Se usó la API de Cloud Translation para traducir esta página.

Migra desde el acceso con Google+

Advertencia: El Acceso con Google para Android está desactualizado y ya no es compatible. Para garantizar la seguridad y la usabilidad continuas de tu app, migra a Credential Manager hoy mismo. El Administrador de credenciales admite llaves de acceso, contraseñas y autenticación de identidad federada (como Acceder con Google), una seguridad más sólida y una experiencia del usuario más coherente. Para desarrolladores de Wear: El Administrador de credenciales será compatible con Wear OS 5.1 y versiones posteriores en relojes seleccionados. Los desarrolladores que admiten de forma activa dispositivos Wear OS 3, 4 y 5.0 con Acceder con Google deben seguir usando el Acceso con Google para Android en sus aplicaciones para Wear. La compatibilidad con Acceder con Google estará disponible en las APIs de Credential Manager para estas versiones de WearOS más adelante.

Importante: El alcance profile.emails.read ahora se clasifica como un alcance sensible. Puedes lograr la misma funcionalidad con el alcance de OpenID Connect (OIDC) de email. Para minimizar el impacto en los usuarios, completa los pasos que se indican en esta guía.

Si no completas estos pasos, es posible que a cualquier usuario con un token activo que aún tenga acceso al permiso que eliminamos de forma gradual se le muestre una pantalla de app no verificada o un mensaje que indique que se inhabilitó el acceso, y que reciba una advertencia de Security Center para quitar el acceso riesgoso a sus datos. Esto ocurre porque el usuario tiene un token activo en el que ya no se verifica el permiso de la API. Si tu aplicación no revoca el token como se describe en los pasos prescritos, es posible que el usuario siga recibiendo una advertencia.

Pasos para minimizar el impacto de los cambios de alcance en los usuarios

Si tu aplicación requiere la dirección de correo electrónico de un usuario autenticado y ya usaste profile.emails.read para ese fin, usa email en su lugar.
Obtén la aprobación de profile.emails.read con una solicitud de verificación aprobada. Consulta ¿Cómo envío una verificación?
Revoca el token de usuario anterior al alcance que se quitará o quita el acceso a la aplicación por completo. Por ejemplo, se debe revocar un token con acceso a profile.emails.read. Te recomendamos que apliques la revocación mientras los usuarios estén en tu aplicación para que puedas obtener su consentimiento de inmediato.
Solicita a los usuarios que vuelvan a otorgar su consentimiento con el nuevo alcance, como email, sin profile.emails.read.
Quita el permiso que dejará de estar disponible de manera gradual en la configuración de la pantalla de consentimiento de OAuth de las APIs de Google.

Para migrar tu app de Google+ Sign-in a Google Sign-in, debes actualizar el botón de acceso, los permisos solicitados y las instrucciones para recuperar información de perfil de Google. Sigue las instrucciones completas de nuestra documentación de Acceso con Google para Android.

Cuando actualices el botón de acceso, no hagas referencia a G+ ni uses el color rojo. Cumplir con nuestros lineamientos de desarrollo de la marca actualizados

La mayoría de las aplicaciones de Acceso con Google+ solicitaban alguna combinación de los siguientes permisos: plus.login, plus.me y plus.profile.emails.read. Si usas GoogleSignInOptions.Builder con la opción DEFAULT_SIGN_IN, solicitarás automáticamente el permiso profile, que proporciona el nombre y la foto de perfil del usuario. Si también quieres la dirección de correo electrónico del usuario, debes llamar a .requestEmail() cuando crees las opciones de Acceso con Google.

Muchos implementadores de Acceso con Google+ usaron el flujo de código. Esto significa que las apps para Android, iOS o JavaScript obtienen un código de autorización de OAuth de Google, y el cliente lo vuelve a enviar al servidor, junto con la protección contra la falsificación de solicitudes entre sitios. Luego, el servidor valida el código y obtiene tokens de actualización y acceso para extraer información del perfil del usuario de la API de people.get.

Ahora Google recomienda que solicites un token de ID y lo envíes desde tu cliente a tu servidor. Los tokens de ID tienen protecciones contra la falsificación entre sitios integradas y también se pueden verificar de forma estática en tu servidor, lo que evita una llamada a la API adicional para obtener información del perfil del usuario de los servidores de Google. Sigue las instrucciones para validar los tokens de ID en tu servidor.

Si aún prefieres usar el flujo de código para obtener información del perfil, puedes hacerlo. Una vez que tu servidor tenga un token de acceso, debes obtener información del perfil del usuario de los extremos userinfo especificados en nuestro documento de descubrimiento de Acceso. La respuesta de la API tiene un formato diferente al de la respuesta del perfil de Google+, por lo que debes actualizar el análisis al nuevo formato.

Si usas GoogleAuthUtil.getToken o Plus.API, debes migrar a la API de Sign-In más reciente para obtener mayor seguridad y una mejor experiencia del usuario.