Se você já fez a integração com o Login do Google usando
GoogleAuthUtil.getToken
ou Plus.API
, migre para a API de login
mais recente para ter mais segurança e uma melhor experiência do usuário.
Migrar do antipadrão do token de acesso
Não envie tokens de acesso recebidos com GoogleAuthUtil.getToken
para
seu servidor de back-end como uma declaração de identidade, já que não é possível verificar facilmente
se o token foi emitido para o back-end, deixando você vulnerável à inserção
de um token de acesso de um invasor.
Por exemplo, se o código do Android for semelhante ao exemplo abaixo, migre seu app para as práticas recomendadas atuais.
No exemplo, as solicitações de token de acesso usam oauth2:
e uma string de escopo como o
parâmetro scope
para a chamada GoogleAuthUtil.getToken
(oauth2:https://www.googleapis.com/auth/plus.login
).
Em vez de autenticar com um token de acesso adquirido com
GoogleAuthUtil.getToken
, use o fluxo do token de ID ou o fluxo do código de autenticação.
Migrar para o fluxo do token de ID
Se você só precisa do ID, do endereço de e-mail, do nome ou do URL da foto do perfil do usuário, use o fluxo do token de ID.
Para migrar para o fluxo de tokens de ID, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS
(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
ouAccountManager.newChooseAccountIntent()
paraAuth.GOOGLE_SIGN_IN_API
com a configuraçãoGoogleSignInOptions.Builder.requestIdToken(...)
.
Lado do servidor
- Crie um novo endpoint para autenticação do token de ID
- Desativar o endpoint antigo depois da migração dos apps cliente
Migrar para o fluxo do código de autenticação do servidor
Se o servidor precisar acessar outras APIs do Google, como Google Drive, YouTube ou Contatos, use o fluxo de código de autenticação do servidor.
Para migrar para o fluxo do código de autenticação do servidor, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS
(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
ouAccountManager.newChooseAccountIntent()
paraAuth.GOOGLE_SIGN_IN_API
com a configuraçãoGoogleSignInOptions.Builder.requestServerAuthCode(...)
.
Lado do servidor
- Criar um endpoint para o fluxo do código de autenticação do servidor
- Desativar o endpoint antigo depois da migração dos apps cliente
Ainda é possível compartilhar a lógica de acesso à API entre os endpoints antigos e novos. Exemplo:
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...); String accessToken = tokenResponse.getAccessToken(); String refreshToken = tokenResponse.getRefreshToken(); Long expiresInSeconds = tokenResponse.getExpiresInSeconds(); // Shared by your old and new implementation, old endpoint can pass null for refreshToken private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) { GoogleCredential credential = new GoogleCredential.Builder() .setTransPort(...) ... .build(); credential.setAccessToken(accessToken); credential.setExpiresInSeconds(expiresInSeconds); credential.setRefreshToken(refreshToken); }
Migrar do fluxo de tokens de ID do GoogleAuthUtil
Se você usar GoogleAuthUtil
para receber tokens de ID, migre para o novo fluxo de tokens de ID da API de login.
Por exemplo, se o código do Android for semelhante ao exemplo abaixo, será necessário migrar:
No exemplo, as solicitações de token de ID usam audience:server:client_id
mais o ID do cliente do seu servidor da Web como o parâmetro "scope" para a chamada GoogleAuthUtil.getToken
(audience:server:client_id:9414861317621.apps.googleusercontent.com
).
O novo fluxo de token de ID da API de login tem os seguintes benefícios:
- Experiência simplificada de login com um toque
- Seu servidor pode obter informações de perfil de usuário sem uma chamada de rede extra
Para migrar para o fluxo de tokens de ID, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS
(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
ouAccountManager.newChooseAccountIntent()
paraAuth.GOOGLE_SIGN_IN_API
com a configuraçãoGoogleSignInOptions.Builder.requestIdToken(...)
.
Lado do servidor
A nova API de login emite tokens de ID que obedecem à especificação do OpenID
Connect, ao contrário de GoogleAuthUtil.getToken
, que usa um formato descontinuado.
Em particular, o emissor agora é https://accounts.google.com
, com um esquema
https
.
Durante o processo de migração, o servidor precisa verificar o token de ID dos clientes Android antigos e novos. Para verificar os dois formatos do token, faça a alteração correspondente à biblioteca de cliente que você usa (se usar uma):
- Java (Bibliotecas de cliente das APIs do Google): atualização para 1.21.0 ou mais recente
- PHP (Bibliotecas de cliente das APIs do Google): se você usar a v1, faça upgrade para a 1.1.6 ou mais recente. Se você usar a v2, faça upgrade para a 2.0.0-RC1 ou mais recente
- Node.js: fazer upgrade para a versão 0.9.7 ou mais recente
- Python ou suas próprias implementações: aceite os dois emissores a seguir:
https://accounts.google.com
eaccounts.google.com
.
Migrar do fluxo do código de autenticação do servidor GoogleAuthUtil
Se você usar GoogleAuthUtil
para receber um código de autenticação do servidor, migre para o novo fluxo de código de autenticação da API Sign-In.
Por exemplo, se o código do Android for semelhante ao exemplo abaixo, será necessário migrar:
No exemplo, as solicitações do código de autenticação do servidor usam oauth2:server:client_id
+ o ID do cliente do servidor da Web como o parâmetro scope
para a chamada GoogleAuthUtil.getToken
(oauth2:server:client_id:9414861317621.apps.googleusercontent.com
).
O novo fluxo de código de autenticação da API de login tem os seguintes benefícios:
- Experiência simplificada de login com um toque
- Se você seguir o guia de migração abaixo, o servidor poderá receber um token de ID contendo as informações de perfil do usuário quando você fizer a troca do código de autenticação.
Para migrar para o novo fluxo do código de autenticação, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS
(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
ouAccountManager.newChooseAccountIntent()
paraAuth.GOOGLE_SIGN_IN_API
com a configuraçãoGoogleSignInOptions.Builder.requestServerAuthCode(...)
.
Lado do servidor
Mantenha o código atual, mas especifique https://oauth2.googleapis.com/token
como o endpoint do servidor de token ao criar o objeto GoogleAuthorizationCodeTokenRequest
para receber um token de ID com o e-mail, o ID do usuário e as informações de perfil do usuário sem precisar de outra chamada de rede. Esse endpoint é totalmente compatível com versões anteriores, e o código abaixo
funcionará para códigos de autenticação do servidor recuperados das implementações antigas e novas
do cliente Android.
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest( transport, jsonFactory, // Use below for tokenServerEncodedUrl parameter "https://oauth2.googleapis.com/token", clientSecrets.getDetails().getClientId(), clientSecrets.getDetails().getClientSecret(), authCode, REDIRECT_URI) .execute(); ... // You can also get an ID token from auth code exchange. GoogleIdToken googleIdToken = tokenResponse.parseIdToken(); GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) .setAudience(Arrays.asList(SERVER_CLIENT_ID)) .setIssuer("https://accounts.google.com") .build(); // Refer to ID token documentation to see how to get data from idToken object. GoogleIdToken idToken = verifier.verify(idTokenString); ...