Genel Bakış
16 Şubat 2022'de, daha güvenli OAuth akışları kullanarak Google OAuth etkileşimlerini daha güvenli hale getirme planlarımızı duyurmuştuk. Bu kılavuz, bant dışı OAuth akışından (OOB) desteklenen alternatiflere başarılı bir şekilde geçiş yapmak için gerekli değişiklikleri ve adımları anlamanıza yardımcı olur.
Bu çalışma, Google'ın OAuth 2.0 yetkilendirme uç noktalarıyla etkileşim sırasında kimlik avı ve uygulama taklidi saldırılarına karşı koruyucu bir önlemdir.
OOB nedir?
OAuth out-of-band (OOB), manuel kopyalama/yapıştırma seçeneği olarak da adlandırılır. Bu, bir kullanıcının OAuth izin isteğini onaylamasının ardından kimlik bilgilerini kabul etmek için yönlendirme URI'si olmayan yerel istemcileri desteklemek üzere geliştirilmiş eski bir akıştır. Bant dışı akış, uzaktan kimlik avı riski oluşturur. Bu güvenlik açığına karşı korunmak için istemcilerin alternatif bir yönteme geçmesi gerekir.Bant dışı akış, tüm istemci türleri (ör. web uygulamaları, Android, iOS, Evrensel Windows Platformu (UWP), Chrome uygulamaları, TV'ler ve sınırlı giriş cihazları, masaüstü uygulamaları) için kullanımdan kaldırılıyor.
Uygunlukla ilgili önemli tarihler
- 28 Şubat 2022: OOB akışı için yeni OAuth kullanımı engellendi.
- 5 Eylül 2022: Uygun olmayan OAuth istekleri için kullanıcıya yönelik bir uyarı mesajı gösterilebilir.
- 3 Ekim 2022: 28 Şubat 2022'den önce oluşturulan OAuth istemcileri için OOB akışı kullanımdan kaldırıldı.
- 31 Ocak 2023: Tüm mevcut istemciler (muaf tutulan istemciler dahil) engellenir.
Uygun olmayan istekler için kullanıcıya yönelik bir hata mesajı gösterilir. Mesajda, Google API Konsolu'ndaki OAuth kullanıcı rızası ekranında kaydettiğiniz destek e-posta adresi gösterilirken uygulamanın engellendiği kullanıcıya bildirilir.
- Etkilenip etkilenmediğinizi belirleyin.
- Etkileniyorsanız daha güvenli bir alternatife geçin.
Etkilenip etkilenmediğinizi belirleme
Bu desteğin sonlandırılması yalnızca üretim uygulamaları (yani yayınlama durumu Üretimde olarak ayarlanmış uygulamalar) için geçerlidir. Akış, Test yayınlama durumu olan uygulamalarda çalışmaya devam edecek.
OAuth'ta yayınlama durumunuzu inceleyin Branding page Google Cloud Console ve "Üretimde" yayınlama durumuna sahip bir projede OOB akışını kullanıyorsanız sonraki adıma geçin.
Uygulamanızın OOB akışını kullanıp kullanmadığını belirleme
Google OAuth yetkilendirme isteğinizin bir OOB yönlendirme URI'si değeri kullanıp kullanmadığını belirlemek için uygulama kodunuzu veya giden ağ çağrısını (uygulamanız bir OAuth kitaplığı kullanıyorsa) inceleyin.
Uygulama kodunuzu inceleme
redirect_uri parametresinin aşağıdaki değerlerden herhangi birine sahip olup olmadığını belirleyin:
redirect_uri=urn:ietf:wg:oauth:2.0:oobredirect_uri=urn:ietf:wg:oauth:2.0:oob:autoredirect_uri=oob
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& scope=<SCOPES>& state=<STATE>& redirect_uri=urn:ietf:wg:oauth:2.0:oob& client_id=<CLIENT_ID>
Giden ağ çağrısını inceleme
- Web uygulaması - Chrome'da ağ etkinliğini inceleme
- Android - Ağ İnceleyici ile ağ trafiğini inceleme
-
Chrome uygulamaları
- Chrome uzantıları sayfasına gidin.
- Uzantı sayfasının sağ üst köşesindeki Geliştirici modu onay kutusunu işaretleyin.
- İzlemek istediğiniz uzantıyı seçin.
- Uzantı sayfasının İnceleme görünümleri bölümündeki arka plan sayfası bağlantısını tıklayın.
- Geliştirici Araçları pop-up'ı açılır. Burada, Ağ sekmesinde ağ trafiğini izleyebilirsiniz. Ağ sekmesinde ağ trafiğini izleyebilirsiniz.
- iOS - HTTP trafiğini Instruments ile analiz etme
- Evrensel Windows Platformu (UWP) - Visual Studio'da ağ trafiğini inceleme
- Masaüstü uygulamaları: Uygulamanın geliştirildiği işletim sistemi için kullanılabilen bir ağ yakalama aracı kullanın.
redirect_uri parametresinin aşağıdaki değerlerden herhangi birine sahip olup olmadığını belirleyin:
redirect_uri=urn:ietf:wg:oauth:2.0:oobredirect_uri=urn:ietf:wg:oauth:2.0:oob:autoredirect_uri=oob
https://accounts.google.com/o/oauth2/v2/auth? response_type=code& scope=<SCOPES>& state=<STATE>& redirect_uri=urn:ietf:wg:oauth:2.0:oob& client_id=<CLIENT_ID>
Güvenli bir alternatife geçiş yapma
Mobil istemciler (Android / iOS)
Uygulamanızın Android veya iOS OAuth istemci türüyle OOB akışını kullandığını belirlerseniz önerilen SDK'ları (Android, iOS) kullanmaya geçmelisiniz.
SDK, Google API'lerine erişimi kolaylaştırır ve Google'ın OAuth 2.0 yetkilendirme uç noktalarına yapılan tüm çağrıları işler.
Aşağıdaki doküman bağlantılarında, Google API'lerine OOB yönlendirme URI'si kullanmadan erişmek için önerilen SDK'ların nasıl kullanılacağı hakkında bilgi verilmektedir.
Android'de Google API'lerine erişme
İstemci tarafı erişimi
Aşağıdaki örnekte, önerilen Google Identity Services Android Kitaplığı kullanılarak Android'de istemci tarafında Google API'lerine nasıl erişileceği gösterilmektedir.
ListrequestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA); AuthorizationRequest authorizationRequest = AuthorizationRequest.builder().setRequestedScopes(requestedScopes).build(); Identity.getAuthorizationClient(activity) .authorize(authorizationRequest) .addOnSuccessListener( authorizationResult -> { if (authorizationResult.hasResolution()) { // Access needs to be granted by the user PendingIntent pendingIntent = authorizationResult.getPendingIntent(); try { startIntentSenderForResult(pendingIntent.getIntentSender(), REQUEST_AUTHORIZE, null, 0, 0, 0, null); } catch (IntentSender.SendIntentException e) { Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage()); } } else { // Access already granted, continue with user action saveToDriveAppFolder(authorizationResult); } }) .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));
İçeriği kullanıcının Drive klasörüne kaydetmek için tanımladığınız yönteme authorizationResult değerini iletin. authorizationResult, erişim jetonunu döndüren
getAccessToken() yöntemine sahiptir.
Sunucu tarafı (çevrimdışı) erişim
Aşağıdaki örnekte, Android'de sunucu tarafında Google API'lerine nasıl erişileceği gösterilmektedir.ListrequestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA); AuthorizationRequest authorizationRequest = AuthorizationRequest.builder() .requestOfflineAccess(webClientId) .setRequestedScopes(requestedScopes) .build(); Identity.getAuthorizationClient(activity) .authorize(authorizationRequest) .addOnSuccessListener( authorizationResult -> { if (authorizationResult.hasResolution()) { // Access needs to be granted by the user PendingIntent pendingIntent = authorizationResult.getPendingIntent(); try { startIntentSenderForResult(pendingIntent.getIntentSender(), REQUEST_AUTHORIZE, null, 0, 0, 0, null); } catch (IntentSender.SendIntentException e) { Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage()); } } else { String authCode = authorizationResult.getServerAuthCode(); } }) .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));
authorizationResult, erişim ve yenileme jetonu almak için arka ucunuza gönderebileceğiniz yetkilendirme kodunu döndüren
getServerAuthCode() yöntemine sahiptir.
iOS uygulamasında Google API'lerine erişme
İstemci tarafı erişimi
Aşağıdaki örnekte, iOS'te istemci tarafında Google API'lerine nasıl erişileceği gösterilmektedir.
user.authentication.do { authentication, error in guard error == nil else { return } guard let authentication = authentication else { return } // Get the access token to attach it to a REST or gRPC request. let accessToken = authentication.accessToken // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for // use with GTMAppAuth and the Google APIs client library. let authorizer = authentication.fetcherAuthorizer() }
Erişim jetonunu bir REST veya gRPC isteğinin üstbilgisine ekleyerek (Authorization: Bearer ACCESS_TOKEN) ya da
REST için Objective-C için Google API'leri istemci kitaplığı ile fetcher yetkilendiricisini (GTMFetcherAuthorizationProtocol) kullanarak API'yi çağırmak için erişim jetonunu kullanın.
İstemci tarafında Google API'lerine nasıl erişileceği hakkında istemci tarafı erişim kılavuzunu inceleyin. Google API'lerine istemci tarafında nasıl erişileceği hakkında bilgi edinin.
Sunucu tarafı (çevrimdışı) erişim
Aşağıdaki örnekte, bir iOS istemcisini desteklemek için sunucu tarafında Google API'lerine nasıl erişileceği gösterilmektedir.GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
guard error == nil else { return }
guard let user = user else { return }
// request a one-time authorization code that your server exchanges for
// an access token and refresh token
let authCode = user.serverAuthCode
}Google API'lerine sunucu tarafından nasıl erişileceği hakkında sunucu tarafı erişim kılavuzunu inceleyin.
Chrome Uygulaması İstemcisi
Uygulamanızın Chrome uygulama istemcisinde bant dışı akışı kullandığını belirlerseniz Chrome Identity API'yi kullanmaya geçmeniz gerekir.
Aşağıdaki örnekte, OOB yönlendirme URI'si kullanılmadan tüm kullanıcı kişilerinin nasıl alınacağı gösterilmektedir.
window.onload = function() { document.querySelector('button').addEventListener('click', function() { // retrieve access token chrome.identity.getAuthToken({interactive: true}, function(token) { // .......... // the example below shows how to use a retrieved access token with an appropriate scope // to call the Google People API contactGroups.get endpoint fetch( 'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY', init) .then((response) => response.json()) .then(function(data) { console.log(data) }); }); }); };
Kullanıcıların kimliğini doğrulama ve Chrome Identity API ile Google uç noktalarını çağırma hakkında daha fazla bilgi edinmek için Chrome Identity API kılavuzunu inceleyin.
Web Uygulaması
Uygulamanızın bir web uygulaması için OOB akışını kullandığını belirlerseniz Google API istemci kitaplıklarımızdan birini kullanmaya geçmelisiniz. Farklı programlama dillerine yönelik istemci kitaplıkları burada listelenmiştir.
Kitaplıklar, Google API'lerine erişmeyi ve Google uç noktalarına yapılan tüm çağrıları işlemeyi kolaylaştırır.
Sunucu tarafı (çevrimdışı) erişim
- Bir sunucu oluşturun ve yetkilendirme kodunu almak için herkese açık olarak erişilebilen bir uç nokta (yönlendirme URI'si) tanımlayın.
- Clients page Google Cloud Console
Aşağıdaki kod snippet'inde, bir kullanıcının Google Drive dosyalarını sunucu tarafında OOB yönlendirme URI'si kullanmadan listelemek için Google Drive API'nin kullanıldığı bir NodeJS örneği gösterilmektedir.
async function main() { const server = http.createServer(async function (req, res) { if (req.url.startsWith('/oauth2callback')) { let q = url.parse(req.url, true).query; if (q.error) { console.log('Error:' + q.error); } else { // Get access and refresh tokens (if access_type is offline) let { tokens } = await oauth2Client.getToken(q.code); oauth2Client.setCredentials(tokens); // Example of using Google Drive API to list filenames in user's Drive. const drive = google.drive('v3'); drive.files.list({ auth: oauth2Client, pageSize: 10, fields: 'nextPageToken, files(id, name)', }, (err1, res1) => { // TODO(developer): Handle response / error. }); } } }
Google API'lerine sunucu tarafından nasıl erişileceği hakkında sunucu tarafı web uygulaması kılavuzunu inceleyin.
İstemci tarafı erişimi
Aşağıdaki JavaScript kod snippet'inde, Google API'nin istemci tarafında kullanıcının takvim etkinliklerine erişmek için nasıl kullanılacağına dair bir örnek gösterilmektedir.
// initTokenClient() initializes a new token client with your // web app's client ID and the scope you need access to const client = google.accounts.oauth2.initTokenClient({ client_id: 'YOUR_GOOGLE_CLIENT_ID', scope: 'https://www.googleapis.com/auth/calendar.readonly', // callback function to handle the token response callback: (tokenResponse) => { if (tokenResponse && tokenResponse.access_token) { gapi.client.setApiKey('YOUR_API_KEY'); gapi.client.load('calendar', 'v3', listUpcomingEvents); } }, }); function listUpcomingEvents() { gapi.client.calendar.events.list(...); }
Google API'lerine istemci tarafından nasıl erişileceğiyle ilgili istemci tarafı web uygulaması kılavuzunu inceleyin.
Masaüstü istemcisi
Uygulamanızın bir masaüstü istemcisinde OOB akışını kullandığını belirlerseniz
loopback IP adresi (localhost veya 127.0.0.1) akışını kullanmaya geçmeniz gerekir.