คําแนะนําในการย้ายข้อมูลที่อยู่ IP ของ Loopback

ภาพรวม

เมื่อวันที่ 16 กุมภาพันธ์ 2022 เราได้ประกาศแผนทําให้การโต้ตอบของ Google OAuth ปลอดภัยยิ่งขึ้นโดยใช้ขั้นตอน OAuth ที่มีความปลอดภัยมากขึ้น คู่มือนี้ช่วยให้คุณเข้าใจการเปลี่ยนแปลงและขั้นตอนที่จําเป็นในการย้ายข้อมูลจากที่อยู่ IP แบบวนซ้ําไปยังตัวเลือกอื่นที่รองรับได้สําเร็จ

การดําเนินการนี้เป็นมาตรการป้องกันการโจมตีแบบฟิชชิงและการปลอมแปลงแอประหว่างการโต้ตอบกับปลายทางการให้สิทธิ์ OAuth 2.0 ของ Google

เรากําลังเลิกใช้งานขั้นตอนการใช้ที่อยู่ IP แบบวนซ้ําสําหรับไคลเอ็นต์ OAuth ประเภท iOS, Android และ Chrome แต่ยังคงใช้งานได้ในแอปในเดสก์ท็อป

ตรวจสอบว่าได้รับผลกระทบหรือไม่

ตรวจสอบประเภทรหัสไคลเอ็นต์ OAuth

ไปที่ Credentials page ของ Google API Console และดูประเภทรหัสไคลเอ็นต์ OAuth ในส่วนรหัสไคลเอ็นต์ OAuth 2.0 โดยจะเป็นอย่างใดอย่างหนึ่งต่อไปนี้: เว็บแอปพลิเคชัน, Android, iOS, Universal Windows Platform (UWP), แอป Chrome, ทีวีและอุปกรณ์อินพุตที่จํากัด, แอปเดสก์ท็อป

ดําเนินการขั้นตอนถัดไปหากประเภทไคลเอ็นต์ของคุณคือ Android, แอป Chrome หรือ iOS และคุณกําลังใช้ขั้นตอนที่อยู่ IP แบบวนกลับ

คุณไม่จําเป็นต้องดําเนินการใดๆ เกี่ยวกับการเลิกใช้งานนี้ หากใช้การแสดงที่อยู่ IP แบบวนซ้ําในไคลเอ็นต์ OAuth ของแอปเดสก์ท็อปอยู่ ระบบจะรองรับการใช้งานกับประเภทไคลเอ็นต์ OAuth ดังกล่าวต่อไป

วิธีตรวจสอบว่าแอปของคุณใช้ขั้นตอนที่อยู่ IP แบบวนซ้ําอยู่หรือไม่

ตรวจสอบโค้ดของแอปหรือ การเรียกใช้เครือข่ายขาออก (ในกรณีที่แอปของคุณใช้ไลบรารี OAuth) เพื่อระบุว่าการให้สิทธิ์ Google OAuth การขอสิทธิ์ การวนกลับของ URI กําลังใช้ URI ของแอปหรือไม่ คือการใช้ URI ย้อนกลับ

ตรวจสอบโค้ดของแอปพลิเคชัน

https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

ตรวจสอบการโทรออกของเครือข่าย

https://accounts.google.com/o/oauth2/v2/auth?
redirect_uri=http://localhost:3000&
response_type=code&
scope=<SCOPES>&
state=<STATE>&
client_id=<CLIENT_ID>

ย้ายข้อมูลไปยังตัวเลือกอื่นที่รองรับ

ไคลเอ็นต์อุปกรณ์เคลื่อนที่ (Android / iOS)

หากพบว่าแอปมีการใช้ขั้นตอนที่อยู่ IP แบบวนซ้ํากับไคลเอ็นต์ OAuth ประเภท Android หรือ iOS คุณควรย้ายข้อมูลไปยัง SDK อุปกรณ์เคลื่อนที่สําหรับ Google Sign-In (Android, iOS)

SDK นี้ช่วยให้เข้าถึง Google API และจัดการการเรียกทั้งหมดไปยังปลายทางการให้สิทธิ์ OAuth 2.0 ของ Google ได้อย่างง่ายดาย

ลิงก์เอกสารประกอบด้านล่างมีวิธีการใช้ SDK การลงชื่อเข้าใช้ Google เพื่อเข้าถึง Google API โดยไม่ต้องใช้ URI การเปลี่ยนเส้นทางที่อยู่ IP ที่มีการวนกลับ

เข้าถึง Google API ใน Android

การเข้าถึงฝั่งเซิร์ฟเวอร์ (ออฟไลน์)

Task<GoogleSignInAccount> task = GoogleSignIn.getSignedInAccountFromIntent(data);
try {
  GoogleSignInAccount account = task.getResult(ApiException.class);
  
  // request a one-time authorization code that your server exchanges for an
  // access token and sometimes refresh token
  String authCode = account.getServerAuthCode();
  
  // Show signed-in UI
  updateUI(account);

  // TODO(developer): send code to server and exchange for access/refresh/ID tokens
} catch (ApiException e) {
  Log.w(TAG, "Sign-in failed", e);
  updateUI(null);
}

ดูวิธีเข้าถึง Google API จากฝั่งเซิร์ฟเวอร์ได้ในคําแนะนําการเข้าถึงฝั่งเซิร์ฟเวอร์

เข้าถึง Google API ในแอป iOS

สิทธิ์เข้าถึงฝั่งไคลเอ็นต์

ตัวอย่างด้านล่างแสดงวิธีเข้าถึง Google API ในฝั่งไคลเอ็นต์บน iOS

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

ใช้โทเค็นเพื่อการเข้าถึงเพื่อเรียก API โดยรวมโทเค็นเพื่อการเข้าถึงไว้ในส่วนหัวของคําขอ REST หรือ gRPC (Authorization: Bearer ACCESS_TOKEN) หรือโดยใช้ผู้ให้สิทธิ์การดึงข้อมูล (GTMFetcherAuthorizationProtocol) กับไลบรารีของไคลเอ็นต์ Google APIs สําหรับ Objective-C สําหรับ REST

ดูวิธีเข้าถึง Google API ในฝั่งไคลเอ็นต์ได้จากคู่มือการเข้าถึงฝั่งไคลเอ็นต์ เกี่ยวกับวิธีเข้าถึง Google API ในฝั่งไคลเอ็นต์

การเข้าถึงฝั่งเซิร์ฟเวอร์ (ออฟไลน์)

GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

ดูวิธีเข้าถึง Google API จากฝั่งเซิร์ฟเวอร์ได้ในคําแนะนําการเข้าถึงฝั่งเซิร์ฟเวอร์

ไคลเอ็นต์แอป Chrome

หากพบว่าแอปใช้ขั้นตอนที่อยู่ IP แบบวนซ้ําในไคลเอ็นต์ของแอป Chrome คุณควรย้ายข้อมูลไปยัง Chrome Identity API

ตัวอย่างด้านล่างแสดงวิธีรับรายชื่อติดต่อของผู้ใช้ทั้งหมดโดยไม่ใช้ URI การเปลี่ยนเส้นทางที่อยู่ IP แบบวนซ้ํา

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

โปรดอ่านคําแนะนําเกี่ยวกับ Chrome Identity API เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีตรวจสอบสิทธิ์ผู้ใช้และเรียกปลายทาง Google ด้วย Chrome Identity API