Guia de migração do fluxo de endereços IP de loopback

Visão geral

Em 16 de fevereiro de 2022, nós anunciamos planos para tornar as interações do Google OAuth mais seguras usando fluxos OAuth mais seguros. Este guia ajuda a entender as mudanças necessárias e as etapas usadas para migrar do fluxo de endereço IP de loopback para alternativas compatíveis.

Esse esforço é uma medida de proteção contra ataques de phishing e de representação indevida de apps durante interações com os endpoints de autorização do OAuth 2.0 do Google.

O que é o fluxo de endereço IP de loopback?

O fluxo de endereço IP de loopback oferece suporte ao uso de um endereço IP de loopback ou localhost como o componente de host do URI de redirecionamento para onde as credenciais são enviadas depois que um usuário aprova uma solicitação de permissão do OAuth. Esse fluxo é vulnerável a ataques man-in-the-middle em que um app malicioso, que acessa a mesma interface de loopback em alguns sistemas operacionais, pode interceptar a resposta do servidor de autorização para o URI de redirecionamento fornecido e acessar o código de autorização.

O fluxo de endereço IP de loopback está sendo descontinuado para tipos de cliente OAuth do iOS, do Android, e do Chrome, mas continuará sendo compatível com apps para computador.

Principais datas de conformidade

  • 14 de março de 2022 : novos clientes OAuth bloqueados de usar o fluxo de endereço IP de loopback
  • 1º de agosto de 2022 : uma mensagem de aviso voltada ao usuário pode ser exibida para solicitações OAuth não compatíveis
  • 31 de agosto de 2022 : o fluxo de endereço IP de loopback é bloqueado para clientes OAuth do Android, do app Chrome e do iOS criados antes de 14 de março de 2022
  • 21 de outubro de 2022 : todos os clientes atuais são bloqueados (incluindo os isentos)

Uma mensagem de erro voltada ao usuário será exibida para solicitações não compatíveis. A mensagem informará aos usuários que o app está bloqueado ao exibir o e-mail de suporte registrado na tela de permissão OAuth no console do Google Cloud.

Há duas etapas principais para concluir o processo de migração:
  1. Determine se você foi afetado.
  2. Migre para uma alternativa compatível, se você foi afetado.

Determine se você foi afetado

Revise o tipo de ID do cliente OAuth

Acesse a página "Clientes" do console do Google Cloud e confira o tipo de ID do cliente OAuth na seção IDs do cliente OAuth 2.0. Ele será um dos seguintes: aplicativo da Web, Android, iOS, Plataforma Universal do Windows (UWP), app Chrome, TVs e dispositivos de entrada limitada, app para computador.

Prossiga para a próxima etapa se o tipo de cliente for Android, app Chrome ou iOS e você estiver usando o fluxo de endereço IP de loopback.

Não é necessário fazer nada relacionado a essa descontinuação se você estiver usando o fluxo de endereço IP de loopback em um cliente OAuth de app para computador, já que o uso com esse tipo de cliente OAuth continuará sendo compatível.

Como determinar se o app está usando o fluxo de endereço IP de loopback

Inspecione o código do app ou a chamada de rede de saída (caso o app esteja usando uma biblioteca OAuth) para determinar se a solicitação de autorização do Google OAuth que o app está fazendo está usando valores de URI de redirecionamento de loopback.

Inspecionar o código do aplicativo

Revise a seção do código do aplicativo em que você está fazendo chamadas para os endpoints de autorização do Google OAuth e determine se o parâmetro redirect_uri tem algum dos seguintes valores:
  • redirect_uri=http://127.0.0.1:<port> por exemplo, redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port>, por exemplo, redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port>, por exemplo, redirect_uri=http://localhost:3000
Uma solicitação de fluxo de redirecionamento de endereço IP de loopback de amostra é semelhante a esta: 
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

Inspecionar a chamada de rede de saída

O método de inspeção de chamadas de rede varia de acordo com o tipo de cliente do aplicativo.
Ao inspecionar chamadas de rede, procure solicitações enviadas aos endpoints de autorização do Google OAuth e determine se o parâmetro redirect_uri tem algum dos seguintes valores:
  • redirect_uri=http://127.0.0.1:<port> por exemplo, redirect_uri=http://127.0.0.1:3000
  • redirect_uri=http://[::1]:<port>, por exemplo, redirect_uri=http://[::1]:3000
  • redirect_uri=http://localhost:<port>, por exemplo, redirect_uri=http://localhost:3000
Uma solicitação de fluxo de redirecionamento de endereço IP de loopback de amostra é semelhante a esta: 
https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

Migrar para uma alternativa compatível

Clientes para dispositivos móveis (Android / iOS)

Se você determinar que o app está usando o fluxo de endereço IP de loopback com um tipo de cliente OAuth do Android ou iOS, migre para o uso dos SDKs recomendados (Android, iOS).

O SDK facilita o acesso às APIs do Google e processa todas as chamadas para os endpoints de autorização do OAuth 2.0 do Google.

Os links de documentação abaixo fornecem informações sobre como usar os SDKs recomendados para acessar as APIs do Google sem usar um URI de redirecionamento de endereço IP de loopback.

Acessar as APIs do Google no Android

Acesso do lado do cliente

O exemplo a seguir mostra como acessar as APIs do Google no lado do cliente no Android usando a biblioteca recomendada dos Serviços de Identificação do Google para Android.

  List requestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA);
    AuthorizationRequest authorizationRequest = AuthorizationRequest.builder().setRequestedScopes(requestedScopes).build();
    Identity.getAuthorizationClient(activity)
            .authorize(authorizationRequest)
            .addOnSuccessListener(
                authorizationResult -> {
                  if (authorizationResult.hasResolution()) {
                    // Access needs to be granted by the user
                    PendingIntent pendingIntent = authorizationResult.getPendingIntent();
                    try {
    startIntentSenderForResult(pendingIntent.getIntentSender(),
    REQUEST_AUTHORIZE, null, 0, 0, 0, null);
                    } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage());
                    }
                  } else {
                    // Access already granted, continue with user action
                    saveToDriveAppFolder(authorizationResult);
                  }
                })
            .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));

Transmita o authorizationResult para o método definido para salvar o conteúdo na pasta do Drive do usuário. O authorizationResult tem o getAccessToken() método que retorna o token de acesso.

Acesso do lado do servidor (off-line)
O exemplo a seguir mostra como acessar as APIs do Google no lado do servidor no Android. 
  List requestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA);
    AuthorizationRequest authorizationRequest = AuthorizationRequest.builder()
    .requestOfflineAccess(webClientId)
            .setRequestedScopes(requestedScopes)
            .build();
    Identity.getAuthorizationClient(activity)
            .authorize(authorizationRequest)
            .addOnSuccessListener(
                authorizationResult -> {
                  if (authorizationResult.hasResolution()) {
                    // Access needs to be granted by the user
                    PendingIntent pendingIntent = authorizationResult.getPendingIntent();
                    try {
    startIntentSenderForResult(pendingIntent.getIntentSender(),
    REQUEST_AUTHORIZE, null, 0, 0, 0, null);
                    } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage());
                    }
                  } else {
                    String authCode = authorizationResult.getServerAuthCode();
                  }
                })
            .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));

O authorizationResult tem o getServerAuthCode() método que retorna o código de autorização que você pode enviar ao seu back-end para receber um token de acesso e token de atualização.

Acessar as APIs do Google em um app iOS

Acesso do lado do cliente

O exemplo abaixo mostra como acessar as APIs do Google no lado do cliente no iOS.

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

Use o token de acesso para chamar a API, incluindo o token de acesso no cabeçalho de uma solicitação REST ou gRPC (Authorization: Bearer ACCESS_TOKEN), ou usando o autorizador do buscador (GTMFetcherAuthorizationProtocol) com a biblioteca de cliente das APIs do Google para Objective-C para REST.

Consulte o guia de acesso do lado do cliente sobre como acessar as APIs do Google no lado do cliente. sobre como acessar as APIs do Google no lado do cliente.

Acesso do lado do servidor (off-line)
O exemplo abaixo mostra como acessar as APIs do Google no lado do servidor para oferecer suporte a um cliente iOS. 
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

Consulte o guia de acesso do lado do servidor sobre como acessar as APIs do Google do lado do servidor.

Cliente do app Chrome

Se você determinar que o app está usando o fluxo de endereço IP de loopback no cliente do app Chrome, migre para o uso da API Chrome Identity.

O exemplo abaixo mostra como receber todos os contatos do usuário sem usar um URI de redirecionamento de endereço IP de loopback. 

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

Consulte o guia da API Chrome Identity para mais informações sobre como autenticar usuários e chamar endpoints do Google com a API Chrome Identity.