שלבים לצמצום ההשפעה של שינויים בהיקף על המשתמשים
- אם באפליקציה שלכם דרושה כתובת אימייל של משתמש מאומת, ובשביל זה השתמשתם בעבר ב-
profile.emails.read
, צריך להשתמש במקום זאת ב-email
. - אפשר לקבל אישור עבור
profile.emails.read
עם בקשת אימות שאושרה. מידע נוסף זמין בקטע איך שולחים בקשה לאימות? - ביטול של אסימון המשתמש הקודם עבור ההיקף שיש להסיר או להסיר לגמרי את הגישה לאפליקציה. לדוגמה, צריך לבטל אסימון עם הרשאת גישה אל
profile.emails.read
. מומלץ להחיל את הביטול בזמן שהמשתמשים שלך נמצאים באפליקציה, כדי שתוכל לקבל את הסכמת המשתמש באופן מיידי. - עליך להנחות את המשתמשים להביע הסכמה מחדש עם ההיקף החדש, כמו
email
, בליprofile.emails.read
. - מסירים את ההיקף שיוסר בהדרגה מהגדרת מסך ההסכמה של OAuth ל-Google APIs.
כדי להעביר את האפליקציה מכניסה באמצעות Google+ לכניסה באמצעות חשבון Google, צריך לעדכן את לחצן הכניסה, את ההיקפים המבוקשים ואת ההוראות לאחזור פרטי הפרופיל מ-Google. פועלים לפי ההוראות המלאות במסמכי התיעוד שלנו בנושא כניסה באמצעות חשבון Google ל-Android.
כשמעדכנים את לחצן הכניסה, אל תתייחסו ל-G+ ואל תשתמשו בצבע האדום. לפעול בהתאם להנחיות המיתוג המעודכנות שלנו.
רוב האפליקציות לכניסה באמצעות חשבון Google+ ביקשו שילוב כלשהו של ההיקפים: plus.login
, plus.me
ו-plus.profile.emails.read
. באמצעות GoogleSignInOptions.Builder
עם האפשרות DEFAULT_SIGN_IN
, תישלח באופן אוטומטי בקשה להיקף ההרשאות profile
שכולל את שם המשתמש ותמונת הפרופיל שלו. אם רוצים גם את כתובת האימייל של המשתמש, צריך לקרוא לפונקציה .requestEmail()
כשיוצרים את אפשרויות הכניסה באמצעות חשבון Google.
רבים מהמטמיעים של הכניסה עם Google+ השתמשו בזרם הקוד. פירוש הדבר הוא שאפליקציות ל-Android, ל-iOS או ל-JavaScript מקבלות קוד הרשאה ל-OAuth מ-Google, והלקוח שולח את הקוד חזרה לשרת, יחד עם הגנה על זיוף בקשות מאתרים שונים. לאחר מכן השרת מאמת את הקוד ומקבל אסימוני רענון וגישה כדי לשלוף את פרטי פרופיל המשתמשים מה-API people.get
.
Google ממליצה עכשיו לבקש אסימון מזהה ולשלוח אותו מהלקוח לשרת שלכם. לאסימונים מזהים יש הגנה מובנית מפני זיוף אתרים, וניתן גם לאמת אותם באופן סטטי בשרת כדי למנוע קריאה נוספת ל-API על מנת לקבל מידע על פרופיל המשתמש מהשרתים של Google. מבצעים את ההוראות לאימות אסימונים מזהים בשרת.
אם אתם עדיין מעדיפים להשתמש בתהליך הקוד כדי לקבל את פרטי הפרופיל, תוכלו לעשות זאת. אחרי שלשרת שלכם יהיה אסימון גישה, תצטרכו לקבל את פרטי הפרופיל מנקודות הקצה של userinfo
שצוינו במסמך הגילוי הנאות לכניסה. הפורמט של תגובת ה-API שונה מהפורמט של התגובה בפרופיל Google+, ולכן עליכם לעדכן את הניתוח לפורמט החדש.
אם אתם משתמשים ב-GoogleAuthUtil.getToken
או ב-Plus.API
, כדאי migrate ל-API החדש לכניסה כדי לשפר את האבטחה ואת חוויית המשתמש.