Descripción general
El 16 de febrero de 2022, anunciamos planes para mejorar la seguridad de las interacciones de Google OAuth mediante flujos más seguros. Esta guía te ayuda a comprender los cambios y los pasos necesarios para migrar con éxito del flujo de direcciones IP de bucle a las alternativas compatibles.
Este esfuerzo es una medida de protección contra la suplantación de identidad (phishing) y los ataques de robo de identidad de apps durante las interacciones con los extremos de autorización de OAuth 2.0 de Google.
¿Cuál es el flujo de dirección IP de bucle invertido?
El flujo de dirección IP de bucle invertido admite el uso de una dirección IP de bucle invertido olocalhost como el componente de host del URI de redireccionamiento al que se envían las credenciales después de que un usuario aprueba una solicitud de consentimiento de OAuth. Este flujo es vulnerable a los ataques intermediarios en los que una app malintencionada que accede a la misma interfaz de bucle invertido en algunos sistemas operativos puede interceptar la respuesta del servidor de autorización al URI de redireccionamiento determinado y obtener acceso al código de autorización.
El flujo de direcciones IP de bucle de baja dejará de estar disponible para los tipos de cliente nativos de iOS, Android y Chrome OAuth, pero seguirá admitiéndose en las apps de escritorio.
Fechas clave de cumplimiento
- 14 de marzo de 2022: Los clientes nuevos de OAuth no podrán usar el flujo de direcciones IP de bucle invertido.
- 1 de agosto de 2022: Es posible que se muestre un mensaje de advertencia para los usuarios en las solicitudes de OAuth que no cumplan con las políticas.
- 31 de agosto de 2022: El flujo de direcciones IP de bucle invertido se bloqueará en los clientes de OAuth nativos de Android, iOS y la app de Chrome que se hayan creado antes del 14 de marzo de 2022.
- 21 de octubre de 2022: Se bloquean todos los clientes existentes (incluidos los clientes exentos)
Se mostrará un mensaje de error para los usuarios que no cumplan con las políticas. El mensaje indicará a los usuarios que la app está bloqueada mientras se muestra el correo electrónico de asistencia que registraste en la pantalla de consentimiento de OAuth en la Consola de API de Google.
- Determine si este problema lo afecta.
- Migra a una alternativa admitida si te afecta.
Determine si este problema le afecta
Revisa tu tipo de ID de cliente de OAuth
Navega hasta el Credentials page valor de Google API Console ID de cliente de OAuth y ve a la sección ID de cliente de OAuth 2.0. Será cualquiera de las siguientes: aplicación web, Android, iOS, plataforma universal de Windows (UWP), app de Chrome, TVs y dispositivos de entrada limitada, app de escritorio.
Continúa con el siguiente paso si tu tipo de cliente es Android, la app de Chrome o iOS, y usas el flujo de direcciones IP de bucle invertido.
No necesitas realizar ninguna acción relacionada con esta baja si usas el flujo de dirección IP de bucle invertido en un cliente de OAuth para apps de escritorio, ya que el uso con ese tipo de cliente de OAuth seguirá siendo compatible.
Cómo determinar si tu app usa el flujo de direcciones IP de bucle invertido
Inspecciona el código de tu app o la llamada de red saliente (en caso de que tu app use una biblioteca de OAuth) para determinar si la solicitud de autorización de Google OAuth usa los valores de URI de redireccionamiento de bucles.
Inspeccione el código de su aplicación
redirect_uri tiene alguno de los siguientes valores:-
redirect_uri=http://127.0.0.1:<port>p.ej.redirect_uri=http://127.0.0.1:3000 -
redirect_uri=http://[::1]:<port>p.ej.redirect_uri=http://[::1]:3000 -
redirect_uri=http://localhost:<port>p.ej.redirect_uri=http://localhost:3000
https://accounts.google.com/o/oauth2/v2/auth? redirect_uri=http://localhost:3000& response_type=code& scope=<SCOPES>& state=<STATE>& client_id=<CLIENT_ID>
Inspeccionar la llamada de red saliente
- Aplicación web: Inspeccionar la actividad de red en Chrome
- Android: Inspecciona el tráfico de red con el Inspector de red
-
Apps de Chrome
- Navega hasta la página de extensiones de Chrome.
- Marca la casilla de verificación Modo de desarrollador en la esquina superior derecha de la página de la extensión.
- Seleccione la extensión que desea supervisar
- Haz clic en el vínculo Página de fondo en la sección Inspeccionar vistas de la página de la extensión.
- Se abrirá una ventana emergente de Herramientas para desarrolladores, en la que podrás supervisar el tráfico de red en la pestaña Red.
- iOS: Cómo analizar el tráfico HTTP con instrumentos
- Plataforma universal de Windows (UWP): Inspeccionar el tráfico de red en Visual Studio
- Apps de escritorio: Usa una herramienta de captura de red disponible para el sistema operativo para el que se desarrolló la app.
redirect_uri tiene alguno de los siguientes valores:-
redirect_uri=http://127.0.0.1:<port>p.ej.redirect_uri=http://127.0.0.1:3000 -
redirect_uri=http://[::1]:<port>p.ej.redirect_uri=http://[::1]:3000 -
redirect_uri=http://localhost:<port>p.ej.redirect_uri=http://localhost:3000
https://accounts.google.com/o/oauth2/v2/auth? redirect_uri=http://localhost:3000& response_type=code& scope=<SCOPES>& state=<STATE>& client_id=<CLIENT_ID>
Migra a una alternativa compatible
Clientes para dispositivos móviles (Android / iOS)
Si determinas que tu app usa el flujo de dirección IP de bucle invertido con un tipo de cliente de OAuth para Android o iOS, debes migrar a nuestros SDK para dispositivos móviles de Acceso con Google (Android o iOS).
El SDK facilita el acceso a las API de Google y controla todas las llamadas a los extremos de autorización de OAuth 2.0 de Google.
En los siguientes vínculos de documentación, se proporciona información para usar los SDK de Acceso con Google a fin de acceder a las API de Google sin usar un URI de redireccionamiento de dirección IP de bucle invertido.
Acceso a las API de Google en Android
Acceso del servidor (sin conexión)
En el siguiente ejemplo, se muestra cómo acceder a las APIs de Google en el servidor en Android.
Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
try {
GoogleSignInAccount account = task.getResult(ApiException.class);
// request a one-time authorization code that your server exchanges for an
// access token and sometimes refresh token
String authCode = account.getServerAuthCode();
// Show signed-in UI
updateUI(account);
// TODO(developer): send code to server and exchange for access/refresh/ID tokens
} catch (ApiException e) {
Log.w(TAG, "Sign-in failed", e);
updateUI(null);
}
Consulta la guía de acceso del servidor para acceder a las API de Google desde el servidor.
Accede a las API de Google en una app para iOS
Acceso del cliente
En el siguiente ejemplo, se muestra cómo acceder a las API de Google en el cliente en iOS.
user.authentication.do { authentication, error in
guard error == nil else { return }
guard let authentication = authentication else { return }
// Get the access token to attach it to a REST or gRPC request.
let accessToken = authentication.accessToken
// Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
// use with GTMAppAuth and the Google APIs client library.
let authorizer = authentication.fetcherAuthorizer()
}
Usa el token de acceso a fin de llamar a la API, ya sea mediante la inclusión del token de acceso en el encabezado de una solicitud de REST o gRPC (Authorization: Bearer ACCESS_TOKEN), o mediante el autorizador de obtención (GTMFetcherAuthorizationProtocol) con la
biblioteca cliente de las API de Google para Objective-C para REST.
Consulta la guía de acceso del cliente para obtener información sobre cómo acceder a las API de Google del cliente. sobre cómo acceder a las API de Google en el cliente.
Acceso al servidor (sin conexión)
En el siguiente ejemplo, se muestra cómo acceder a las API de Google en el servidor para admitir un cliente de iOS.
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
guard error == nil else { return }
guard let user = user else { return }
// request a one-time authorization code that your server exchanges for
// an access token and refresh token
let authCode = user.serverAuthCode
}
Revisa la guía de acceso del servidor para acceder a las API de Google desde el servidor.
Cliente de Chrome App
Si determinas que tu app usa el flujo de dirección IP de bucle invertido en el cliente de la app de Chrome, debes migrar al uso de la API de Chrome Identity.
En el siguiente ejemplo, se muestra cómo obtener todos los contactos del usuario sin usar un URI de redireccionamiento de dirección IP de bucle invertido.
window.onload = function() {
document.querySelector('button').addEventListener('click', function() {
// retrieve access token
chrome.identity.getAuthToken({interactive: true}, function(token) {
// ..........
// the example below shows how to use a retrieved access token with an appropriate scope
// to call the Google People API contactGroups.get endpoint
fetch(
'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
init)
.then((response) => response.json())
.then(function(data) {
console.log(data)
});
});
});
};
Revisa la guía de la API de Chrome Identity para obtener más información sobre cómo acceder a los usuarios de autenticación y llamar a los extremos de Google con la API de Chrome Identity.