Migrar do GoogleAuthUtil e Plus.API

Se você já fez a integração com o Login do Google usando GoogleAuthUtil.getToken ou Plus.API, é necessário migrar para a versão mais recente API de login para maior segurança e uma melhor experiência do usuário.

Migrar do antipadrão de token de acesso

Não envie tokens de acesso obtidos com GoogleAuthUtil.getToken para seu servidor de back-end como uma declaração de identidade, já que não é possível verificar que o token foi emitido para seu back-end, deixando você vulnerável à inserção de um token de acesso de um invasor.

Por exemplo, caso seu código do Android se pareça com o exemplo abaixo, você deve migrar seu app para as práticas recomendadas atuais.

Código do Android

No exemplo, as solicitações de token de acesso usam oauth2: e uma string de escopo como o Parâmetro scope para a chamada de GoogleAuthUtil.getToken (oauth2:https://www.googleapis.com/auth/plus.login).

Em vez de autenticar com um token de acesso adquirido com GoogleAuthUtil.getToken, use o fluxo do token de ID ou o fluxo do código de autorização.

Migrar para o fluxo de tokens de ID

Se você só precisa do ID do usuário, endereço de e-mail, nome ou URL da foto do perfil, use o fluxo de token de ID.

Para migrar para o fluxo do token de ID, faça as seguintes alterações:

Lado do cliente Android

  • Remova a permissão GET_ACCOUNTS (contatos) se você a solicitar.
  • Troque qualquer código usando GoogleAuthUtil, Plus.API AccountPicker.newChooseAccountIntent() ou AccountManager.newChooseAccountIntent() a Auth.GOOGLE_SIGN_IN_API com Configuração GoogleSignInOptions.Builder.requestIdToken(...).

Lado do servidor

Migrar para o fluxo do código de autenticação do servidor

Se o servidor precisar acessar outras APIs do Google, como Google Drive, YouTube, ou Contatos, use o fluxo do código de autenticação do servidor.

Para migrar para o fluxo do código de autenticação do servidor, faça as seguintes alterações:

Lado do cliente Android

  • Remova a permissão GET_ACCOUNTS (contatos) se você a solicitar.
  • Troque qualquer código usando GoogleAuthUtil, Plus.API AccountPicker.newChooseAccountIntent() ou AccountManager.newChooseAccountIntent() a Auth.GOOGLE_SIGN_IN_API com Configuração GoogleSignInOptions.Builder.requestServerAuthCode(...).

Lado do servidor

Você ainda pode compartilhar a lógica de acesso à API entre seus endpoints antigos e novos. Por exemplo:

GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...);
String accessToken = tokenResponse.getAccessToken();
String refreshToken = tokenResponse.getRefreshToken();
Long expiresInSeconds = tokenResponse.getExpiresInSeconds();

// Shared by your old and new implementation, old endpoint can pass null for refreshToken
private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) {
   GoogleCredential credential = new GoogleCredential.Builder()
           .setTransPort(...)
           ...
           .build();
   credential.setAccessToken(accessToken);
   credential.setExpiresInSeconds(expiresInSeconds);
   credential.setRefreshToken(refreshToken);
}

Migrar do fluxo de tokens de ID do GoogleAuthUtil

Se você usar GoogleAuthUtil para receber tokens de ID, migre para a nova Fluxo de token de ID da API de login.

Por exemplo, se o código do Android se parecer com o exemplo a seguir, você deverá migrate:

Código do Android

No exemplo, as solicitações de token de ID usam audience:server:client_id mais o ID do cliente para seu servidor da Web como o parâmetro "scope" para o GoogleAuthUtil.getToken chamada (audience:server:client_id:9414861317621.apps.googleusercontent.com).

O novo fluxo de token de ID da API de login tem os seguintes benefícios:

  • Experiência de login simplificada com um toque
  • Seu servidor pode receber informações de perfil de usuário sem uma chamada de rede extra

Para migrar para o fluxo do token de ID, faça as seguintes alterações:

Lado do cliente Android

  • Remova a permissão GET_ACCOUNTS (contatos) se você a solicitar.
  • Troque qualquer código usando GoogleAuthUtil, Plus.API AccountPicker.newChooseAccountIntent() ou AccountManager.newChooseAccountIntent() a Auth.GOOGLE_SIGN_IN_API com Configuração GoogleSignInOptions.Builder.requestIdToken(...).

Lado do servidor

A nova API de login emite tokens de ID que obedecem aos requisitos do OpenID Connect especificação, ao contrário de GoogleAuthUtil.getToken, que usa um formato descontinuado. Mais especificamente, o emissor agora é https://accounts.google.com, com https. esquema.

Durante o processo de migração, o servidor precisa verificar o token de ID de ambos clientes novos e antigos do Android. Para verificar os dois formatos do token, configure alteração que corresponda à biblioteca de cliente utilizada (se você utilizar uma):

  • Java (bibliotecas de cliente de APIs do Google): upgrade para a versão 1.21.0 ou mais recente
  • PHP (bibliotecas de cliente de APIs do Google): se você usa a v1, faça upgrade para a 1.1.6 ou mais recente. Se você usa a v2, faça upgrade para a 2.0.0-RC1 ou mais recente
  • Node.js: fazer upgrade para a versão 0.9.7 ou mais recente
  • Python ou suas próprias implementações: aceite os dois emissores a seguir: https://accounts.google.com e accounts.google.com

Migrar do fluxo de código de autenticação do servidor GoogleAuthUtil

Se você usar GoogleAuthUtil para receber um código de autenticação do servidor, migre para o novo fluxo de código de autenticação da API de login.

Por exemplo, se o código do Android se parecer com o exemplo a seguir, você deverá migrate:

Código do Android

No exemplo, as solicitações de código de autenticação do servidor usam oauth2:server:client_id + o ID do cliente para seu servidor da Web como o parâmetro scope para o Chamada de GoogleAuthUtil.getToken (oauth2:server:client_id:9414861317621.apps.googleusercontent.com).

O novo fluxo de código de autenticação da API de login tem os seguintes benefícios:

  • Experiência de login simplificada com um toque
  • Se você seguir o guia de migração abaixo, seu servidor poderá receber um token de ID contendo as informações de perfil do usuário quando você faz a troca do código de autenticação

Para migrar para o novo fluxo do código de autenticação, faça as seguintes alterações:

Lado do cliente Android

  • Remova a permissão GET_ACCOUNTS (contatos) se você a solicitar.
  • Troque qualquer código usando GoogleAuthUtil, Plus.API AccountPicker.newChooseAccountIntent() ou AccountManager.newChooseAccountIntent() a Auth.GOOGLE_SIGN_IN_API com Configuração GoogleSignInOptions.Builder.requestServerAuthCode(...).

Lado do servidor

Manter o código atual, mas especificar https://oauth2.googleapis.com/token como o endpoint do servidor de token ao criar objeto GoogleAuthorizationCodeTokenRequest, para que você possa receber um token de ID com o e-mail, ID do usuário e informações do perfil do usuário sem precisar de outro chamada de rede. Este endpoint é totalmente compatível com versões anteriores, e o código abaixo funcionará para códigos de autenticação do servidor recuperados do Android antigo e do novo as implementações do cliente.

GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(
                transport,
                jsonFactory,
                // Use below for tokenServerEncodedUrl parameter
                "https://oauth2.googleapis.com/token",
                clientSecrets.getDetails().getClientId(),
                clientSecrets.getDetails().getClientSecret(),
                authCode,
                REDIRECT_URI)
               .execute();

...

// You can also get an ID token from auth code exchange.
GoogleIdToken googleIdToken = tokenResponse.parseIdToken();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
        .setAudience(Arrays.asList(SERVER_CLIENT_ID))
        .setIssuer("https://accounts.google.com")
        .build();
// Refer to ID token documentation to see how to get data from idToken object.
GoogleIdToken idToken = verifier.verify(idTokenString);
...