Présentation
Le 16 février 2022, nous avons annoncé notre intention de renforcer la sécurité des interactions OAuth avec Google à l'aide de flux OAuth plus sécurisés. Ce guide vous explique les modifications nécessaires et les étapes à suivre pour migrer correctement du flux OAuth hors bande (OOB) vers des alternatives compatibles.
Il s'agit d'une mesure de protection contre les attaques par hameçonnage et par usurpation d'identité d'application lors des interactions avec les points de terminaison d'autorisation OAuth 2.0 de Google.
Qu'est-ce que la fonctionnalité OOB ?
OAuth out-of-band (également appelé option de copier-coller manuel) est un ancien flux développé pour accepter les clients natifs qui n'ont pas d'URI de redirection afin d'accepter les identifiants après qu'un utilisateur a approuvé une demande de consentement OAuth. Le flux OOB présente un risque d'hameçonnage à distance, et les clients doivent migrer vers une autre méthode pour se protéger contre cette faille.Le flux OOB est bientôt obsolète pour tous les types de clients, à savoir les applications Web, Android, iOS, la plate-forme Windows universelle (UWP), les applications Chrome, les téléviseurs, les appareils à saisie limitée et les applications de bureau.
Principales dates de conformité
- 28 février 2022 : nouvelle utilisation d'OAuth bloquée pour le parcours de la publicité hors ligne
- 5 septembre 2022 : un message d'avertissement visible par les utilisateurs peut s'afficher pour les requêtes OAuth non conformes
- 3 octobre 2022 : le flux OOB est obsolète pour les clients OAuth créés avant le 28 février 2022.
- 31 janvier 2023 : tous les clients existants sont bloqués (y compris les clients exemptés)
Un message d'erreur visible par l'utilisateur s'affiche pour les requêtes non conformes. Le message indiquera aux utilisateurs que l'application est bloquée et affichera l'adresse e-mail d'assistance que vous avez enregistrée sur l'écran de consentement OAuth dans la console Google APIs.
- Déterminez si vous êtes concerné.
- Si vous êtes concerné, passez à une alternative plus sécurisée.
Déterminer si vous êtes concerné
Cet abandon ne s'applique qu'aux applications de production (c'est-à-dire aux applications dont l'état de publication est défini sur En production). Le flux continue de fonctionner pour les applications dont l' état de publication test est celui du test.
Vérifiez l'état de la publication dans l' OAuth de et passez à l'étape suivante si vous utilisez le flux OOB dans un projet dont l'état de publication est "En production".
Déterminer si votre application utilise le flux OOB
Inspectez le code de votre application ou l'appel réseau sortant (si votre application utilise une bibliothèque OAuth) pour déterminer si la demande d'autorisation Google OAuth de votre application utilise une valeur d'URI de redirection OOB.
Inspecter le code de votre application
redirect_uri
possède l'une des valeurs suivantes :redirect_uri=urn:ietf:wg:oauth:2.0:oob
redirect_uri=urn:ietf:wg:oauth:2.0:oob:auto
redirect_uri=oob
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& scope=<SCOPES>& state=<STATE>& redirect_uri=urn:ietf:wg:oauth:2.0:oob& client_id=<CLIENT_ID>
Inspecter l'appel réseau sortant
- Application Web : inspecter l'activité réseau sur Chrome
- Android : inspecter le trafic réseau avec l'outil d'inspection de réseau
-
Applications Chrome
- Accédez à la page des extensions Chrome.
- Cochez la case Mode développeur en haut à droite de la page de l'extension.
- Sélectionnez l'extension que vous souhaitez surveiller
- Cliquez sur le lien de la page en arrière-plan dans la section Inspecter les vues de la page de l'extension.
- Un pop-up Outils pour les développeurs s'ouvre. Vous pouvez y surveiller le trafic réseau dans l'onglet Réseau.
- iOS : Analyser le trafic HTTP avec Instruments
- Plate-forme Windows universelle (UWP) : Inspectez le trafic réseau dans Visual Studio
- Applications de bureau : utilisez un outil de capture réseau disponible pour le système d'exploitation pour lequel l'application a été développée.
redirect_uri
possède l'une des valeurs suivantes :redirect_uri=urn:ietf:wg:oauth:2.0:oob
redirect_uri=urn:ietf:wg:oauth:2.0:oob:auto
redirect_uri=oob
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& scope=<SCOPES>& state=<STATE>& redirect_uri=urn:ietf:wg:oauth:2.0:oob& client_id=<CLIENT_ID>
Adoptez une alternative sécurisée
Clients mobiles (Android / iOS)
Si vous déterminez que votre application utilise le flux OOB avec un type de client OAuth Android ou iOS, nous vous recommandons d'utiliser nos SDK pour mobile Google Sign-In (Android ou iOS).
Ce SDK facilite l'accès aux API Google et gère tous les appels aux points de terminaison d'autorisation OAuth 2.0 de Google.
Les liens vers la documentation ci-dessous fournissent des informations sur l'utilisation des SDK Google Sign-In pour accéder aux API Google sans utiliser d'URI de redirection OOB.
Accéder aux API Google sur Android
Accès côté serveur (hors connexion)
L'exemple ci-dessous montre comment accéder aux API Google côté serveur sur Android.Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data); try { GoogleSignInAccount account = task.getResult(ApiException.class); // request a one-time authorization code that your server exchanges for an // access token and sometimes refresh token String authCode = account.getServerAuthCode(); // Show signed-in UI updateUI(account); // TODO(developer): send code to server and exchange for access/refresh/ID tokens } catch (ApiException e) { Log.w(TAG, "Sign-in failed", e); updateUI(null); }
Consultez le guide d'accès côté serveur pour savoir comment accéder aux API Google côté serveur.
Accéder aux API Google dans une application iOS
Accès côté client
L'exemple ci-dessous montre comment accéder aux API Google côté client sur iOS.
user.authentication.do { authentication, error in guard error == nil else { return } guard let authentication = authentication else { return } // Get the access token to attach it to a REST or gRPC request. let accessToken = authentication.accessToken // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for // use with GTMAppAuth and the Google APIs client library. let authorizer = authentication.fetcherAuthorizer() }
Utilisez le jeton d'accès pour appeler l'API, soit en l'incluant dans l'en-tête d'une requête REST ou gRPC (Authorization: Bearer ACCESS_TOKEN
), soit en utilisant l'outil d'autorisation de récupération (GTMFetcherAuthorizationProtocol
) avec la
bibliothèque cliente des API Google pour Objective-C pour REST.
Consultez le guide d'accès côté client pour savoir comment accéder aux API Google côté client. sur l'accès aux API Google côté client.
Accès côté serveur (hors connexion)
L'exemple ci-dessous montre comment accéder aux API Google côté serveur pour prendre en charge un client iOS.GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in guard error == nil else { return } guard let user = user else { return } // request a one-time authorization code that your server exchanges for // an access token and refresh token let authCode = user.serverAuthCode }
Consultez le guide d'accès côté serveur pour découvrir comment accéder aux API Google côté serveur.
Client d'application Chrome
Si vous déterminez que votre application utilise le flux OOB sur le client de l'application Chrome, vous devez migrer vers l' API Chrome Identity.
L'exemple ci-dessous montre comment obtenir tous les contacts d'un utilisateur sans utiliser d'URI de redirection OOB.
window.onload = function() { document.querySelector('button').addEventListener('click', function() { // retrieve access token chrome.identity.getAuthToken({interactive: true}, function(token) { // .......... // the example below shows how to use a retrieved access token with an appropriate scope // to call the Google People API contactGroups.get endpoint fetch( 'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY', init) .then((response) => response.json()) .then(function(data) { console.log(data) }); }); }); };
Consultez le guide de l'API Chrome Identity pour savoir comment accéder à l'authentification des utilisateurs et appeler les points de terminaison Google avec l'API Chrome Identity.
Application Web
Si vous déterminez que votre application utilise le flux OOB pour une application Web, vous devez migrer vers l'une de nos bibliothèques clientes pour les API Google. Pour connaître les bibliothèques clientes des différents langages de programmation, cliquez ici.
Ces bibliothèques facilitent l'accès aux API Google et la gestion de tous les appels vers les points de terminaison Google.
Accès côté serveur (hors connexion)
- Mettez en place un serveur et définissez un point de terminaison accessible publiquement (l'URI de redirection) pour recevoir le code d'autorisation.
- Configurez l' URI de redirection dans le champ du
L'extrait de code ci-dessous montre un exemple NodeJS d'utilisation de l'API Google Drive pour répertorier les fichiers Google Drive d'un utilisateur côté serveur sans utiliser d'URI de redirection OOB.
async function main() { const server = http.createServer(async function (req, res) { if (req.url.startsWith('/oauth2callback')) { let q = url.parse(req.url, true).query; if (q.error) { console.log('Error:' + q.error); } else { // Get access and refresh tokens (if access_type is offline) let { tokens } = await oauth2Client.getToken(q.code); oauth2Client.setCredentials(tokens); // Example of using Google Drive API to list filenames in user's Drive. const drive = google.drive('v3'); drive.files.list({ auth: oauth2Client, pageSize: 10, fields: 'nextPageToken, files(id, name)', }, (err1, res1) => { // TODO(developer): Handle response / error. }); } } }
Consultez le guide des applications Web côté serveur pour savoir comment accéder aux API Google côté serveur.
Accès côté client
L'extrait de code ci-dessous (en JavaScript) montre comment utiliser l'API Google pour accéder aux événements d'agenda d'un utilisateur côté client.
// initTokenClient() initializes a new token client with your // web app's client ID and the scope you need access to const client = google.accounts.oauth2.initTokenClient({ client_id: 'YOUR_GOOGLE_CLIENT_ID', scope: 'https://www.googleapis.com/auth/calendar.readonly', // callback function to handle the token response callback: (tokenResponse) => { if (tokenResponse && tokenResponse.access_token) { gapi.client.setApiKey('YOUR_API_KEY'); gapi.client.load('calendar', 'v3', listUpcomingEvents); } }, }); function listUpcomingEvents() { gapi.client.calendar.events.list(...); }
Consultez le guide des applications Web côté client pour découvrir comment accéder aux API Google côté client.
Client de bureau
Si vous déterminez que votre application utilise le flux OOB sur un client de bureau, vous devez migrer vers le
flux d'adresse IP de rebouclage (localhost
ou 127.0.0.1
).