Etapas para minimizar o impacto das mudanças de escopo nos usuários
- Caso seu aplicativo exija o endereço de e-mail de um usuário autenticado e você já tenha usado
profile.emails.read
para essa finalidade, useemail
. - Consiga a aprovação do app
profile.emails.read
com uma solicitação de verificação aprovada. Consulte Como enviar para verificação? - Revogue o token de usuário anterior para o escopo a ser removido ou remova o acesso ao aplicativo completamente. Por exemplo, um token com acesso
profile.emails.read
precisa ser revogado. Recomendamos que você aplique a revogação enquanto os usuários estiverem no aplicativo para obter o consentimento imediato deles. - Peça para os usuários consentirem novamente com o novo escopo, como
email
, semprofile.emails.read
. - Remova o escopo que será descontinuado da configuração da tela de permissão OAuth das APIs do Google.
Para migrar seu app do Login do Google+ para o Login do Google, você precisa atualizar o botão de login, os escopos solicitados e as instruções sobre como recuperar informações do perfil do Google. Siga a documentação do Login do Google para Android para ver instruções completas.
Ao atualizar o botão de login, não se refira ao G+ nem use a cor vermelha. estar em conformidade com nossas diretrizes da promoção de marca atualizadas;
A maioria dos aplicativos de Login do Google+ solicitava alguma combinação dos escopos: plus.login
, plus.me
e plus.profile.emails.read
. Ao usar
GoogleSignInOptions.Builder
com a opção DEFAULT_SIGN_IN
, você
solicitará automaticamente o escopo profile
que fornece o nome e
a foto do perfil do usuário. Se você também quiser o endereço de e-mail do usuário, chame .requestEmail()
ao criar opções de login do Google.
Muitos implementadores do Login do Google+ usaram o fluxo de código. Isso significa que os apps Android, iOS ou JavaScript recebem um código de autorização OAuth do Google, e o cliente envia esse código de volta ao servidor, com proteção contra falsificação de solicitações entre sites. Em seguida, o servidor valida o código e recebe tokens de atualização e acesso para extrair informações do perfil do usuário da API people.get
.
Agora o Google recomenda que você solicite um token de ID e o envie do seu cliente para o servidor. Os tokens de ID têm proteções integradas contra falsificação entre sites e também podem ser verificados estaticamente no seu servidor, o que evita uma chamada de API extra para receber informações de perfil do usuário dos servidores do Google. Siga as instruções para validar tokens de ID no seu servidor.
Se você ainda preferir usar o fluxo de código para receber informações de perfil,
poderá fazer isso. Depois que o servidor tiver um token de acesso, você precisará
acessar informações de perfil de usuário
dos endpoints userinfo
especificados no
documento Descoberta de login. A resposta da API é formatada de maneira diferente da resposta do perfil do Google+. Por isso, você precisa atualizar sua análise para o novo formato.
Se você estiver usando GoogleAuthUtil.getToken
ou Plus.API
, migrate
para a API Sign-In mais recente para ter mais segurança e uma melhor experiência do usuário.