Переход со входа в Google+

Действия по минимизации влияния изменений области действия на пользователей

  1. Если вашему приложению требуется адрес электронной почты аутентифицированного пользователя и вы ранее использовали для этой цели profile.emails.read , используйте вместо него email .
  2. Получите одобрение для profile.emails.read с одобренным запросом на проверку. См. раздел Как отправить на проверку?
  3. Отзовите предыдущий токен пользователя в области, которую необходимо удалить, или полностью удалите доступ к приложению. Например, токен с доступом profile.emails.read должен быть отозван. Мы рекомендуем вам применить отзыв, пока ваши пользователи находятся в вашем приложении, чтобы вы могли немедленно получить согласие пользователя.
  4. Предложите пользователям повторно согласиться с новой областью действия, например email , без profile.emails.read .
  5. Удалите область, которая должна быть постепенно исключена из конфигурации экрана согласия OAuth API Google.

Чтобы перенести приложение с входа в Google+ на вход в Google, вам необходимо обновить кнопку входа, запрашиваемые области и инструкции по получению информации профиля из Google. Для получения полных инструкций следуйте нашей документации по входу в Google для Android .

При обновлении кнопки входа не ссылайтесь на G+ и не используйте красный цвет. Соответствуйте нашим обновленным рекомендациям по брендингу .

Большинство приложений для входа в Google+ запрашивали некоторую комбинацию областей: plus.login , plus.me и plus.profile.emails.read . Используя GoogleSignInOptions.Builder с опцией DEFAULT_SIGN_IN , вы автоматически запросите область profile , которая предоставляет имя пользователя и изображение профиля. Если вам также нужен адрес электронной почты пользователя, вам следует вызвать .requestEmail() при создании параметров входа в Google.

Многие разработчики Google+ Sign-In использовали поток кода . Это означает, что приложения Android, iOS или JavaScript получают код авторизации OAuth от Google, а клиент отправляет этот код обратно на сервер вместе с защитой от подделки межсайтовых запросов. Затем сервер проверяет код и получает токены обновления и доступа для получения информации профиля пользователя из API people.get .

Теперь Google рекомендует вам запросить токен идентификатора и отправить токен идентификатора от вашего клиента на ваш сервер. Токены идентификатора имеют встроенную защиту от межсайтовой подделки, а также могут быть статически проверены на вашем сервере, что позволяет избежать дополнительного вызова API для получения информации профиля пользователя с серверов Google. Следуйте инструкциям для проверки токенов идентификатора на вашем сервере .

Если вы по-прежнему предпочитаете использовать поток кода для получения информации профиля, вы можете это сделать. Как только ваш сервер получит токен доступа, вам необходимо получить информацию о профиле пользователя от конечных точек userinfo , указанных в нашем документе Обнаружение входа в систему. Ответ API форматируется иначе, чем ответ профиля Google+, поэтому вам необходимо обновить синтаксический анализ до нового формата.

Если вы используете GoogleAuthUtil.getToken или Plus.API , вам следует перейти на новейшую версию API входа в систему, чтобы повысить безопасность и улучшить взаимодействие с пользователем.