Se você já fez a integração com o Login do Google usando
GoogleAuthUtil.getToken ou Plus.API, migre para a API de login
mais recente para ter mais segurança e uma melhor experiência do usuário.
Migrar do antipadrão do token de acesso
Não envie tokens de acesso recebidos com GoogleAuthUtil.getToken para
seu servidor de back-end como uma declaração de identidade, já que não é possível verificar facilmente
se o token foi emitido para o back-end, deixando você vulnerável à inserção
de um token de acesso de um invasor.
Por exemplo, se o código do Android for semelhante ao exemplo abaixo, migre seu app para as práticas recomendadas atuais.
No exemplo, as solicitações de token de acesso usam oauth2: e uma string de escopo como o
parâmetro scope para a chamada GoogleAuthUtil.getToken
(oauth2:https://www.googleapis.com/auth/plus.login).
Em vez de autenticar com um token de acesso adquirido com
GoogleAuthUtil.getToken, use o fluxo do token de ID ou o fluxo do código de autenticação.
Migrar para o fluxo do token de ID
Se você só precisa do ID, do endereço de e-mail, do nome ou do URL da foto do perfil do usuário, use o fluxo do token de ID.
Para migrar para o fluxo de tokens de ID, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil,Plus.API,AccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()paraAuth.GOOGLE_SIGN_IN_APIcom a configuraçãoGoogleSignInOptions.Builder.requestIdToken(...).
Lado do servidor
- Crie um novo endpoint para autenticação do token de ID
- Desativar o endpoint antigo depois da migração dos apps cliente
Migrar para o fluxo do código de autenticação do servidor
Se o servidor precisar acessar outras APIs do Google, como Google Drive, YouTube ou Contatos, use o fluxo de código de autenticação do servidor.
Para migrar para o fluxo do código de autenticação do servidor, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil,Plus.API,AccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()paraAuth.GOOGLE_SIGN_IN_APIcom a configuraçãoGoogleSignInOptions.Builder.requestServerAuthCode(...).
Lado do servidor
- Criar um endpoint para o fluxo do código de autenticação do servidor
- Desativar o endpoint antigo depois da migração dos apps cliente
Ainda é possível compartilhar a lógica de acesso à API entre os endpoints antigos e novos. Exemplo:
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...);
String accessToken = tokenResponse.getAccessToken();
String refreshToken = tokenResponse.getRefreshToken();
Long expiresInSeconds = tokenResponse.getExpiresInSeconds();
// Shared by your old and new implementation, old endpoint can pass null for refreshToken
private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) {
GoogleCredential credential = new GoogleCredential.Builder()
.setTransPort(...)
...
.build();
credential.setAccessToken(accessToken);
credential.setExpiresInSeconds(expiresInSeconds);
credential.setRefreshToken(refreshToken);
}
Migrar do fluxo de tokens de ID do GoogleAuthUtil
Se você usar GoogleAuthUtil para receber tokens de ID, migre para o novo fluxo de tokens de ID da API de login.
Por exemplo, se o código do Android for semelhante ao exemplo abaixo, será necessário migrar:
No exemplo, as solicitações de token de ID usam audience:server:client_id mais o ID do cliente do seu servidor da Web como o parâmetro "scope" para a chamada GoogleAuthUtil.getToken (audience:server:client_id:9414861317621.apps.googleusercontent.com).
O novo fluxo de token de ID da API de login tem os seguintes benefícios:
- Experiência simplificada de login com um toque
- Seu servidor pode obter informações de perfil de usuário sem uma chamada de rede extra
Para migrar para o fluxo de tokens de ID, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil,Plus.API,AccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()paraAuth.GOOGLE_SIGN_IN_APIcom a configuraçãoGoogleSignInOptions.Builder.requestIdToken(...).
Lado do servidor
A nova API de login emite tokens de ID que obedecem à especificação do OpenID
Connect, ao contrário de GoogleAuthUtil.getToken, que usa um formato descontinuado.
Em particular, o emissor agora é https://accounts.google.com, com um esquema
https.
Durante o processo de migração, o servidor precisa verificar o token de ID dos clientes Android antigos e novos. Para verificar os dois formatos do token, faça a alteração correspondente à biblioteca de cliente que você usa (se usar uma):
- Java (Bibliotecas de cliente das APIs do Google): atualização para 1.21.0 ou mais recente
- PHP (Bibliotecas de cliente das APIs do Google): se você usar a v1, faça upgrade para a 1.1.6 ou mais recente. Se você usar a v2, faça upgrade para a 2.0.0-RC1 ou mais recente
- Node.js: fazer upgrade para a versão 0.9.7 ou mais recente
- Python ou suas próprias implementações: aceite os dois emissores a seguir:
https://accounts.google.comeaccounts.google.com.
Migrar do fluxo do código de autenticação do servidor GoogleAuthUtil
Se você usar GoogleAuthUtil para receber um código de autenticação do servidor, migre para o novo fluxo de código de autenticação da API Sign-In.
Por exemplo, se o código do Android for semelhante ao exemplo abaixo, será necessário migrar:
No exemplo, as solicitações do código de autenticação do servidor usam oauth2:server:client_id + o ID do cliente do servidor da Web como o parâmetro scope para a chamada GoogleAuthUtil.getToken (oauth2:server:client_id:9414861317621.apps.googleusercontent.com).
O novo fluxo de código de autenticação da API de login tem os seguintes benefícios:
- Experiência simplificada de login com um toque
- Se você seguir o guia de migração abaixo, o servidor poderá receber um token de ID contendo as informações de perfil do usuário quando você fizer a troca do código de autenticação.
Para migrar para o novo fluxo do código de autenticação, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão de
GET_ACCOUNTS(contatos) se solicitar - Mude qualquer código que use
GoogleAuthUtil,Plus.API,AccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()paraAuth.GOOGLE_SIGN_IN_APIcom a configuraçãoGoogleSignInOptions.Builder.requestServerAuthCode(...).
Lado do servidor
Mantenha o código atual, mas especifique https://oauth2.googleapis.com/token como o endpoint do servidor de token ao criar o objeto GoogleAuthorizationCodeTokenRequest para receber um token de ID com o e-mail, o ID do usuário e as informações de perfil do usuário sem precisar de outra chamada de rede. Esse endpoint é totalmente compatível com versões anteriores, e o código abaixo
funcionará para códigos de autenticação do servidor recuperados das implementações antigas e novas
do cliente Android.
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(
transport,
jsonFactory,
// Use below for tokenServerEncodedUrl parameter
"https://oauth2.googleapis.com/token",
clientSecrets.getDetails().getClientId(),
clientSecrets.getDetails().getClientSecret(),
authCode,
REDIRECT_URI)
.execute();
...
// You can also get an ID token from auth code exchange.
GoogleIdToken googleIdToken = tokenResponse.parseIdToken();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
.setAudience(Arrays.asList(SERVER_CLIENT_ID))
.setIssuer("https://accounts.google.com")
.build();
// Refer to ID token documentation to see how to get data from idToken object.
GoogleIdToken idToken = verifier.verify(idTokenString);
...