Effectuer une migration depuis Google+ Sign-In

Étapes à suivre pour minimiser l'impact des modifications de champ d'application sur les utilisateurs

1. Si votre application nécessite l'adresse e-mail d'un utilisateur authentifié et que vous avez déjà utilisé profile.emails.read à cette fin, utilisez plutôt email.
2. Obtenez l'approbation de profile.emails.read avec une demande de validation approuvée. Consultez Comment envoyer une demande de validation ?
3. Révoquez le jeton utilisateur précédent pour le champ d'application à supprimer ou supprimez complètement l'accès à l'application. Par exemple, un jeton avec l'accès profile.emails.read doit être révoqué. Nous vous recommandons d'appliquer la révocation lorsque vos utilisateurs se trouvent dans votre application afin de pouvoir obtenir leur consentement immédiatement.
4. Demandez à vos utilisateurs de donner à nouveau leur consentement avec le nouveau champ d'application, par exemple email, sans profile.emails.read.
5. Supprimez le champ d'application qui doit être abandonné de la configuration de l'écran de consentement OAuth de vos API Google.

Pour migrer votre application de Google+ Sign-In vers Google Sign-In, vous devez mettre à jour votre bouton de connexion, les champs d'application demandés et les instructions pour récupérer les informations de profil auprès de Google. Pour obtenir des instructions complètes, consultez la documentation de Google Sign-In pour Android.

Lorsque vous mettez à jour votre bouton de connexion, ne faites pas référence à G+ et n'utilisez pas le rouge. Respectez nos consignes relatives à la marque mises à jour.

La plupart des applications Google+ Sign-In demandaient une combinaison des champs d'application suivants : plus.login, plus.me et plus.profile.emails.read. En utilisant GoogleSignInOptions.Builder avec l'option DEFAULT_SIGN_IN, vous demandez automatiquement l'étendue profile, qui fournit le nom et la photo de profil de l'utilisateur. Si vous souhaitez également obtenir l'adresse e-mail de l'utilisateur, vous devez appeler .requestEmail() lors de la création des options de connexion Google.

De nombreux implémentateurs de Google+ Sign-In ont utilisé le flux de code. Cela signifie que les applications Android, iOS ou JavaScript obtiennent un code d'autorisation OAuth auprès de Google, et que le client renvoie ce code au serveur, avec une protection contre la falsification des requêtes intersites. Le serveur valide ensuite le code et obtient des jetons d'actualisation et d'accès pour extraire les informations de profil utilisateur de l'API people.get.

Google vous recommande désormais de demander un jeton d'ID et de l'envoyer depuis votre client vers votre serveur. Les jetons d'identification sont dotés d'une protection intégrée contre la falsification intersites et peuvent également être validés de manière statique sur votre serveur, ce qui évite un appel d'API supplémentaire pour obtenir des informations sur le profil utilisateur à partir des serveurs de Google. Suivez les instructions pour valider les jetons d'identification sur votre serveur.

Si vous préférez toujours utiliser le flux de code pour obtenir des informations de profil, vous pouvez le faire. Une fois que votre serveur dispose d'un jeton d'accès, vous devez obtenir des informations sur le profil utilisateur à partir des points de terminaison userinfo spécifiés dans notre document de découverte sur la connexion. La réponse de l'API est mise en forme différemment de la réponse du profil Google+. Vous devez donc mettre à jour votre analyse pour utiliser le nouveau format.

Si vous utilisez GoogleAuthUtil.getToken ou Plus.API, vous devez migrer vers la dernière API Sign-In pour plus de sécurité et une meilleure expérience utilisateur.