Migrar do login do Google+

Etapas para minimizar o impacto das mudanças de escopo nos usuários

1. Se o app exigir o endereço de e-mail de um usuário autenticado e você já tiver usado profile.emails.read para essa finalidade, use email.
2. Receber aprovação para profile.emails.read com uma solicitação de verificação aprovada. Consulte Como enviar um app para verificação?
3. Revogue o token do usuário anterior para o escopo que será removido ou remova completamente o acesso ao aplicativo. Por exemplo, um token com acesso a profile.emails.read precisa ser revogado. Recomendamos que você aplique a revogação enquanto os usuários estão no seu app para que você possa receber o consentimento do usuário imediatamente.
4. Peça aos usuários para conceder novamente o consentimento com o novo escopo, como email, sem profile.emails.read.
5. Remova o escopo que será desativado da configuração da tela de consentimento do OAuth das APIs do Google.

Para migrar seu aplicativo do Login do Google+ para o Login do Google, você precisa atualizar o botão de login, os escopos solicitados e as instruções sobre como recuperar informações de perfil do Google. Siga a documentação do Login do Google para Android para conferir as instruções completas.

Ao atualizar o botão de login, não se refira ao G+ nem use a cor vermelha. Seguir nossas diretrizes de branding atualizadas.

A maioria dos aplicativos de Login do Google+ solicitou uma combinação dos escopos: plus.login, plus.me e plus.profile.emails.read. Ao usar GoogleSignInOptions.Builder com a opção DEFAULT_SIGN_IN, você vai solicitar automaticamente o escopo profile, que fornece o nome e a foto do perfil do usuário. Se você também quiser o endereço de e-mail do usuário, chame .requestEmail() ao criar as opções de login do Google.

Muitos implementadores do Login do Google+ usaram o fluxo de código. Isso significa que os apps Android, iOS ou JavaScript recebem um código de autorização OAuth do Google, e o cliente envia esse código de volta ao servidor, junto com a proteção contra falsificação de solicitações entre sites. Em seguida, o servidor valida o código e recebe tokens de atualização e acesso para extrair informações do perfil do usuário da API people.get.

Agora, o Google recomenda que você solicite e envie um token de ID do cliente para o servidor. Os tokens de ID têm proteções contra falsificação entre sites integradas e também podem ser verificados estaticamente no servidor, o que evita uma chamada de API extra para receber informações do perfil do usuário dos servidores do Google. Siga as instruções para validar tokens de ID no seu servidor.

Se você ainda preferir usar o fluxo de código para receber informações do perfil, faça isso. Quando o servidor tiver um token de acesso, você precisará receber informações do perfil do usuário dos endpoints userinfo especificados no nosso documento de Discovery de login. A resposta da API tem um formato diferente da resposta do perfil do Google+. Portanto, é necessário atualizar a análise para o novo formato.

Se você estiver usando GoogleAuthUtil.getToken ou Plus.API, faça a migração para a API Sign-In mais recente e tenha mais segurança e uma melhor experiência do usuário.