Cette page a été traduite par l'API Cloud Translation.

Effectuer une migration depuis Google+ Sign-In

Avertissement:La fonctionnalité de connexion Google pour Android est obsolète et n'est plus prise en charge. Pour assurer la sécurité et la facilité d'utilisation continues de votre application, migrez vers le Gestionnaire d'identifiants dès aujourd'hui. Le Gestionnaire d'identifiants est compatible avec l'authentification par clé d'accès, mot de passe et identité fédérée (comme Se connecter avec Google), ce qui renforce la sécurité et offre une expérience utilisateur plus cohérente. Pour les développeurs Wear: le Gestionnaire d'identifiants sera compatible avec Wear OS 5.1 et versions ultérieures sur certaines montres. Les développeurs qui prennent activement en charge les appareils Wear OS 3, 4 et 5.0 avec Se connecter avec Google doivent continuer à utiliser Google Sign-In pour Android pour leurs applications Wear. L'assistance Se connecter avec Google sera disponible sur les API Gestionnaire d'identifiants pour ces versions de Wear OS à une date ultérieure.

Important:Le champ d'application profile.emails.read est désormais classé comme champ d'application sensible. Vous pouvez obtenir la même fonctionnalité avec le champ d'application OpenID Connect (OIDC) de email. Pour minimiser l'impact sur vos utilisateurs, suivez les étapes de ce guide.

Si vous ne suivez pas ces étapes, un écran d'application non validé ou un message "Connexion désactivée" peut s'afficher pour tous les utilisateurs disposant d'un jeton actif et ayant toujours accès au champ d'application que nous avons abandonné. Ils recevront également un avertissement du Centre de sécurité pour supprimer l'accès risqué à leurs données. Cela se produit lorsque l'utilisateur dispose d'un jeton actif dont le champ d'application de l'API n'est plus validé. Si votre application ne révoque pas le jeton comme décrit dans les étapes prescrites, l'utilisateur peut continuer à recevoir un avertissement.

Étapes à suivre pour minimiser l'impact des modifications de champ d'application sur les utilisateurs

Si votre application nécessite l'adresse e-mail d'un utilisateur authentifié et que vous avez déjà utilisé profile.emails.read à cette fin, utilisez plutôt email.
Obtenez l'approbation de profile.emails.read avec une demande de validation approuvée. Consultez Comment envoyer une demande de validation ?
Révoquez le jeton utilisateur précédent pour le champ d'application à supprimer ou supprimez complètement l'accès à l'application. Par exemple, un jeton avec l'accès profile.emails.read doit être révoqué. Nous vous recommandons d'appliquer la révocation lorsque vos utilisateurs se trouvent dans votre application afin de pouvoir obtenir leur consentement immédiatement.
Demandez à vos utilisateurs de donner à nouveau leur consentement avec le nouveau champ d'application, par exemple email, sans profile.emails.read.
Supprimez le champ d'application qui doit être abandonné de la configuration de l'écran de consentement OAuth de vos API Google.

Pour migrer votre application de Google+ Sign-In vers Google Sign-In, vous devez mettre à jour votre bouton de connexion, les champs d'application demandés et les instructions pour récupérer les informations de profil auprès de Google. Pour obtenir des instructions complètes, consultez la documentation de Google Sign-In pour Android.

Lorsque vous mettez à jour votre bouton de connexion, ne faites pas référence à G+ et n'utilisez pas le rouge. Respectez nos consignes relatives à la marque mises à jour.

La plupart des applications Google+ Sign-In demandaient une combinaison des champs d'application suivants : plus.login, plus.me et plus.profile.emails.read. En utilisant GoogleSignInOptions.Builder avec l'option DEFAULT_SIGN_IN, vous demandez automatiquement l'étendue profile, qui fournit le nom et la photo de profil de l'utilisateur. Si vous souhaitez également obtenir l'adresse e-mail de l'utilisateur, vous devez appeler .requestEmail() lors de la création des options de connexion Google.

De nombreux implémentateurs de Google+ Sign-In ont utilisé le flux de code. Cela signifie que les applications Android, iOS ou JavaScript obtiennent un code d'autorisation OAuth auprès de Google, et que le client renvoie ce code au serveur, avec une protection contre la falsification des requêtes intersites. Le serveur valide ensuite le code et obtient des jetons d'actualisation et d'accès pour extraire les informations de profil utilisateur de l'API people.get.

Google vous recommande désormais de demander un jeton d'ID et de l'envoyer depuis votre client vers votre serveur. Les jetons d'identification sont dotés d'une protection intégrée contre la falsification intersites et peuvent également être validés de manière statique sur votre serveur, ce qui évite un appel d'API supplémentaire pour obtenir des informations sur le profil utilisateur à partir des serveurs de Google. Suivez les instructions pour valider les jetons d'identification sur votre serveur.

Si vous préférez toujours utiliser le flux de code pour obtenir des informations de profil, vous pouvez le faire. Une fois que votre serveur dispose d'un jeton d'accès, vous devez obtenir des informations sur le profil utilisateur à partir des points de terminaison userinfo spécifiés dans notre document de découverte sur la connexion. La réponse de l'API est mise en forme différemment de la réponse du profil Google+. Vous devez donc mettre à jour votre analyse pour utiliser le nouveau format.

Si vous utilisez GoogleAuthUtil.getToken ou Plus.API, vous devez migrer vers la dernière API Sign-In pour plus de sécurité et une meilleure expérience utilisateur.