GoogleAuthUtil 및 Plus.API에서 이전

이전에 GoogleAuthUtil.getToken 또는 Plus.API를 사용하여 Google 로그인과 통합한 경우 보안을 강화하고 더 나은 사용자 환경을 제공하려면 최신 로그인 API로 이전해야 합니다.

액세스 토큰 안티패턴에서 이전

GoogleAuthUtil.getToken로 얻은 액세스 토큰을 ID 어설션으로 백엔드 서버에 전송하면 안 됩니다. 토큰이 백엔드에 발급되었는지 쉽게 확인할 수 없어 공격자의 액세스 토큰이 삽입될 위험이 있기 때문입니다.

예를 들어 Android 코드가 아래 예와 같이 표시되면 최신 권장사항으로 앱을 이전해야 합니다.

Android 코드

이 예시에서 액세스 토큰 요청은 oauth2:과 범위 문자열을 GoogleAuthUtil.getToken 호출(oauth2:https://www.googleapis.com/auth/plus.login)의 scope 매개변수로 사용합니다.

GoogleAuthUtil.getToken로 획득한 액세스 토큰으로 인증하는 대신 ID 토큰 흐름이나 인증 코드 흐름을 사용하세요.

ID 토큰 흐름으로 이전

사용자 ID, 이메일 주소, 이름 또는 프로필 사진 URL만 있으면 ID 토큰 흐름을 사용합니다.

ID 토큰 흐름으로 이전하려면 다음과 같이 변경합니다.

Android 클라이언트 측

  • GET_ACCOUNTS (연락처) 권한을 요청하는 경우 삭제하기
  • GoogleSignInOptions.Builder.requestIdToken(...) 구성을 사용하여 GoogleAuthUtil, Plus.API, AccountPicker.newChooseAccountIntent() 또는 AccountManager.newChooseAccountIntent()를 사용하는 코드를 Auth.GOOGLE_SIGN_IN_API로 전환합니다.

서버 측

  • ID 토큰 인증에 대한 새 엔드포인트 만들기
  • 클라이언트 앱이 이전된 후 이전 엔드포인트 사용 중지

서버 인증 코드 흐름으로 이전

서버에서 Google Drive, YouTube, Google 주소록과 같은 다른 Google API에 액세스해야 하는 경우 서버 인증 코드 흐름을 사용합니다.

서버 인증 코드 흐름으로 이전하려면 다음과 같이 변경합니다.

Android 클라이언트 측

  • GET_ACCOUNTS (연락처) 권한을 요청하는 경우 삭제하기
  • GoogleSignInOptions.Builder.requestServerAuthCode(...) 구성을 사용하여 GoogleAuthUtil, Plus.API, AccountPicker.newChooseAccountIntent() 또는 AccountManager.newChooseAccountIntent()를 사용하는 코드를 Auth.GOOGLE_SIGN_IN_API로 전환합니다.

서버 측

  • 서버 인증 코드 흐름을 위한 새 엔드포인트 만들기
  • 클라이언트 앱이 이전된 후 이전 엔드포인트 사용 중지

이전 엔드포인트와 새 엔드포인트 간에 API 액세스 로직을 계속 공유할 수 있습니다. 예를 들면 다음과 같습니다.

GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...);
String accessToken = tokenResponse.getAccessToken();
String refreshToken = tokenResponse.getRefreshToken();
Long expiresInSeconds = tokenResponse.getExpiresInSeconds();

// Shared by your old and new implementation, old endpoint can pass null for refreshToken
private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) {
   GoogleCredential credential = new GoogleCredential.Builder()
           .setTransPort(...)
           ...
           .build();
   credential.setAccessToken(accessToken);
   credential.setExpiresInSeconds(expiresInSeconds);
   credential.setRefreshToken(refreshToken);
}

GoogleAuthUtil ID 토큰 흐름에서 이전

GoogleAuthUtil를 사용하여 ID 토큰을 가져오는 경우 새로운 Sign-In API ID 토큰 흐름으로 이전해야 합니다.

예를 들어 Android 코드가 다음 예와 같이 표시되면 이전해야 합니다.

Android 코드

이 예시에서 ID 토큰 요청은 audience:server:client_id과 웹 서버의 클라이언트 ID를 GoogleAuthUtil.getToken 호출(audience:server:client_id:9414861317621.apps.googleusercontent.com)의 '범위' 매개변수로 사용합니다.

새 로그인 API ID 토큰 흐름에는 다음과 같은 이점이 있습니다.

  • 탭 한 번으로 간편하게 로그인할 수 있습니다.
  • 추가 네트워크 호출 없이 서버에서 사용자 프로필 정보를 가져올 수 있습니다.

ID 토큰 흐름으로 이전하려면 다음과 같이 변경합니다.

Android 클라이언트 측

  • GET_ACCOUNTS (연락처) 권한을 요청하는 경우 삭제하기
  • GoogleSignInOptions.Builder.requestIdToken(...) 구성을 사용하여 GoogleAuthUtil, Plus.API, AccountPicker.newChooseAccountIntent() 또는 AccountManager.newChooseAccountIntent()를 사용하는 코드를 Auth.GOOGLE_SIGN_IN_API로 전환합니다.

서버 측

새로운 Sign-In API는 지원 중단된 형식을 사용하는 GoogleAuthUtil.getToken와 달리 OpenID Connect 사양을 준수하는 ID 토큰을 발급합니다. 특히 발급기관은 이제 https 스키마를 사용하는 https://accounts.google.com입니다.

이전 프로세스 중에 서버는 이전 Android 클라이언트와 새 Android 클라이언트 모두에서 ID 토큰을 확인해야 합니다. 두 가지 토큰 형식을 모두 확인하려면 사용하는 클라이언트 라이브러리에 맞게 변경합니다 (사용하는 경우).

  • 자바 (Google API 클라이언트 라이브러리): 1.21.0 이상으로 업그레이드
  • PHP (Google API 클라이언트 라이브러리): v1을 사용하는 경우 1.1.6 이상으로 업그레이드하고, v2를 사용하는 경우 2.0.0-RC1 이상으로 업그레이드하세요.
  • Node.js: 0.9.7 이상으로 업그레이드
  • Python 또는 자체 구현: 두 발급기관(https://accounts.google.comaccounts.google.com 모두 허용)을 모두 허용합니다.

GoogleAuthUtil 서버 인증 코드 흐름에서 이전

GoogleAuthUtil를 사용하여 서버 인증 코드를 가져오는 경우 새로운 Sign-In API 인증 코드 흐름으로 이전해야 합니다.

예를 들어 Android 코드가 다음 예와 같이 표시되면 이전해야 합니다.

Android 코드

이 예시에서 서버 인증 코드 요청은 oauth2:server:client_id + 웹 서버의 클라이언트 ID를 GoogleAuthUtil.getToken 호출 (oauth2:server:client_id:9414861317621.apps.googleusercontent.com)의 scope 매개변수로 사용합니다.

새 Sign-In API 인증 코드 흐름에는 다음과 같은 이점이 있습니다.

  • 탭 한 번으로 간편하게 로그인할 수 있습니다.
  • 아래의 이전 가이드를 따르면 인증 코드 교환을 수행할 때 서버에서 사용자의 프로필 정보가 포함된 ID 토큰을 가져올 수 있습니다.

새 인증 코드 흐름으로 이전하려면 다음과 같이 변경합니다.

Android 클라이언트 측

  • GET_ACCOUNTS (연락처) 권한을 요청하는 경우 삭제하기
  • GoogleSignInOptions.Builder.requestServerAuthCode(...) 구성을 사용하여 GoogleAuthUtil, Plus.API, AccountPicker.newChooseAccountIntent() 또는 AccountManager.newChooseAccountIntent()를 사용하는 코드를 Auth.GOOGLE_SIGN_IN_API로 전환합니다.

서버 측

현재 코드를 유지하되 GoogleAuthorizationCodeTokenRequest 객체를 구성할 때 https://oauth2.googleapis.com/token를 토큰 서버 엔드포인트로 지정합니다. 그러면 다른 네트워크를 호출할 필요 없이 사용자의 이메일, 사용자 ID, 프로필 정보로 ID 토큰을 가져올 수 있습니다. 이 엔드포인트는 이전 버전과 완전히 호환되며 아래 코드는 이전 Android 클라이언트 구현과 새 Android 클라이언트 구현에서 가져온 서버 인증 코드에서 모두 작동합니다.

GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(
                transport,
                jsonFactory,
                // Use below for tokenServerEncodedUrl parameter
                "https://oauth2.googleapis.com/token",
                clientSecrets.getDetails().getClientId(),
                clientSecrets.getDetails().getClientSecret(),
                authCode,
                REDIRECT_URI)
               .execute();

...

// You can also get an ID token from auth code exchange.
GoogleIdToken googleIdToken = tokenResponse.parseIdToken();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
        .setAudience(Arrays.asList(SERVER_CLIENT_ID))
        .setIssuer("https://accounts.google.com")
        .build();
// Refer to ID token documentation to see how to get data from idToken object.
GoogleIdToken idToken = verifier.verify(idTokenString);
...