Étapes pour minimiser l'impact des changements de portée sur les utilisateurs
- Si votre application nécessite l'adresse e-mail d'un utilisateur authentifié et que vous avez déjà utilisé
profile.emails.read
à cette fin, utilisez plutôtemail
. - Obtenez l'approbation de
profile.emails.read
à l'aide d'une demande de validation approuvée. Consultez Comment envoyer pour validation ? - Révoquer le jeton utilisateur précédent au niveau d'accès qui doit être supprimé ou supprimer complètement l'accès à l'application. Par exemple, un jeton avec l'accès
profile.emails.read
doit être révoqué. Nous vous recommandons d'appliquer la révocation pendant que les utilisateurs se trouvent dans votre application afin d'obtenir leur consentement immédiatement. - Invitez vos utilisateurs à redonner leur consentement pour le nouveau champ d'application, par exemple
email
, sansprofile.emails.read
. - Supprimez le champ d'application à supprimer de la configuration de l'écran de consentement OAuth des API Google.
Pour migrer votre application de Google+ Sign-In vers Google Sign-In, vous devez mettre à jour votre bouton de connexion, les champs d'application demandés et les instructions permettant de récupérer les informations de profil auprès de Google. Suivez notre documentation Google Sign-In pour Android pour obtenir des instructions complètes.
Lorsque vous mettez à jour votre bouton de connexion, ne faites pas référence à Google+ et n'utilisez pas la couleur rouge. respecter nos nouvelles consignes relatives à la marque ;
La plupart des applications Google+ Sign-In ont demandé une combinaison des champs d'application : plus.login
, plus.me
et plus.profile.emails.read
. En utilisant GoogleSignInOptions.Builder
avec l'option DEFAULT_SIGN_IN
, vous demandez automatiquement le champ d'application profile
, qui fournit le nom et la photo de profil de l'utilisateur. Si vous souhaitez également l'adresse e-mail de l'utilisateur, vous devez appeler .requestEmail()
lors de la création des options de connexion Google.
De nombreux développeurs de Google+ Sign-In ont utilisé le flux de code. Cela signifie que les applications Android, iOS ou JavaScript obtiennent un code d'autorisation OAuth de Google, et que le client renvoie ce code au serveur, ainsi que la protection contre la falsification des requêtes intersites. Le serveur valide ensuite le code et obtient des jetons d'actualisation et d'accès pour extraire les informations de profil utilisateur de l'API people.get
.
Google vous recommande désormais de demander un jeton d'ID et de l'envoyer de votre client à votre serveur. Les jetons d'ID sont dotés de protections contre la falsification intersites et peuvent également être validés de manière statique sur votre serveur. Cela évite un appel d'API supplémentaire pour obtenir des informations de profil utilisateur à partir des serveurs de Google. Suivez les instructions pour valider les jetons d'ID sur votre serveur.
Si vous préférez toujours utiliser le flux de code pour obtenir des informations de profil, vous pouvez le faire. Une fois que votre serveur dispose d'un jeton d'accès, vous devez obtenir des informations de profil utilisateur à partir des points de terminaison userinfo
spécifiés dans notre document de découverte de connexion. Le format de la réponse de l'API est différent de celui de la réponse du profil Google+. Vous devez donc mettre à jour votre analyse pour utiliser le nouveau format.
Si vous utilisez GoogleAuthUtil.getToken
ou Plus.API
, vous devez migrate vers la dernière API Sign-In pour plus de sécurité et une meilleure expérience utilisateur.