Przewodnik migracji przepływu adresu IP sprzężenia zwrotnego

Przegląd

16 lutego 2022 r. ogłosiliśmy plany zwiększenia bezpieczeństwa interakcji z Google OAuth przez używanie bezpieczniejszych przepływów OAuth. Z tego przewodnika dowiesz się, jakie zmiany i kroki są niezbędne, aby skutecznie przejść z procesu adresu IP zwrotnego na obsługiwane alternatywy.

Jest to środek ochronny przed atakami phishingowymi i podszywaniem się pod aplikacje podczas interakcji z punktami końcowymi autoryzacji OAuth 2.0 Google.

Na czym polega proces adresu IP pętli zwrotnej?

Przepływ adresu IP zwrotnego obsługuje użycie adresu IP zwrotnego lub localhost jako komponentu hosta w adresie URI przekierowania, do którego wysyłane są dane logowania po zatwierdzeniu przez użytkownika prośby o zgodę na OAuth. Ten proces jest podatny na ataki typu man in the middle, w których złośliwa aplikacja uzyskująca dostęp do tego samego interfejsu pętli zwrotnej w niektórych systemach operacyjnych może przechwycić odpowiedź z serwera autoryzacji na podany identyfikator URI przekierowania i uzyskać dostęp do kodu autoryzacji.

Procedura adresu IP sprzężenia zwrotnego jest wycofywana w przypadku natywnych klientów OAuth w aplikacjach na iOS, Androida i Chrome, ale będzie nadal obsługiwana w aplikacjach na komputery.

Najważniejsze daty związane z zgodnością

  • 14 marca 2022 r. – blokowanie nowych klientów OAuth przed używaniem przepływu adresu IP zwrotnego
  • 1 sierpnia 2022 r. – w przypadku niezgodnych żądań OAuth może być wyświetlany komunikat ostrzegawczy dla użytkownika.
  • 31 sierpnia 2022 r. – blokowanie przepływu adresu IP sprzężenia zwrotnego w przypadku klientów OAuth w aplikacjach natywnych na Androida, aplikacjach na Chrome i aplikacjach na iOS utworzonych przed 14 marca 2022 r.
  • 21 października 2022 r. – wszyscy obecni klienci zostaną zablokowani (w tym klienci zwolnieni z obowiązku)

W przypadku żądań niezgodnych z zasadami będzie wyświetlany komunikat o błędzie dla użytkownika. Wiadomość będzie informować użytkowników, że aplikacja jest zablokowana, a jednocześnie będzie wyświetlać adres e-mail pomocy zarejestrowany na ekranie zgody OAuth w Konsoli interfejsów API Google.

Proces migracji składa się z 2 głównych etapów:
  1. Sprawdź, czy zmiana wpłynie na Twoje treści.
  2. Jeśli dotyczy Cię ten problem, przejdź na obsługiwaną metodę alternatywną.

Sprawdź, czy zmiana wpłynie na Ciebie

Sprawdź typ identyfikatora klienta OAuth

Otwórz Clients page Google Cloud Console i w sekcji Identyfikatory klientów OAuth 2.0 sprawdź typ identyfikatora klienta OAuth. Może to być aplikacja internetowa, Android, iOS, uniwersalna platforma Windows (UWP), aplikacja Chrome, telewizory i urządzenia z ograniczonymi możliwościami wprowadzania danych lub aplikacja komputerowa.

Jeśli typ klienta to Android, aplikacja Chrome lub iOS i używasz przepływu adresu IP sprzężenia zwrotnego, przejdź do następnego kroku.

Jeśli używasz przepływu adresu IP zwrotnego w przypadku klienta OAuth aplikacji na komputery, nie musisz nic robić w związku z tym wycofaniem, ponieważ korzystanie z tego typu klienta OAuth będzie nadal obsługiwane.

Jak sprawdzić, czy aplikacja korzysta z przepływu adresu IP pętli zwrotnej

Sprawdź kod aplikacji lub wychodzące wywołanie sieciowe (jeśli aplikacja używa biblioteki OAuth), aby sprawdzić, czy żądanie autoryzacji OAuth Google wysyłane przez aplikację używa wartości identyfikatora URI przekierowania zwrotnego.

Sprawdzanie kodu aplikacji

Sprawdź tę część kodu aplikacji, w której wywołujesz punkty końcowe autoryzacji protokołu OAuth Google, i określ, czy parametr redirect_uri ma jedną z tych wartości:
  • redirect_uri=http://127.0.0.1:<port> np. redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port> np. redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port> np. redirect_uri=http://localhost:3000
Przykładowe żądanie przekierowania adresu IP pętli zwrotnej będzie wyglądać tak: 
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

Sprawdzanie wychodzącego połączenia sieciowego

Metoda sprawdzania wywołań sieciowych zależy od typu klienta aplikacji.
Podczas sprawdzania wywołań sieciowych poszukaj żądań wysyłanych do punktów końcowych autoryzacji protokołu OAuth Google i sprawdź, czy parametr redirect_uri ma jedną z tych wartości:
  • redirect_uri=http://127.0.0.1:<port> np. redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port> np. redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port> np. redirect_uri=http://localhost:3000
Przykładowe żądanie przekierowania adresu IP pętli zwrotnej będzie wyglądać tak: 
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

Przejdź na obsługiwaną alternatywę

Klienci mobilni (Android / iOS)

Jeśli stwierdzisz, że Twoja aplikacja korzysta z przepływu z adresem IP pętli zwrotnej z klientem OAuth na Androida lub iOS, przenieś ją na zalecane pakiety SDK (Android, iOS).

Pakiet SDK ułatwia dostęp do interfejsów API Google i obsługuje wszystkie wywołania punktów końcowych autoryzacji OAuth 2.0 Google.

Linki do dokumentacji poniżej zawierają informacje o tym, jak używać zalecanych pakietów SDK do uzyskiwania dostępu do interfejsów API Google bez używania adresu IP pętli zwrotnej ani adresu URI przekierowania.

Dostęp do interfejsów API Google na Androidzie

Dostęp po stronie klienta

Poniższy przykład pokazuje, jak uzyskać dostęp do interfejsów API Google po stronie klienta na Androidzie za pomocą zalecanej biblioteki Google Identity Services Android Library.

  List requestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA);
    AuthorizationRequest authorizationRequest = AuthorizationRequest.builder().setRequestedScopes(requestedScopes).build();
    Identity.getAuthorizationClient(activity)
            .authorize(authorizationRequest)
            .addOnSuccessListener(
                authorizationResult -> {
                  if (authorizationResult.hasResolution()) {
                    // Access needs to be granted by the user
                    PendingIntent pendingIntent = authorizationResult.getPendingIntent();
                    try {
    startIntentSenderForResult(pendingIntent.getIntentSender(),
    REQUEST_AUTHORIZE, null, 0, 0, 0, null);
                    } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage());
                    }
                  } else {
                    // Access already granted, continue with user action
                    saveToDriveAppFolder(authorizationResult);
                  }
                })
            .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));

Przekaż authorizationResult do zdefiniowanej metody, aby zapisać treści w folderze na dysku użytkownika. Klasa authorizationResult ma metodę getAccessToken(), która zwraca token dostępu.

Dostęp po stronie serwera (offline)
Poniższy przykład pokazuje, jak uzyskać dostęp do interfejsów API Google po stronie serwera na Androidzie. 
  List requestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA);
    AuthorizationRequest authorizationRequest = AuthorizationRequest.builder()
    .requestOfflineAccess(webClientId)
            .setRequestedScopes(requestedScopes)
            .build();
    Identity.getAuthorizationClient(activity)
            .authorize(authorizationRequest)
            .addOnSuccessListener(
                authorizationResult -> {
                  if (authorizationResult.hasResolution()) {
                    // Access needs to be granted by the user
                    PendingIntent pendingIntent = authorizationResult.getPendingIntent();
                    try {
    startIntentSenderForResult(pendingIntent.getIntentSender(),
    REQUEST_AUTHORIZE, null, 0, 0, 0, null);
                    } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage());
                    }
                  } else {
                    String authCode = authorizationResult.getServerAuthCode();
                  }
                })
            .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));

Obiekt authorizationResult ma metodę getServerAuthCode(), która zwraca kod autoryzacji, który możesz wysłać do backendu, aby uzyskać token dostępu i token odświeżania.

Dostęp do interfejsów API Google w aplikacji na iOS

Dostęp po stronie klienta

Poniższy przykład pokazuje, jak uzyskać dostęp do interfejsów API Google po stronie klienta na iOS.

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

Użyj tokena dostępu do wywołania interfejsu API, dołączając go do nagłówka żądania REST lub gRPC (Authorization: Bearer ACCESS_TOKEN) albo używając autoryzatora pobierania (GTMFetcherAuthorizationProtocol) z biblioteką klienta interfejsów API Google dla języka Objective-C w przypadku REST.

Zapoznaj się z przewodnikiem po dostępie po stronie klienta, aby dowiedzieć się, jak uzyskać dostęp do interfejsów API Google po stronie klienta. o tym, jak uzyskać dostęp do interfejsów API Google po stronie klienta.

Dostęp po stronie serwera (offline)
Poniższy przykład pokazuje, jak uzyskać dostęp do interfejsów API Google po stronie serwera, aby obsługiwać klienta iOS. 
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

Zapoznaj się z przewodnikiem po dostępie po stronie serwera, aby dowiedzieć się, jak uzyskiwać dostęp do interfejsów API Google po stronie serwera.

Klient aplikacji Chrome

Jeśli stwierdzisz, że Twoja aplikacja korzysta z przepływu adresu IP sprzężenia zwrotnego na kliencie aplikacji Chrome, musisz przejść na interfejs Chrome Identity API.

Przykład poniżej pokazuje, jak uzyskać wszystkie kontakty użytkownika bez użycia adresu URI przekierowania adresu IP pętli zwrotnej. 

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

Więcej informacji o tym, jak uwierzytelniać użytkowników i wywoływać punkty końcowe Google za pomocą interfejsu Chrome Identity API, znajdziesz w  przewodniku po interfejsie Chrome Identity API.