Langkah-langkah untuk meminimalkan dampak perubahan cakupan pada pengguna
- Jika aplikasi Anda memerlukan alamat email pengguna yang diautentikasi, dan Anda sebelumnya telah menggunakan
profile.emails.read
untuk tujuan tersebut, gunakanemail
sebagai gantinya. - Dapatkan persetujuan untuk
profile.emails.read
dengan permintaan verifikasi yang disetujui. Lihat Bagaimana cara mengirimkan verifikasi? - Cabut token pengguna sebelumnya ke cakupan yang akan dihapus atau hapus akses ke aplikasi sepenuhnya. Misalnya, token dengan akses
profile.emails.read
harus dicabut. Sebaiknya Anda menerapkan pencabutan izin saat pengguna berada dalam permohonan agar Anda bisa segera mendapatkan izin pengguna. - Minta pengguna Anda untuk memberikan izin ulang dengan cakupan baru, seperti
email
, tanpaprofile.emails.read
. - Hapus cakupan yang akan dihentikan secara bertahap dari konfigurasi layar izin OAuth Google API Anda.
Untuk memigrasikan aplikasi Anda dari Login dengan Google+ ke Login dengan Google, Anda perlu mengupdate tombol login, cakupan yang diminta, dan petunjuk tentang cara mengambil informasi profil dari Google. Ikuti dokumentasi Login dengan Google untuk Android guna mendapatkan petunjuk lengkapnya.
Saat Anda memperbarui tombol login, jangan merujuk ke G+ atau menggunakan warna merah. Sesuai dengan pedoman branding terbaru kami.
Sebagian besar aplikasi Login dengan Google+ meminta beberapa kombinasi cakupan: plus.login
, plus.me
, dan plus.profile.emails.read
. Dengan menggunakan
GoogleSignInOptions.Builder
dengan opsi DEFAULT_SIGN_IN
, Anda akan
otomatis meminta cakupan profile
yang memberikan nama dan
foto profil pengguna. Jika Anda juga menginginkan alamat email pengguna, Anda harus memanggil .requestEmail()
saat membuat opsi login dengan Google.
Banyak pengimplementasi Login dengan Google+ menggunakan alur kode. Artinya,
aplikasi Android, iOS, atau JavaScript mendapatkan kode otorisasi OAuth dari
Google, dan klien mengirimkan kode tersebut kembali ke server, bersama dengan
perlindungan pemalsuan permintaan lintas situs. Selanjutnya, server memvalidasi kode dan memperoleh
token refresh dan akses untuk mengambil informasi profil pengguna dari people.get
API.
Google kini merekomendasikan agar Anda meminta token ID dan mengirim token ID dari klien ke server Anda. Token ID memiliki perlindungan pemalsuan lintas situs bawaan dan juga dapat diverifikasi secara statis di server Anda, yang menghindari panggilan API tambahan untuk mendapatkan informasi profil pengguna dari server Google. Ikuti petunjuk untuk memvalidasi token ID di server.
Jika masih memilih untuk menggunakan alur kode untuk mendapatkan informasi profil, Anda dapat melakukannya. Setelah server Anda memiliki token akses, Anda perlu mendapatkan informasi profil pengguna dari endpoint userinfo
yang ditentukan dalam Dokumen penemuan Login kami. Respons API diformat berbeda dari respons profil Google+, sehingga Anda perlu memperbarui penguraian ke format yang baru.
Jika menggunakan GoogleAuthUtil.getToken
atau Plus.API
, Anda harus
migrate
ke Sign-In API terbaru untuk keamanan yang lebih baik dan pengalaman pengguna yang lebih baik.