Se você já fez a integração com o Login do Google usando
GoogleAuthUtil.getToken ou Plus.API, é necessário migrar para a versão mais recente
API de login para maior segurança e uma melhor experiência do usuário.
Migrar do antipadrão de token de acesso
Não envie tokens de acesso obtidos com GoogleAuthUtil.getToken para
seu servidor de back-end como uma declaração de identidade, já que não é possível verificar
que o token foi emitido para seu back-end, deixando você vulnerável à inserção
de um token de acesso de um invasor.
Por exemplo, caso seu código do Android se pareça com o exemplo abaixo, você deve migrar seu app para as práticas recomendadas atuais.
No exemplo, as solicitações de token de acesso usam oauth2: e uma string de escopo como o
Parâmetro scope para a chamada de GoogleAuthUtil.getToken
(oauth2:https://www.googleapis.com/auth/plus.login).
Em vez de autenticar com um token de acesso adquirido com
GoogleAuthUtil.getToken, use o fluxo do token de ID ou o fluxo do código de autorização.
Migrar para o fluxo de tokens de ID
Se você só precisa do ID do usuário, endereço de e-mail, nome ou URL da foto do perfil, use o fluxo de token de ID.
Para migrar para o fluxo do token de ID, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão
GET_ACCOUNTS(contatos) se você a solicitar. - Troque qualquer código usando
GoogleAuthUtil,Plus.APIAccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()aAuth.GOOGLE_SIGN_IN_APIcom ConfiguraçãoGoogleSignInOptions.Builder.requestIdToken(...).
Lado do servidor
- Crie um novo endpoint para autenticação de token de ID.
- Desativar o endpoint antigo depois que os apps clientes forem migrados
Migrar para o fluxo do código de autenticação do servidor
Se o servidor precisar acessar outras APIs do Google, como Google Drive, YouTube, ou Contatos, use o fluxo do código de autenticação do servidor.
Para migrar para o fluxo do código de autenticação do servidor, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão
GET_ACCOUNTS(contatos) se você a solicitar. - Troque qualquer código usando
GoogleAuthUtil,Plus.APIAccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()aAuth.GOOGLE_SIGN_IN_APIcom ConfiguraçãoGoogleSignInOptions.Builder.requestServerAuthCode(...).
Lado do servidor
- Crie um endpoint para o fluxo do código de autenticação do servidor.
- Desativar o endpoint antigo depois que os apps clientes forem migrados
Você ainda pode compartilhar a lógica de acesso à API entre seus endpoints antigos e novos. Por exemplo:
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...); String accessToken = tokenResponse.getAccessToken(); String refreshToken = tokenResponse.getRefreshToken(); Long expiresInSeconds = tokenResponse.getExpiresInSeconds(); // Shared by your old and new implementation, old endpoint can pass null for refreshToken private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) { GoogleCredential credential = new GoogleCredential.Builder() .setTransPort(...) ... .build(); credential.setAccessToken(accessToken); credential.setExpiresInSeconds(expiresInSeconds); credential.setRefreshToken(refreshToken); }
Migrar do fluxo de tokens de ID do GoogleAuthUtil
Se você usar GoogleAuthUtil para receber tokens de ID, migre para a nova
Fluxo de token de ID da API de login.
Por exemplo, se o código do Android se parecer com o exemplo a seguir, você deverá migrate:
No exemplo, as solicitações de token de ID usam audience:server:client_id mais o
ID do cliente para seu servidor da Web como o parâmetro "scope" para o
GoogleAuthUtil.getToken chamada
(audience:server:client_id:9414861317621.apps.googleusercontent.com).
O novo fluxo de token de ID da API de login tem os seguintes benefícios:
- Experiência de login simplificada com um toque
- Seu servidor pode receber informações de perfil de usuário sem uma chamada de rede extra
Para migrar para o fluxo do token de ID, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão
GET_ACCOUNTS(contatos) se você a solicitar. - Troque qualquer código usando
GoogleAuthUtil,Plus.APIAccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()aAuth.GOOGLE_SIGN_IN_APIcom ConfiguraçãoGoogleSignInOptions.Builder.requestIdToken(...).
Lado do servidor
A nova API de login emite tokens de ID que obedecem aos requisitos do OpenID Connect
especificação, ao contrário de GoogleAuthUtil.getToken, que usa um formato descontinuado.
Mais especificamente, o emissor agora é https://accounts.google.com, com https.
esquema.
Durante o processo de migração, o servidor precisa verificar o token de ID de ambos clientes novos e antigos do Android. Para verificar os dois formatos do token, configure alteração que corresponda à biblioteca de cliente utilizada (se você utilizar uma):
- Java (bibliotecas de cliente de APIs do Google): upgrade para a versão 1.21.0 ou mais recente
- PHP (bibliotecas de cliente de APIs do Google): se você usa a v1, faça upgrade para a 1.1.6 ou mais recente. Se você usa a v2, faça upgrade para a 2.0.0-RC1 ou mais recente
- Node.js: fazer upgrade para a versão 0.9.7 ou mais recente
- Python ou suas próprias implementações: aceite os dois emissores a seguir:
https://accounts.google.comeaccounts.google.com
Migrar do fluxo de código de autenticação do servidor GoogleAuthUtil
Se você usar GoogleAuthUtil para receber um código de autenticação do servidor, migre para o
novo fluxo de código de autenticação da API de login.
Por exemplo, se o código do Android se parecer com o exemplo a seguir, você deverá migrate:
No exemplo, as solicitações de código de autenticação do servidor usam oauth2:server:client_id + o
ID do cliente para seu servidor da Web como o parâmetro scope para o
Chamada de GoogleAuthUtil.getToken (oauth2:server:client_id:9414861317621.apps.googleusercontent.com).
O novo fluxo de código de autenticação da API de login tem os seguintes benefícios:
- Experiência de login simplificada com um toque
- Se você seguir o guia de migração abaixo, seu servidor poderá receber um token de ID contendo as informações de perfil do usuário quando você faz a troca do código de autenticação
Para migrar para o novo fluxo do código de autenticação, faça as seguintes alterações:
Lado do cliente Android
- Remova a permissão
GET_ACCOUNTS(contatos) se você a solicitar. - Troque qualquer código usando
GoogleAuthUtil,Plus.APIAccountPicker.newChooseAccountIntent()ouAccountManager.newChooseAccountIntent()aAuth.GOOGLE_SIGN_IN_APIcom ConfiguraçãoGoogleSignInOptions.Builder.requestServerAuthCode(...).
Lado do servidor
Manter o código atual, mas especificar https://oauth2.googleapis.com/token
como o endpoint do servidor de token ao criar
objeto GoogleAuthorizationCodeTokenRequest, para que você possa receber um token de ID
com o e-mail, ID do usuário e informações do perfil do usuário sem precisar de outro
chamada de rede. Este endpoint é totalmente compatível com versões anteriores, e o código abaixo
funcionará para códigos de autenticação do servidor recuperados do Android antigo e do novo
as implementações do cliente.
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest( transport, jsonFactory, // Use below for tokenServerEncodedUrl parameter "https://oauth2.googleapis.com/token", clientSecrets.getDetails().getClientId(), clientSecrets.getDetails().getClientSecret(), authCode, REDIRECT_URI) .execute(); ... // You can also get an ID token from auth code exchange. GoogleIdToken googleIdToken = tokenResponse.parseIdToken(); GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) .setAudience(Arrays.asList(SERVER_CLIENT_ID)) .setIssuer("https://accounts.google.com") .build(); // Refer to ID token documentation to see how to get data from idToken object. GoogleIdToken idToken = verifier.verify(idTokenString); ...