプリで Google API にアクセスする

クライアントサイド アクセス

次の例は、iOS のクライアントサイドで Google API にアクセスする方法を示しています。

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

アクセス トークンを使用して API を呼び出すには、REST または gRPC リクエストのヘッダーにアクセス トークンを含めるか（Authorization: Bearer ACCESS_TOKEN）、または Objective-C for REST 用 Google API クライアント ライブラリでフェッチャー承認ツール（GTMFetcherAuthorizationProtocol）を使用します。

クライアントサイドで Google API にアクセスする方法については、クライアントサイドのアクセスガイドをご覧ください。 クライアント側で Google API にアクセスする方法も学びました。

サーバーサイド（オフライン）アクセス

GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

サーバーサイドから Google API にアクセスする方法については、サーバーサイドのアクセスガイドをご覧ください。

Chrome アプリ クライアント

アプリが Chrome アプリ クライアントのループバック IP アドレスフローを使用していると判断した場合は、 Chrome Identity API を使用するよう移行する必要があります。

以下の例は、ループバック IP アドレスのリダイレクト URI を使用せずに、すべてのユーザーの連絡先を取得する方法を示しています。

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

Chrome Identity API を使用してユーザーを認証し、Google エンドポイントを呼び出す方法については、 Chrome Identity API ガイドをご覧ください。