概要
2022 年 2 月 16 日、Google はより安全な OAuth フローを使用して、Google OAuth インタラクションをより安全にする計画を 発表しました。このガイドでは、OAuth の帯域外(OOB)フローからサポートされている代替フローに移行するために必要な変更と手順について説明します。
この取り組みは、Google の OAuth 2.0 認可エンドポイントとのやり取りにおけるフィッシング攻撃やアプリのなりすまし攻撃を防ぐための対策です。
OOB とは?
OAuth 帯域外(OOB)は、手動でのコピー/貼り付けオプションとも呼ばれ、ユーザーが OAuth 同意リクエストを承認した後、認証情報を受け入れるリダイレクト URI を持たないネイティブ クライアントをサポートするために開発されたレガシーフローです。OOB フローはリモートでのフィッシングのリスクをもたらすため、クライアントはこの脆弱性から保護するために別の方法に移行する必要があります。ウェブ アプリケーション、Android、iOS、Universal Windows Platform(UWP)、Chrome アプリ、テレビ、入力制限のあるデバイス、デスクトップ アプリなど、すべての種類のクライアントで OOB フローが非推奨となります。
主な準拠日
- 2022 年 2 月 28 日 - OOB フローでの新しい OAuth の使用をブロック
- 2022 年 9 月 5 日 - ポリシーに準拠していない OAuth リクエストに対して、ユーザー向けの警告メッセージが表示される場合がある
- 2022 年 10 月 3 日 - 2022 年 2 月 28 日より前に作成された OAuth クライアントに対する OOB フローのサポート終了
- 2023 年 1 月 31 日 - 既存のすべてのクライアントがブロックされる(除外されたクライアントを含む)
準拠していないリクエストについては、ユーザー向けのエラー メッセージが表示されます。 このメッセージは、アプリがブロックされていることをユーザーに伝えるもので、Google API Console の OAuth 同意画面で登録したサポートメールアドレスが表示されます。
- 影響を受けているかどうかを確認します。
- 影響を受ける場合は、より安全な代替手段に移行してください。
影響を受けているかどうかを確認する
このサポート終了は、製品版アプリ(公開ステータスが 製品版のアプリなど)にのみ適用されます。 テストの公開ステータスのアプリについては、このフローは引き続き機能します。
Google API Console の OAuth Consent Screen pageで公開ステータスを確認し、公開ステータスが「製品版」のプロジェクトで OOB フローを使用している場合は次のステップに進みます。
アプリが OOB フローを使用しているかどうかを確認する方法
アプリのコードまたは発信ネットワーク呼び出し(アプリが OAuth ライブラリを使用している場合)を検査して、アプリが行っている Google OAuth 認証リクエストが OOB リダイレクト URI 値を使用しているかどうかを確認します。
アプリケーション コードを検査する
redirect_uri パラメータに次のいずれかの値が入っているかどうかを確認します。
redirect_uri=urn:ietf:wg:oauth:2.0:oobredirect_uri=urn:ietf:wg:oauth:2.0:oob:autoredirect_uri=oob
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& scope=<SCOPES>& state=<STATE>& redirect_uri=urn:ietf:wg:oauth:2.0:oob& client_id=<CLIENT_ID>
発信ネットワーク通話の検査
- ウェブ アプリケーション - Chrome でのネットワーク アクティビティを検査する
- Android - Network Inspector を使用してネットワーク トラフィックを検査する
-
Chrome アプリ
- Chrome 拡張機能ページに移動
- 拡張機能ページの右上にある [デベロッパー モード] チェックボックスをオンにします。
- モニタリングする拡張機能を選択する
- 拡張機能ページの [ビューを検査する] セクションで [バックグラウンド ページ] リンクをクリックします。
- デベロッパー ツールのポップアップが開き、 [ネットワーク] タブでネットワーク トラフィックをモニタリングできます。
- iOS - Instruments を使用した HTTP トラフィックの分析
- Universal Windows Platform(UWP) - Visual Studio でネットワーク トラフィックを検査する
- デスクトップ アプリ - アプリが開発されたオペレーティング システムで利用できる ネットワーク キャプチャ ツールを使用する
redirect_uri パラメータに次のいずれかの値が指定されているかどうかを確認します。
redirect_uri=urn:ietf:wg:oauth:2.0:oobredirect_uri=urn:ietf:wg:oauth:2.0:oob:autoredirect_uri=oob
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& scope=<SCOPES>& state=<STATE>& redirect_uri=urn:ietf:wg:oauth:2.0:oob& client_id=<CLIENT_ID>
安全な代替手段に移行する
モバイル クライアント(Android、iOS)
アプリが Android または iOS の OAuth クライアント タイプで OOB フローを使用していると判断した場合は、Google ログイン モバイル SDK(Android、iOS)の使用に移行する必要があります。
この SDK により、Google API に簡単にアクセスできるようになり、Google の OAuth 2.0 認可エンドポイントへのすべての呼び出しが処理されます。
以下のドキュメントのリンクは、Google ログイン SDK を使用して、OOB リダイレクト URI を使用せずに Google API にアクセスする方法を示しています。
Android で Google API にアクセスする
サーバーサイド(オフライン)アクセス
次の例は、Android のサーバー側から Google API にアクセスする方法を示しています。
Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
try {
GoogleSignInAccount account = task.getResult(ApiException.class);
// request a one-time authorization code that your server exchanges for an
// access token and sometimes refresh token
String authCode = account.getServerAuthCode();
// Show signed-in UI
updateUI(account);
// TODO(developer): send code to server and exchange for access/refresh/ID tokens
} catch (ApiException e) {
Log.w(TAG, "Sign-in failed", e);
updateUI(null);
}
サーバーサイドから Google API にアクセスする方法については、サーバーサイドのアクセスガイドをご覧ください。
iOS アプリで Google API にアクセスする
クライアントサイド アクセス
次の例は、iOS のクライアントサイドで Google API にアクセスする方法を示しています。
user.authentication.do { authentication, error in
guard error == nil else { return }
guard let authentication = authentication else { return }
// Get the access token to attach it to a REST or gRPC request.
let accessToken = authentication.accessToken
// Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
// use with GTMAppAuth and the Google APIs client library.
let authorizer = authentication.fetcherAuthorizer()
}
アクセス トークンを使用して API を呼び出すには、REST または gRPC リクエストのヘッダーにアクセス トークンを含めるか(Authorization: Bearer ACCESS_TOKEN)、または
Objective-C for REST 用 Google API クライアント ライブラリでフェッチャー承認ツール(GTMFetcherAuthorizationProtocol)を使用します。
クライアントサイドで Google API にアクセスする方法については、クライアントサイドのアクセスガイドをご覧ください。 クライアント側で Google API にアクセスする方法も学びました。
サーバーサイド(オフライン)アクセス
次の例は、サーバー側で Google API にアクセスし、iOS クライアントをサポートする方法を示しています。
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
guard error == nil else { return }
guard let user = user else { return }
// request a one-time authorization code that your server exchanges for
// an access token and refresh token
let authCode = user.serverAuthCode
}
サーバーサイドから Google API にアクセスする方法については、サーバーサイドのアクセスガイドをご覧ください。
Chrome アプリ クライアント
アプリが Chrome アプリ クライアントの OOB フローを使用していると判断した場合は、 Chrome Identity API を使用するよう移行する必要があります。
次の例は、OOB リダイレクト URI を使用せずにすべてのユーザーの連絡先を取得する方法を示しています。
window.onload = function() {
document.querySelector('button').addEventListener('click', function() {
// retrieve access token
chrome.identity.getAuthToken({interactive: true}, function(token) {
// ..........
// the example below shows how to use a retrieved access token with an appropriate scope
// to call the Google People API contactGroups.get endpoint
fetch(
'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
init)
.then((response) => response.json())
.then(function(data) {
console.log(data)
});
});
});
};
Chrome Identity API を使用してユーザーを認証し、Google エンドポイントを呼び出す方法については、 Chrome Identity API ガイドをご覧ください。
ウェブ アプリケーション
アプリがウェブ アプリケーションの OOB フローを使用していると判断した場合は、Google API クライアント ライブラリのいずれかを使用するよう移行する必要があります。各種プログラミング言語のクライアント ライブラリについては、こちらをご覧ください。
このライブラリを使用すると、Google API に簡単にアクセスし、Google エンドポイントへのすべての呼び出しを処理できます。
サーバーサイド(オフライン)アクセス
- サーバーを起動し、認可コードを受け取るために一般公開されているエンドポイント(リダイレクト URI)を定義します。
- Google API Consoleの Credentials page で リダイレクト URI を構成する
次のコード スニペットは、Google Drive API を使用して、OOB リダイレクト URI を使用せずにサーバーサイドでユーザーの Google ドライブ ファイルを一覧表示する NodeJS の例を示しています。
async function main() {
const server = http.createServer(async function (req, res) {
if (req.url.startsWith('/oauth2callback')) {
let q = url.parse(req.url, true).query;
if (q.error) {
console.log('Error:' + q.error);
} else {
// Get access and refresh tokens (if access_type is offline)
let { tokens } = await oauth2Client.getToken(q.code);
oauth2Client.setCredentials(tokens);
// Example of using Google Drive API to list filenames in user's Drive.
const drive = google.drive('v3');
drive.files.list({
auth: oauth2Client,
pageSize: 10,
fields: 'nextPageToken, files(id, name)',
}, (err1, res1) => {
// TODO(developer): Handle response / error.
});
}
}
}
サーバー側から Google API にアクセスする方法については、 サーバー側ウェブアプリのガイドをご覧ください。
クライアントサイド アクセス
以下の JavaScript のコード スニペットは、Google API を使ってクライアント側からユーザーのカレンダーの予定にアクセスする例を示しています。
// initTokenClient() initializes a new token client with your
// web app's client ID and the scope you need access to
const client = google.accounts.oauth2.initTokenClient({
client_id: 'YOUR_GOOGLE_CLIENT_ID',
scope: 'https://www.googleapis.com/auth/calendar.readonly',
// callback function to handle the token response
callback: (tokenResponse) => {
if (tokenResponse && tokenResponse.access_token) {
gapi.client.setApiKey('YOUR_API_KEY');
gapi.client.load('calendar', 'v3', listUpcomingEvents);
}
},
});
function listUpcomingEvents() {
gapi.client.calendar.events.list(...);
}
クライアントサイドから Google API にアクセスする方法については、 クライアントサイド ウェブアプリ ガイドをご覧ください。
デスクトップ クライアント
アプリがデスクトップ クライアントで OOB フローを使用していると判断した場合は、
ループバック IP アドレス(localhost または 127.0.0.1)フローを使用するよう移行する必要があります。