Обзор
16 февраля 2022 года мы объявили о планах сделать взаимодействие Google OAuth более безопасным за счет использования более безопасных потоков OAuth. Это руководство поможет вам понять необходимые изменения и шаги для успешного перехода от потока IP-адресов обратной связи к поддерживаемым альтернативам.
Эта мера является защитной мерой против фишинга и атак, выдающих себя за другое приложение, во время взаимодействия с конечными точками авторизации Google OAuth 2.0.
Что такое поток IP-адреса обратной связи?
Поток IP-адреса обратной связи поддерживает использование IP-адреса обратной связи илиlocalhost
в качестве компонента узла URI перенаправления, куда отправляются учетные данные после того, как пользователь одобрит запрос согласия OAuth. Этот поток уязвим для атак типа «человек посередине», когда злонамеренное приложение, обращаясь к одному и тому же интерфейсу обратной связи в некоторых операционных системах, может перехватить ответ сервера авторизации на заданный URI перенаправления и получить доступ к коду авторизации.Поток IP-адресов обратной связи устарел для собственных типов клиентов OAuth iOS, Android и Chrome, но будет продолжать поддерживаться в настольных приложениях.
Ключевые даты соответствия
- 14 марта 2022 г. — новым клиентам OAuth запрещено использовать поток IP-адресов Loopback.
- 1 августа 2022 г. — при несовместимых запросах OAuth может отображаться предупреждение для пользователя.
- 31 августа 2022 г. — поток IP-адресов Loopback заблокирован для собственных клиентов OAuth для Android, приложений Chrome и iOS, созданных до 14 марта 2022 г.
- 21 октября 2022 г. — заблокированы все существующие клиенты (включая освобожденных клиентов).
Для несоответствующих запросов будет отображаться сообщение об ошибке для пользователя. Сообщение будет сообщать пользователям о том, что приложение заблокировано, при этом отображается адрес электронной почты службы поддержки, который вы зарегистрировали на экране согласия OAuth в консоли Google API .
- Определите, затронуты ли вы.
- Перейдите на поддерживаемую альтернативу, если это затронуло вас.
Определите, затронуты ли вы
Проверьте тип идентификатора клиента OAuth.
Перейдите к Credentials page принадлежащий Google API Console и просмотрите тип идентификатора клиента OAuth в разделе «Идентификаторы клиента OAuth 2.0» . Это может быть любое из следующих приложений: веб-приложение , Android , iOS , универсальная платформа Windows (UWP) , приложение Chrome , телевизоры и устройства ограниченного ввода , настольное приложение .
Перейдите к следующему шагу, если тип вашего клиента — Android, приложение Chrome или iOS и вы используете поток IP-адресов обратной связи.
Вам не нужно делать ничего, связанного с прекращением поддержки, если вы используете поток IP-адресов обратной связи на клиенте OAuth приложения для настольных компьютеров, поскольку использование этого типа клиента OAuth будет по-прежнему поддерживаться.
Как определить, использует ли ваше приложение поток IP-адресов обратной связи
Проверьте код вашего приложения или исходящий сетевой вызов (если ваше приложение использует библиотеку OAuth), чтобы определить, использует ли запрос авторизации Google OAuth, который делает ваше приложение, значения URI перенаправления обратной связи.
Проверьте код вашего приложения
redirect_uri
какое-либо из следующих значений:-
redirect_uri=http://127.0.0.1: <port>
например,redirect_uri=http://127.0.0.1: 3000
-
redirect_uri=http://[::1]: <port>
например,redirect_uri=http://[::1]: 3000
-
redirect_uri=http://localhost: <port>
например,redirect_uri=http://localhost: 3000
https://accounts.google.com/o/oauth2/v2/auth? redirect_uri=http://localhost:3000& response_type=code& scope=<SCOPES>& state=<STATE>& client_id=<CLIENT_ID>
Проверка исходящего сетевого вызова
- Веб-приложение – проверка сетевой активности в Chrome
- Android : проверка сетевого трафика с помощью Network Inspector
- Приложения Chrome
- Перейдите на страницу расширений Chrome.
- Установите флажок «Режим разработчика» в правом верхнем углу страницы расширения.
- Выберите расширение, которое вы хотите отслеживать.
- Нажмите на ссылку фоновой страницы в разделе «Проверка представлений» на странице расширения.
- Откроется всплывающее окно «Инструменты разработчика» , где вы сможете отслеживать сетевой трафик на вкладке «Сеть».
- iOS – анализ HTTP-трафика с помощью инструментов
- Универсальная платформа Windows (UWP) — проверка сетевого трафика в Visual Studio
- Приложения для ПК – используйте инструмент захвата сети, доступный для операционной системы, для которой было разработано приложение.
redirect_uri
какое-либо из следующих значений:-
redirect_uri=http://127.0.0.1: <port>
например,redirect_uri=http://127.0.0.1: 3000
-
redirect_uri=http://[::1]: <port>
например,redirect_uri=http://[::1]: 3000
-
redirect_uri=http://localhost: <port>
например,redirect_uri=http://localhost: 3000
https://accounts.google.com/o/oauth2/v2/auth? redirect_uri=http://localhost:3000& response_type=code& scope=<SCOPES>& state=<STATE>& client_id=<CLIENT_ID>
Перейти на поддерживаемую альтернативу
Мобильные клиенты (Android/iOS)
Если вы определите, что ваше приложение использует поток IP-адресов обратной связи с типом клиента OAuth для Android или iOS, вам следует перейти на использование наших мобильных SDK для входа в Google ( Android , iOS ).
SDK упрощает доступ к API Google и обрабатывает все вызовы к конечным точкам авторизации Google OAuth 2.0.
Ссылки на документацию ниже предоставляют информацию о том, как использовать SDK для входа в Google для доступа к API Google без использования URI перенаправления IP-адреса обратной связи.
Доступ к API Google на Android
Доступ на стороне сервера (офлайн)
В примере ниже показано, как получить доступ к API Google на стороне сервера на Android .Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data); try { GoogleSignInAccount account = task.getResult(ApiException.class); // request a one-time authorization code that your server exchanges for an // access token and sometimes refresh token String authCode = account.getServerAuthCode(); // Show signed-in UI updateUI(account); // TODO(developer): send code to server and exchange for access/refresh/ID tokens } catch (ApiException e) { Log.w(TAG, "Sign-in failed", e); updateUI(null); }
Ознакомьтесь с руководством по доступу на стороне сервера, чтобы узнать, как получить доступ к API Google со стороны сервера.
Доступ к API Google в приложении iOS
Доступ на стороне клиента
В примере ниже показано, как получить доступ к API Google на стороне клиента в iOS .
user.authentication.do { authentication, error in guard error == nil else { return } guard let authentication = authentication else { return } // Get the access token to attach it to a REST or gRPC request. let accessToken = authentication.accessToken // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for // use with GTMAppAuth and the Google APIs client library. let authorizer = authentication.fetcherAuthorizer() }
Используйте токен доступа для вызова API, включив токен доступа в заголовок запроса REST или gRPC ( Authorization: Bearer ACCESS_TOKEN
) или используя авторизатор выборки ( GTMFetcherAuthorizationProtocol
) с клиентской библиотекой API Google для Objective-C. для ОТДЫХА .
Ознакомьтесь с руководством по доступу на стороне клиента , чтобы узнать, как получить доступ к API Google на стороне клиента. о том, как получить доступ к API Google на стороне клиента.
Доступ на стороне сервера (офлайн)
В примере ниже показано, как получить доступ к API Google на стороне сервера для поддержки клиента iOS.GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in guard error == nil else { return } guard let user = user else { return } // request a one-time authorization code that your server exchanges for // an access token and refresh token let authCode = user.serverAuthCode }
Ознакомьтесь с руководством по доступу на стороне сервера, чтобы узнать, как получить доступ к API Google со стороны сервера.
Клиент приложения Chrome
Если вы определите, что ваше приложение использует поток IP-адресов обратной связи в клиенте приложения Chrome, вам следует перейти на использование Chrome Identity API .
В приведенном ниже примере показано, как получить все контакты пользователя без использования URI перенаправления IP-адреса обратной связи.
window.onload = function() { document.querySelector('button').addEventListener('click', function() { // retrieve access token chrome.identity.getAuthToken({interactive: true}, function(token) { // .......... // the example below shows how to use a retrieved access token with an appropriate scope // to call the Google People API contactGroups.get endpoint fetch( 'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY', init) .then((response) => response.json()) .then(function(data) { console.log(data) }); }); }); };
Ознакомьтесь с руководством Chrome Identity API для получения дополнительной информации о том, как получить доступ к аутентификации пользователей и вызывать конечные точки Google с помощью Chrome Identity API.