Questa pagina è stata tradotta dall'API Cloud Translation.

Eseguire la migrazione dall'accesso a Google+

Avviso: Accedi con Google per Android è obsoleto e non è più supportato. Per garantire la sicurezza e l'usabilità continue della tua app, esegui la migrazione a Gestore delle credenziali oggi stesso. Gestore delle credenziali supporta le passkey, le password e l'autenticazione delle identità federate (ad esempio Accedi con Google), una maggiore sicurezza e un'esperienza utente più coerente. Per gli sviluppatori Wear: Gestore delle credenziali sarà supportato in Wear OS 5.1 e versioni successive su alcuni orologi. Gli sviluppatori che supportano attivamente i dispositivi Wear OS 3, 4 e 5.0 con Accedi con Google devono continuare a utilizzare Accedi con Google per Android per le app Wear. L'Assistenza Accedi con Google sarà disponibile in futuro sulle API Credential Manager per queste versioni di WearOS.

Importante: l'ambito profile.emails.read è ora classificato come ambito sensibile. Puoi ottenere la stessa funzionalità con l'ambito OpenID Connect (OIDC) di email. Per ridurre al minimo l'impatto sugli utenti, completa i passaggi descritti in questa guida.

Se non completi questi passaggi, a qualsiasi utente con un token attivo che ha ancora accesso all'ambito che abbiamo eliminato gradualmente potrebbe essere visualizzata una schermata dell'app non verificata o un messaggio "Accesso disattivato" e ricevere un avviso del Centro sicurezza che invita il Centro sicurezza a rimuovere l'accesso rischioso ai propri dati. Questo accade perché l'utente ha un token attivo per il quale l'ambito dell'API non è più verificato. Se la tua applicazione non revoca il token come descritto nei passaggi previsti, l'utente potrebbe continuare a ricevere un avviso.

Passaggi per ridurre al minimo l'impatto delle modifiche all'ambito sugli utenti

Se la tua applicazione richiede l'indirizzo email di un utente autenticato e in precedenza hai utilizzato profile.emails.read per questo scopo, utilizza email.
Ottieni l'approvazione per profile.emails.read con una richiesta di verifica approvata. Consulta l'articolo Come faccio a richiedere la verifica?
Revoca il token utente precedente per l'ambito da rimuovere o rimuovi completamente l'accesso all'applicazione. Ad esempio, un token con accesso profile.emails.read deve essere revocato. Ti consigliamo di applicare la revoca mentre gli utenti sono nella tua applicazione in modo da poter ottenere immediatamente il loro consenso.
Chiedi agli utenti di fornire nuovamente il consenso con il nuovo ambito, ad esempio email, senza profile.emails.read.
Rimuovi l'ambito che verrà ritirato dalla configurazione della schermata di consenso OAuth delle API Google.

Per eseguire la migrazione della tua app dall'accesso con Google+ all'accesso con Google, devi aggiornare il pulsante di accesso, gli ambiti richiesti e le istruzioni su come recuperare le informazioni del profilo da Google. Per istruzioni complete, consulta la nostra documentazione di Accedi con Google per Android.

Quando aggiorni il pulsante di accesso, non fare riferimento a G+ o utilizzare il colore rosso. Rispettare le nostre linee guida per il branding aggiornate.

La maggior parte delle applicazioni di accesso con Google+ ha richiesto una combinazione di ambiti: plus.login, plus.me e plus.profile.emails.read. Se utilizzi GoogleSignInOptions.Builder con l'opzione DEFAULT_SIGN_IN, richiedi automaticamente l'ambito profile che fornisce il nome e la foto del profilo dell'utente. Se vuoi anche l'indirizzo email dell'utente, chiama .requestEmail() durante la creazione delle opzioni di accesso con Google.

Molti strumenti di implementazione della funzionalità Accesso a Google+ hanno utilizzato il flusso di codice. Ciò significa che le app per Android, iOS o JavaScript ottengono un codice di autorizzazione OAuth da Google e il client lo invia nuovamente al server, insieme alla protezione contro la contraffazione delle richieste cross-site. Il server convalida quindi il codice e ottiene i token di aggiornamento e di accesso per estrarre le informazioni del profilo utente dall'people.get API.

Ora Google consiglia di richiedere un token ID e di inviarlo dal client al server. I token ID hanno protezioni dalla contraffazione tra siti integrate e possono inoltre essere verificati in modo statico sul server, evitando chiamate API aggiuntive per ottenere le informazioni del profilo dell'utente dai server di Google. Segui le istruzioni per convalidare i token ID sul tuo server.

Se preferisci comunque utilizzare il flusso di codice per ottenere le informazioni del profilo, puoi farlo. Una volta che il tuo server dispone di un token di accesso, devi ottenere le informazioni del profilo dell'utente dagli endpoint userinfo specificati nel nostro documento Discovery per l'accesso. La risposta dell'API è formattata in modo diverso rispetto alla risposta del profilo Google+, pertanto devi aggiornare l'analisi al nuovo formato.

Se utilizzi GoogleAuthUtil.getToken o Plus.API, devi eseguire la migrazione all'API di accesso più recente per una maggiore sicurezza e un'esperienza utente migliore.