Действия по минимизации влияния изменений области действия на пользователей
- Если вашему приложению требуется адрес электронной почты аутентифицированного пользователя и вы ранее использовали для этой цели
profile.emails.read, используйте вместо негоemail. - Получите одобрение для
profile.emails.readс одобренным запросом на проверку. См. раздел Как отправить на проверку? - Отзовите предыдущий токен пользователя в области, которую необходимо удалить, или полностью удалите доступ к приложению. Например, токен с доступом
profile.emails.readдолжен быть отозван. Мы рекомендуем вам применить отзыв, пока ваши пользователи находятся в вашем приложении, чтобы вы могли немедленно получить согласие пользователя. - Предложите пользователям повторно согласиться с новой областью действия, например
email, безprofile.emails.read. - Удалите область, которая должна быть постепенно исключена из конфигурации экрана согласия OAuth Google API.
Чтобы перенести приложение с входа в Google+ на вход в Google, вам необходимо обновить кнопку входа, запрашиваемые области и инструкции по получению информации профиля из Google. Для получения полных инструкций следуйте нашей документации по входу в Google для Android .
При обновлении кнопки входа не ссылайтесь на G+ и не используйте красный цвет. Соответствуйте нашим обновленным рекомендациям по брендингу .
Большинство приложений для входа в Google+ запрашивали некоторую комбинацию областей: plus.login , plus.me и plus.profile.emails.read . Используя GoogleSignInOptions.Builder с опцией DEFAULT_SIGN_IN , вы автоматически запросите область profile , которая предоставляет имя пользователя и изображение профиля. Если вам также нужен адрес электронной почты пользователя, вам следует вызвать .requestEmail() при создании параметров входа в Google.
Многие разработчики Google+ Sign-In использовали поток кода . Это означает, что приложения Android, iOS или JavaScript получают код авторизации OAuth от Google, а клиент отправляет этот код обратно на сервер вместе с защитой от подделки межсайтовых запросов. Затем сервер проверяет код и получает токены обновления и доступа для получения информации профиля пользователя из API people.get .
Теперь Google рекомендует вам запросить токен идентификатора и отправить токен идентификатора от вашего клиента на ваш сервер. Токены идентификатора имеют встроенную защиту от межсайтовой подделки, а также могут быть статически проверены на вашем сервере, что позволяет избежать дополнительного вызова API для получения информации профиля пользователя с серверов Google. Следуйте инструкциям для проверки токенов идентификатора на вашем сервере .
Если вы по-прежнему предпочитаете использовать поток кода для получения информации профиля, вы можете это сделать. Как только ваш сервер получит токен доступа, вам необходимо получить информацию о профиле пользователя от конечных точек userinfo указанных в нашем документе Обнаружение входа в систему. Ответ API форматируется иначе, чем ответ профиля Google+, поэтому вам необходимо обновить синтаксический анализ до нового формата.
Если вы используете GoogleAuthUtil.getToken или Plus.API , вам следует перейти на новейший API входа в систему, чтобы повысить безопасность и улучшить взаимодействие с пользователем.