Passaggi per ridurre al minimo l'impatto delle modifiche dell'ambito sugli utenti
- Se la tua applicazione richiede l'indirizzo email di un utente autenticato e in precedenza hai utilizzato
profile.emails.read
a questo scopo, utilizza inveceemail
. - Ottieni l'approvazione per
profile.emails.read
con una richiesta di verifica approvata. Consulta la sezione Come posso richiedere la verifica? - Revoca il token utente precedente all'ambito da rimuovere oppure rimuovi completamente l'accesso all'applicazione. Ad esempio, un token con accesso a
profile.emails.read
dovrebbe essere revocato. Ti consigliamo di applicare la revoca mentre gli utenti sono nell'applicazione, in modo da poter ottenere immediatamente il consenso degli utenti. - Chiedi agli utenti di dare nuovamente il consenso con il nuovo ambito, ad esempio
email
, senzaprofile.emails.read
. - Rimuovi l'ambito che verrà eliminato gradualmente dalla configurazione della schermata per il consenso OAuth delle API di Google.
Per eseguire la migrazione dell'app dall'Accesso a Google+ ad Accedi con Google, devi aggiornare il pulsante di accesso, gli ambiti richiesti e le istruzioni su come recuperare le informazioni del profilo da Google. Segui la nostra documentazione di Accedi con Google per Android per istruzioni complete.
Quando aggiorni il pulsante di accesso, non fare riferimento a G+ e non utilizzare il colore rosso. Rispettare le nostre linee guida per il branding aggiornate.
La maggior parte delle applicazioni di Accesso a Google+ richiede una combinazione di ambiti:
plus.login
, plus.me
e plus.profile.emails.read
. Se utilizzi GoogleSignInOptions.Builder
con l'opzione DEFAULT_SIGN_IN
, richiederai automaticamente l'ambito profile
che fornisce il nome e l'immagine del profilo dell'utente. Se vuoi anche l'indirizzo email dell'utente, devi chiamare
.requestEmail()
per creare le opzioni di accesso a Google.
Molti utenti che implementano l'accesso a Google+ utilizzavano il flusso del codice. Ciò significa che le app per Android, iOS o JavaScript ricevono un codice di autorizzazione OAuth da Google e il client lo invia nuovamente al server, insieme alla protezione contro la falsificazione delle richieste tra siti. Il server convalida quindi il codice e ottiene i token di aggiornamento e di accesso per estrarre le informazioni del profilo utente dall'API people.get
.
Google ora consiglia di richiedere un token ID e inviarlo dal client al server. I token ID hanno protezioni contro la contraffazione integrate tra siti e possono anche essere verificati in modo statico sul tuo server, evitando una chiamata API aggiuntiva per ottenere le informazioni del profilo utente dai server di Google. Segui le istruzioni per convalidare i token ID sul tuo server.
Se preferisci comunque utilizzare il flusso di codice per ottenere le informazioni del profilo, puoi farlo. Una volta che il tuo server dispone di un token di accesso, devi ottenere le informazioni del profilo utente dagli endpoint userinfo
specificati nel nostro documento di rilevamento dell'accesso. La risposta dell'API è formattata in modo diverso rispetto alla risposta del profilo Google+, pertanto devi aggiornare l'analisi in base al nuovo formato.
Se utilizzi GoogleAuthUtil.getToken
o Plus.API
, devi
migrate
all'API Sign-In più recente per una maggiore sicurezza e un'esperienza utente migliore.