Halaman ini diterjemahkan oleh Cloud Translation API.

Bermigrasi dari login dengan Google+

Peringatan: Login dengan Google untuk Android sudah tidak berlaku dan tidak didukung lagi. Untuk memastikan keamanan dan kegunaan aplikasi Anda yang berkelanjutan, migrasikan ke Pengelola Kredensial sekarang. Pengelola Kredensial mendukung autentikasi kunci sandi, sandi, dan identitas gabungan (seperti Login dengan Google), keamanan yang lebih kuat, dan pengalaman pengguna yang lebih konsisten. Untuk developer Wear: Pengelola Kredensial akan didukung di Wear OS 5.1 dan yang lebih baru di smartwatch tertentu. Developer yang secara aktif mendukung perangkat Wear OS 3, 4, dan 5.0 dengan Login dengan Google harus terus menggunakan Login dengan Google untuk Android untuk aplikasi Wear Anda. Dukungan Login dengan Google akan tersedia di Credential Manager API untuk versi WearOS ini di lain waktu.

Penting: Cakupan profile.emails.read kini diklasifikasikan sebagai cakupan sensitif. Anda dapat mencapai fungsi yang sama dengan cakupan OpenID Connect (OIDC) email. Untuk meminimalkan dampak pada pengguna, selesaikan langkah-langkah dalam panduan ini.

Jika Anda tidak menyelesaikan langkah-langkah ini, pengguna dengan token aktif yang masih memiliki akses ke cakupan yang telah kami hentikan secara bertahap mungkin akan melihat layar aplikasi yang tidak terverifikasi atau pesan "Login dinonaktifkan" dan menerima peringatan Pusat Keamanan untuk menghapus akses berisiko ke data mereka. Hal ini terjadi karena pengguna memiliki token aktif dengan cakupan API yang tidak lagi diverifikasi. Jika aplikasi Anda tidak mencabut token seperti yang dijelaskan dalam langkah-langkah yang ditentukan, pengguna mungkin akan terus menerima peringatan.

Langkah-langkah untuk meminimalkan dampak perubahan cakupan terhadap pengguna

Jika aplikasi Anda memerlukan alamat email pengguna yang diautentikasi, dan Anda sebelumnya telah menggunakan profile.emails.read untuk tujuan tersebut, gunakan email.
Mendapatkan persetujuan untuk profile.emails.read dengan permintaan verifikasi yang disetujui. Lihat Bagaimana cara mengirimkan verifikasi?
Cabut token pengguna sebelumnya ke cakupan yang akan dihapus atau hapus akses ke aplikasi sepenuhnya. Misalnya, token dengan akses profile.emails.read harus dicabut. Sebaiknya terapkan pencabutan tersebut saat pengguna menggunakan aplikasi agar Anda bisa langsung mendapatkan izin pengguna.
Minta pengguna untuk memberikan izin ulang dengan cakupan baru, seperti email, tanpa profile.emails.read.
Hapus cakupan yang akan dihentikan secara bertahap dari konfigurasi layar izin OAuth Google API Anda.

Untuk memigrasikan aplikasi dari Login dengan Google+ ke Login dengan Google, Anda perlu memperbarui tombol login, cakupan yang diminta, dan petunjuk tentang cara mengambil informasi profil dari Google. Ikuti dokumentasi Login dengan Google untuk Android kami untuk mengetahui petunjuk selengkapnya.

Saat memperbarui tombol login, jangan merujuk ke G+ atau menggunakan warna merah. Sesuaikan dengan pedoman branding yang diperbarui.

Sebagian besar aplikasi Login dengan Google+ meminta beberapa kombinasi cakupan: plus.login, plus.me, dan plus.profile.emails.read. Dengan menggunakan GoogleSignInOptions.Builder bersama opsi DEFAULT_SIGN_IN, Anda akan otomatis meminta cakupan profile yang memberikan nama dan foto profil pengguna. Jika Anda juga menginginkan alamat email pengguna, Anda harus memanggil .requestEmail() saat membuat opsi login dengan Google.

Banyak pengimplementasi Google+ Sign-In menggunakan alur kode. Artinya, aplikasi Android, iOS, atau JavaScript mendapatkan kode otorisasi OAuth dari Google, dan klien mengirimkan kode tersebut kembali ke server, beserta perlindungan pemalsuan permintaan lintas situs. Server kemudian memvalidasi kode dan mendapatkan token akses dan refresh untuk mengambil informasi profil pengguna dari API people.get.

Google kini merekomendasikan agar Anda meminta token ID dan mengirim token ID dari klien ke server. Token ID memiliki perlindungan bawaan terhadap pemalsuan lintas situs dan juga dapat diverifikasi secara statis di server Anda sehingga menghindari panggilan API tambahan untuk mendapatkan informasi profil pengguna dari server Google. Ikuti petunjuk untuk memvalidasi token ID di server Anda.

Jika masih memilih untuk menggunakan alur kode guna mendapatkan informasi profil, Anda dapat melakukannya. Setelah server memiliki token akses, Anda harus mendapatkan informasi profil pengguna dari endpoint userinfo yang ditentukan dalam dokumen Penemuan Login kami. Respons API diformat secara berbeda dengan respons profil Google+, sehingga Anda perlu memperbarui penguraian ke format baru.

Jika menggunakan GoogleAuthUtil.getToken atau Plus.API, Anda harus bermigrasi ke Sign-In API terbaru untuk keamanan yang lebih baik dan pengalaman pengguna yang lebih baik.