Eseguire la migrazione dall'accesso a Google+

Passaggi per ridurre al minimo l'impatto delle modifiche dell'ambito sugli utenti

  1. Se la tua applicazione richiede l'indirizzo email di un utente autenticato e in precedenza hai utilizzato profile.emails.read a questo scopo, utilizza invece email.
  2. Ottieni l'approvazione per profile.emails.read con una richiesta di verifica approvata. Consulta la sezione Come posso richiedere la verifica?
  3. Revoca il token utente precedente all'ambito da rimuovere oppure rimuovi completamente l'accesso all'applicazione. Ad esempio, un token con accesso a profile.emails.read dovrebbe essere revocato. Ti consigliamo di applicare la revoca mentre gli utenti sono nell'applicazione, in modo da poter ottenere immediatamente il consenso degli utenti.
  4. Chiedi agli utenti di dare nuovamente il consenso con il nuovo ambito, ad esempio email, senza profile.emails.read.
  5. Rimuovi l'ambito che verrà eliminato gradualmente dalla configurazione della schermata per il consenso OAuth delle API di Google.

Per eseguire la migrazione dell'app dall'Accesso a Google+ ad Accedi con Google, devi aggiornare il pulsante di accesso, gli ambiti richiesti e le istruzioni su come recuperare le informazioni del profilo da Google. Segui la nostra documentazione di Accedi con Google per Android per istruzioni complete.

Quando aggiorni il pulsante di accesso, non fare riferimento a G+ e non utilizzare il colore rosso. Rispettare le nostre linee guida per il branding aggiornate.

La maggior parte delle applicazioni di Accesso a Google+ richiede una combinazione di ambiti: plus.login, plus.me e plus.profile.emails.read. Se utilizzi GoogleSignInOptions.Builder con l'opzione DEFAULT_SIGN_IN, richiederai automaticamente l'ambito profile che fornisce il nome e l'immagine del profilo dell'utente. Se vuoi anche l'indirizzo email dell'utente, devi chiamare .requestEmail() per creare le opzioni di accesso a Google.

Molti utenti che implementano l'accesso a Google+ utilizzavano il flusso del codice. Ciò significa che le app per Android, iOS o JavaScript ricevono un codice di autorizzazione OAuth da Google e il client lo invia nuovamente al server, insieme alla protezione contro la falsificazione delle richieste tra siti. Il server convalida quindi il codice e ottiene i token di aggiornamento e di accesso per estrarre le informazioni del profilo utente dall'API people.get.

Google ora consiglia di richiedere un token ID e inviarlo dal client al server. I token ID hanno protezioni contro la contraffazione integrate tra siti e possono anche essere verificati in modo statico sul tuo server, evitando una chiamata API aggiuntiva per ottenere le informazioni del profilo utente dai server di Google. Segui le istruzioni per convalidare i token ID sul tuo server.

Se preferisci comunque utilizzare il flusso di codice per ottenere le informazioni del profilo, puoi farlo. Una volta che il tuo server dispone di un token di accesso, devi ottenere le informazioni del profilo utente dagli endpoint userinfo specificati nel nostro documento di rilevamento dell'accesso. La risposta dell'API è formattata in modo diverso rispetto alla risposta del profilo Google+, pertanto devi aggiornare l'analisi in base al nuovo formato.

Se utilizzi GoogleAuthUtil.getToken o Plus.API, devi migrate all'API Sign-In più recente per una maggiore sicurezza e un'esperienza utente migliore.