Pasos para minimizar el impacto de los cambios de alcance en los usuarios
- Si tu aplicación requiere la dirección de correo electrónico de un usuario autenticado y anteriormente usaste
profile.emails.read
para ese propósito, usaemail
en su lugar. - Obtén la aprobación de
profile.emails.read
con una solicitud de verificación aprobada. Consulta ¿Cómo envío para la verificación? - Revoca el token de usuario anterior para el permiso que se quitará o quita el acceso a la aplicación por completo. Por ejemplo, se debería revocar un token con acceso
profile.emails.read
. Te recomendamos que apliques la revocación mientras los usuarios estén en la aplicación para obtener su consentimiento de inmediato. - Solicita a los usuarios que vuelvan a dar su consentimiento con el alcance nuevo, como
email
, sinprofile.emails.read
. - Quita el permiso que se eliminará de la configuración de la pantalla de consentimiento de OAuth de las APIs de Google.
Para migrar tu app del Acceso con Google+ al Acceso con Google, debes actualizar tu botón de acceso, los permisos solicitados y las instrucciones para recuperar la información de perfil de Google. Consulta nuestra documentación de Acceso con Google para Android para obtener instrucciones completas.
Cuando actualices el botón de acceso, no hagas referencia a G+ ni uses el color rojo. Cumple con nuestros lineamientos actualizados sobre el desarrollo de la marca.
La mayoría de las aplicaciones de Acceso con Google+ solicitaron alguna combinación de los alcances: plus.login
, plus.me
y plus.profile.emails.read
. Si usas GoogleSignInOptions.Builder
con la opción DEFAULT_SIGN_IN
, solicitarás automáticamente el alcance profile
, que proporciona el nombre y la foto de perfil del usuario. Si también quieres la dirección de correo electrónico del usuario, debes llamar a .requestEmail()
cuando crees las opciones de Acceso con Google.
Muchos implementadores del Acceso con Google+ usaron el flujo de código. Esto significa que las apps para Android, iOS o JavaScript obtienen un código de autorización de OAuth de Google, y el cliente lo envía de vuelta al servidor, junto con protección contra la falsificación de solicitudes entre sitios. Luego, el servidor valida el código y obtiene tokens de actualización y de acceso para extraer información del perfil del usuario de la API de people.get
.
Google ahora recomienda que solicites un token de ID y envíes el token de ID desde tu cliente a tu servidor. Los tokens de ID tienen integradas protecciones contra falsificaciones entre sitios y también se pueden verificar de forma estática en tu servidor, lo que evita una llamada a la API adicional para obtener información del perfil del usuario de los servidores de Google. Sigue las instrucciones para validar los tokens de ID en tu servidor.
Si prefieres usar el flujo de código para obtener información de perfil, puedes hacerlo. Una vez que tu servidor tenga un token de acceso, deberás obtener información de perfil del usuario de los extremos userinfo
especificados en nuestro Documento de descubrimiento de acceso. La respuesta de la API tiene un formato diferente al de la respuesta del perfil de Google+, por lo que debes actualizar tu análisis al formato nuevo.
Si usas GoogleAuthUtil.getToken
o Plus.API
, debes migrate a la API de Sign-In más reciente para obtener una mayor seguridad y una mejor experiencia del usuario.