Bermigrasi dari login dengan Google+

Langkah-langkah untuk meminimalkan dampak perubahan cakupan terhadap pengguna

1. Jika aplikasi Anda memerlukan alamat email pengguna yang diautentikasi, dan Anda sebelumnya telah menggunakan profile.emails.read untuk tujuan tersebut, gunakan email.
2. Mendapatkan persetujuan untuk profile.emails.read dengan permintaan verifikasi yang disetujui. Lihat Bagaimana cara mengirimkan verifikasi?
3. Cabut token pengguna sebelumnya ke cakupan yang akan dihapus atau hapus akses ke aplikasi sepenuhnya. Misalnya, token dengan akses profile.emails.read harus dicabut. Sebaiknya terapkan pencabutan tersebut saat pengguna menggunakan aplikasi agar Anda bisa langsung mendapatkan izin pengguna.
4. Minta pengguna untuk memberikan izin ulang dengan cakupan baru, seperti email, tanpa profile.emails.read.
5. Hapus cakupan yang akan dihentikan secara bertahap dari konfigurasi layar izin OAuth Google API Anda.

Untuk memigrasikan aplikasi dari Login dengan Google+ ke Login dengan Google, Anda perlu memperbarui tombol login, cakupan yang diminta, dan petunjuk tentang cara mengambil informasi profil dari Google. Ikuti dokumentasi Login dengan Google untuk Android kami untuk mengetahui petunjuk selengkapnya.

Saat memperbarui tombol login, jangan merujuk ke G+ atau menggunakan warna merah. Sesuaikan dengan pedoman branding yang diperbarui.

Sebagian besar aplikasi Login dengan Google+ meminta beberapa kombinasi cakupan: plus.login, plus.me, dan plus.profile.emails.read. Dengan menggunakan GoogleSignInOptions.Builder bersama opsi DEFAULT_SIGN_IN, Anda akan otomatis meminta cakupan profile yang memberikan nama dan foto profil pengguna. Jika Anda juga menginginkan alamat email pengguna, Anda harus memanggil .requestEmail() saat membuat opsi login dengan Google.

Banyak pengimplementasi Google+ Sign-In menggunakan alur kode. Artinya, aplikasi Android, iOS, atau JavaScript mendapatkan kode otorisasi OAuth dari Google, dan klien mengirimkan kode tersebut kembali ke server, beserta perlindungan pemalsuan permintaan lintas situs. Server kemudian memvalidasi kode dan mendapatkan token akses dan refresh untuk mengambil informasi profil pengguna dari API people.get.

Google kini merekomendasikan agar Anda meminta token ID dan mengirim token ID dari klien ke server. Token ID memiliki perlindungan bawaan terhadap pemalsuan lintas situs dan juga dapat diverifikasi secara statis di server Anda sehingga menghindari panggilan API tambahan untuk mendapatkan informasi profil pengguna dari server Google. Ikuti petunjuk untuk memvalidasi token ID di server Anda.

Jika masih memilih untuk menggunakan alur kode guna mendapatkan informasi profil, Anda dapat melakukannya. Setelah server memiliki token akses, Anda harus mendapatkan informasi profil pengguna dari endpoint userinfo yang ditentukan dalam dokumen Penemuan Login kami. Respons API diformat secara berbeda dengan respons profil Google+, sehingga Anda perlu memperbarui penguraian ke format baru.

Jika menggunakan GoogleAuthUtil.getToken atau Plus.API, Anda harus bermigrasi ke Sign-In API terbaru untuk keamanan yang lebih baik dan pengalaman pengguna yang lebih baik.