Diese Seite wurde von der Cloud Translation API übersetzt.

Von Google+ Log-in migrieren

Warnung:Google Sign-in für Android ist veraltet und wird nicht mehr unterstützt. Um die Sicherheit und Nutzerfreundlichkeit Ihrer App zu gewährleisten, sollten Sie noch heute zum Anmeldedaten-Manager migrieren. Der Anmeldedaten-Manager unterstützt Passkeys, Passwörter und die Authentifizierung per föderierter Identität (z. B. „Über Google anmelden“), bietet eine bessere Sicherheit und eine einheitlichere Nutzererfahrung. Für Wear-Entwickler: Der Anmeldedaten-Manager wird ab Wear OS 5.1 auf ausgewählten Smartwatches unterstützt. Entwickler, die Geräte mit Wear OS 3, 4 und 5.0 mit „Über Google anmelden“ unterstützen, sollten für ihre Wear-Apps weiterhin Google Log-in für Android verwenden. Die Funktion „Über Google anmelden“ wird für diese Versionen von WearOS zu einem späteren Zeitpunkt in den Credential Manager APIs unterstützt.

Wichtig:Der Bereich profile.emails.read wird jetzt als sensibler Bereich eingestuft. Die gleiche Funktionalität lässt sich mit dem OpenID Connect- (OIDC-)Zugriffsbereich email erreichen. Führen Sie die Schritte in diesem Leitfaden aus, um die Auswirkungen auf Ihre Nutzer zu minimieren.

Wenn Sie diese Schritte nicht ausführen, wird Nutzern mit einem aktiven Token, die noch Zugriff auf den eingestellten Umfang haben, möglicherweise ein Bildschirm mit der Meldung „Unbestätigte App“ oder „Anmeldung deaktiviert“ angezeigt. Außerdem erhalten sie eine Sicherheitscenter-Warnung, dass gefährlicher Zugriff auf ihre Daten entfernt werden muss. Das liegt daran, dass der Nutzer ein aktives Token hat, bei dem der API-Bereich nicht mehr bestätigt ist. Wenn Ihr Anwendungscode das Token nicht wie in den vorgeschriebenen Schritten widerrufen kann, erhält der Nutzer möglicherweise weiterhin eine Warnung.

Schritte zur Minimierung der Auswirkungen von Änderungen am Geltungsbereich auf Nutzer

Wenn für Ihre Anwendung die E-Mail-Adresse eines authentifizierten Nutzers erforderlich ist und Sie bisher profile.emails.read zu diesem Zweck verwendet haben, verwenden Sie stattdessen email.
Sie erhalten die Genehmigung für profile.emails.read mit einer genehmigten Überprüfungsanfrage. Weitere Informationen finden Sie unter Wie reiche ich eine App zur Überprüfung ein?
Widerrufen Sie das vorherige Nutzertoken für den zu entfernenden Bereich oder entfernen Sie den Zugriff auf die Anwendung vollständig. Beispielsweise sollte ein Token mit profile.emails.read-Zugriff widerrufen werden. Wir empfehlen, den Widerruf anzuwenden, während sich Ihre Nutzer in Ihrer App befinden, damit Sie die Nutzereinwilligung sofort einholen können.
Fordern Sie Ihre Nutzer auf, dem neuen Umfang, z. B. email, noch einmal zuzustimmen, ohne profile.emails.read.
Entfernen Sie den Bereich, der aus der Konfiguration des OAuth-Zustimmungsbildschirms für Google APIs eingestellt werden soll.

Wenn Sie Ihre App vom Google+-Log-in zum Google-Log-in migrieren möchten, müssen Sie die Anmeldeschaltfläche, die angeforderten Zugriffsbereiche und die Anleitung zum Abrufen von Profilinformationen von Google aktualisieren. Eine vollständige Anleitung finden Sie in der Dokumentation zu Google Log-in für Android-Geräte.

Wenn Sie Ihre Anmeldeschaltfläche aktualisieren, dürfen Sie weder auf G+ Bezug nehmen noch die Farbe Rot verwenden. Sie müssen unseren aktualisierten Branding-Richtlinien entsprechen.

Die meisten Google+-Anmeldeanwendungen haben eine Kombination der folgenden Bereiche angefordert: plus.login, plus.me und plus.profile.emails.read. Wenn Sie GoogleSignInOptions.Builder mit der Option DEFAULT_SIGN_IN verwenden, wird automatisch der Bereich profile angefordert, der den Namen und das Profilbild des Nutzers enthält. Wenn Sie auch die E-Mail-Adresse des Nutzers benötigen, sollten Sie beim Erstellen der Google-Anmeldeoptionen .requestEmail() aufrufen.

Viele Implementierer der Google+-Anmeldung haben den Codeablauf verwendet. Das bedeutet, dass die Android-, iOS- oder JavaScript-Anwendungen einen OAuth-Autorisierungscode von Google erhalten und der Client diesen Code zusammen mit dem websiteübergreifenden Request-Fälschungsschutz an den Server zurücksendet. Der Server validiert dann den Code und ruft Aktualisierungs- und Zugriffstokens ab, um Nutzerprofilinformationen aus der people.get API abzurufen.

Google empfiehlt jetzt, ein ID-Token anzufordern und es von Ihrem Client an Ihren Server zu senden. ID-Tokens bieten integrierten websiteübergreifenden Schutz vor Manipulationen und können auch statisch auf Ihrem Server überprüft werden. Dadurch wird ein zusätzlicher API-Aufruf vermieden, um Nutzerprofilinformationen von den Google-Servern abzurufen. Folge der Anleitung, um ID-Tokens auf deinem Server zu validieren.

Wenn Sie Profilinformationen weiterhin über den Codeablauf abrufen möchten, können Sie dies tun. Sobald Ihr Server ein Zugriffstoken hat, müssen Sie Nutzerprofilinformationen von den userinfo-Endpunkten abrufen, die im Discovery-Dokument für Anmeldungen angegeben sind. Die API-Antwort ist anders formatiert als die Antwort des Google+-Profils. Sie müssen das Parsen daher auf das neue Format umstellen.

Wenn du GoogleAuthUtil.getToken oder Plus.API verwendest, solltest du zur neuesten Log-in API migrieren, um für mehr Sicherheit und eine bessere Nutzererfahrung zu sorgen.