이전에 GoogleAuthUtil.getToken
또는 Plus.API
를 사용하여 Google 로그인과 통합한 경우 보안을 강화하고 더 나은 사용자 환경을 제공하려면 최신 로그인 API로 이전해야 합니다.
액세스 토큰 안티패턴에서 이전
GoogleAuthUtil.getToken
로 얻은 액세스 토큰을 ID 어설션으로 백엔드 서버에 전송하면 안 됩니다. 토큰이 백엔드에 발급되었는지 쉽게 확인할 수 없어 공격자의 액세스 토큰이 삽입될 위험이 있기 때문입니다.
예를 들어 Android 코드가 아래 예와 같이 표시되면 최신 권장사항으로 앱을 이전해야 합니다.
이 예시에서 액세스 토큰 요청은 oauth2:
과 범위 문자열을 GoogleAuthUtil.getToken
호출(oauth2:https://www.googleapis.com/auth/plus.login
)의 scope
매개변수로 사용합니다.
GoogleAuthUtil.getToken
로 획득한 액세스 토큰으로 인증하는 대신 ID 토큰 흐름이나 인증 코드 흐름을 사용하세요.
ID 토큰 흐름으로 이전
사용자 ID, 이메일 주소, 이름 또는 프로필 사진 URL만 있으면 ID 토큰 흐름을 사용합니다.
ID 토큰 흐름으로 이전하려면 다음과 같이 변경합니다.
Android 클라이언트 측
GET_ACCOUNTS
(연락처) 권한을 요청하는 경우 삭제하기GoogleSignInOptions.Builder.requestIdToken(...)
구성을 사용하여GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
또는AccountManager.newChooseAccountIntent()
를 사용하는 코드를Auth.GOOGLE_SIGN_IN_API
로 전환합니다.
서버 측
- ID 토큰 인증에 대한 새 엔드포인트 만들기
- 클라이언트 앱이 이전된 후 이전 엔드포인트 사용 중지
서버 인증 코드 흐름으로 이전
서버에서 Google Drive, YouTube, Google 주소록과 같은 다른 Google API에 액세스해야 하는 경우 서버 인증 코드 흐름을 사용합니다.
서버 인증 코드 흐름으로 이전하려면 다음과 같이 변경합니다.
Android 클라이언트 측
GET_ACCOUNTS
(연락처) 권한을 요청하는 경우 삭제하기GoogleSignInOptions.Builder.requestServerAuthCode(...)
구성을 사용하여GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
또는AccountManager.newChooseAccountIntent()
를 사용하는 코드를Auth.GOOGLE_SIGN_IN_API
로 전환합니다.
서버 측
- 서버 인증 코드 흐름을 위한 새 엔드포인트 만들기
- 클라이언트 앱이 이전된 후 이전 엔드포인트 사용 중지
이전 엔드포인트와 새 엔드포인트 간에 API 액세스 로직을 계속 공유할 수 있습니다. 예를 들면 다음과 같습니다.
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...); String accessToken = tokenResponse.getAccessToken(); String refreshToken = tokenResponse.getRefreshToken(); Long expiresInSeconds = tokenResponse.getExpiresInSeconds(); // Shared by your old and new implementation, old endpoint can pass null for refreshToken private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) { GoogleCredential credential = new GoogleCredential.Builder() .setTransPort(...) ... .build(); credential.setAccessToken(accessToken); credential.setExpiresInSeconds(expiresInSeconds); credential.setRefreshToken(refreshToken); }
GoogleAuthUtil ID 토큰 흐름에서 이전
GoogleAuthUtil
를 사용하여 ID 토큰을 가져오는 경우 새로운 Sign-In API ID 토큰 흐름으로 이전해야 합니다.
예를 들어 Android 코드가 다음 예와 같이 표시되면 이전해야 합니다.
이 예시에서 ID 토큰 요청은 audience:server:client_id
과 웹 서버의 클라이언트 ID를 GoogleAuthUtil.getToken
호출(audience:server:client_id:9414861317621.apps.googleusercontent.com
)의 '범위' 매개변수로 사용합니다.
새 로그인 API ID 토큰 흐름에는 다음과 같은 이점이 있습니다.
- 탭 한 번으로 간편하게 로그인할 수 있습니다.
- 추가 네트워크 호출 없이 서버에서 사용자 프로필 정보를 가져올 수 있습니다.
ID 토큰 흐름으로 이전하려면 다음과 같이 변경합니다.
Android 클라이언트 측
GET_ACCOUNTS
(연락처) 권한을 요청하는 경우 삭제하기GoogleSignInOptions.Builder.requestIdToken(...)
구성을 사용하여GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
또는AccountManager.newChooseAccountIntent()
를 사용하는 코드를Auth.GOOGLE_SIGN_IN_API
로 전환합니다.
서버 측
새로운 Sign-In API는 지원 중단된 형식을 사용하는 GoogleAuthUtil.getToken
와 달리 OpenID Connect 사양을 준수하는 ID 토큰을 발급합니다.
특히 발급기관은 이제 https
스키마를 사용하는 https://accounts.google.com
입니다.
이전 프로세스 중에 서버는 이전 Android 클라이언트와 새 Android 클라이언트 모두에서 ID 토큰을 확인해야 합니다. 두 가지 토큰 형식을 모두 확인하려면 사용하는 클라이언트 라이브러리에 맞게 변경합니다 (사용하는 경우).
- 자바 (Google API 클라이언트 라이브러리): 1.21.0 이상으로 업그레이드
- PHP (Google API 클라이언트 라이브러리): v1을 사용하는 경우 1.1.6 이상으로 업그레이드하고, v2를 사용하는 경우 2.0.0-RC1 이상으로 업그레이드하세요.
- Node.js: 0.9.7 이상으로 업그레이드
- Python 또는 자체 구현: 두 발급기관(
https://accounts.google.com
및accounts.google.com
모두 허용)을 모두 허용합니다.
GoogleAuthUtil 서버 인증 코드 흐름에서 이전
GoogleAuthUtil
를 사용하여 서버 인증 코드를 가져오는 경우 새로운 Sign-In API 인증 코드 흐름으로 이전해야 합니다.
예를 들어 Android 코드가 다음 예와 같이 표시되면 이전해야 합니다.
이 예시에서 서버 인증 코드 요청은 oauth2:server:client_id
+ 웹 서버의 클라이언트 ID를 GoogleAuthUtil.getToken
호출 (oauth2:server:client_id:9414861317621.apps.googleusercontent.com
)의 scope
매개변수로 사용합니다.
새 Sign-In API 인증 코드 흐름에는 다음과 같은 이점이 있습니다.
- 탭 한 번으로 간편하게 로그인할 수 있습니다.
- 아래의 이전 가이드를 따르면 인증 코드 교환을 수행할 때 서버에서 사용자의 프로필 정보가 포함된 ID 토큰을 가져올 수 있습니다.
새 인증 코드 흐름으로 이전하려면 다음과 같이 변경합니다.
Android 클라이언트 측
GET_ACCOUNTS
(연락처) 권한을 요청하는 경우 삭제하기GoogleSignInOptions.Builder.requestServerAuthCode(...)
구성을 사용하여GoogleAuthUtil
,Plus.API
,AccountPicker.newChooseAccountIntent()
또는AccountManager.newChooseAccountIntent()
를 사용하는 코드를Auth.GOOGLE_SIGN_IN_API
로 전환합니다.
서버 측
현재 코드를 유지하되 GoogleAuthorizationCodeTokenRequest
객체를 구성할 때 https://oauth2.googleapis.com/token
를 토큰 서버 엔드포인트로 지정합니다. 그러면 다른 네트워크를 호출할 필요 없이 사용자의 이메일, 사용자 ID, 프로필 정보로 ID 토큰을 가져올 수 있습니다. 이 엔드포인트는 이전 버전과 완전히 호환되며 아래 코드는 이전 Android 클라이언트 구현과 새 Android 클라이언트 구현에서 가져온 서버 인증 코드에서 모두 작동합니다.
GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest( transport, jsonFactory, // Use below for tokenServerEncodedUrl parameter "https://oauth2.googleapis.com/token", clientSecrets.getDetails().getClientId(), clientSecrets.getDetails().getClientSecret(), authCode, REDIRECT_URI) .execute(); ... // You can also get an ID token from auth code exchange. GoogleIdToken googleIdToken = tokenResponse.parseIdToken(); GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory) .setAudience(Arrays.asList(SERVER_CLIENT_ID)) .setIssuer("https://accounts.google.com") .build(); // Refer to ID token documentation to see how to get data from idToken object. GoogleIdToken idToken = verifier.verify(idTokenString); ...