מדריך להעברת זרם מחוץ למסגרת (OOB)

סקירה כללית

ב-16 בפברואר 2022, הודענו על התוכניות שלנו להפוך את האינטראקציות של Google OAuth לבטוחות יותר באמצעות תהליכי OAuth מאובטחים יותר. המדריך הזה יעזור לכם להבין את השינויים והשלבים הנדרשים כדי לבצע מעבר מוצלח מ-OAuth out-of-band (OOB) לפתרונות חלופיים נתמכים.

המאמץ הזה הוא אמצעי הגנה מפני פישינג ומתקפות התחזות לאפליקציות במהלך אינטראקציות עם נקודות הקצה של Google למתן הרשאות OAuth 2.0.

מה זה OOB?

‫OAuth out-of-band (OOB), שנקרא גם האפשרות של העתקה והדבקה ידניות, הוא תהליך מדור קודם שפותח כדי לתמוך בלקוחות מקומיים שאין להם URI להפניה אוטומטית לקבלת פרטי הכניסה אחרי שהמשתמש מאשר בקשת הסכמה ל-OAuth. תהליך OOB יוצר סיכון לפישינג מרחוק, ולכן הלקוחות צריכים לעבור לשיטה חלופית כדי להגן על עצמם מפני נקודת החולשה הזו.

תהליך ה-OOB יוצא משימוש בכל סוגי הלקוחות, כלומר אפליקציות אינטרנט, Android,‏ iOS,‏ Universal Windows Platform‏ (UWP), אפליקציות Chrome, טלוויזיות ומכשירים עם קלט מוגבל, ואפליקציות למחשב.

תאריכים חשובים שקשורים לתאימות

  • 28 בפברואר 2022 – שימוש חדש ב-OAuth נחסם בתהליך OOB
  • 5 בספטמבר 2022 – יכול להיות שתוצג הודעת אזהרה למשתמשים בבקשות OAuth שלא עומדות בדרישות
  • ‫3 באוקטובר 2022 – הוצאה משימוש של תהליך OOB עבור לקוחות OAuth שנוצרו לפני 28 בפברואר 2022
  • 31 בינואר 2023 – כל הלקוחות הקיימים נחסמים (כולל לקוחות שקיבלו פטור)

לגבי בקשות שלא עומדות בדרישות, תוצג הודעת שגיאה למשתמשים. ההודעה תציין למשתמשים שהאפליקציה חסומה, ותציג את כתובת האימייל לתמיכה שרשמתם במסך ההסכמה ל-OAuth ב-Google API Console.

יש שני שלבים עיקריים להשלמת תהליך ההעברה:
  1. בודקים אם אתם מושפעים מהשינוי.
  2. אם אתם מושפעים מהשינוי, כדאי לעבור לחלופה מאובטחת יותר.

איך יודעים אם השינוי משפיע עליכם

הוצאת התכונה משימוש רלוונטית רק לאפליקציות בסביבת הייצור (כלומר, לאפליקציות שסטטוס הפרסום שלהן מוגדר כ בסביבת הייצור). התהליך ימשיך לפעול באפליקציות עם סטטוס פרסום של בדיקה.

בודקים את סטטוס הפרסום בדף המיתוג של OAuth במסוף Google Cloud וממשיכים לשלב הבא אם משתמשים ב � תהליך OOB בפרויקט עם סטטוס פרסום 'בשלב הייצור'.

איך בודקים אם האפליקציה משתמשת בתהליך OOB

בודקים את קוד האפליקציה או את הבקשה היוצאת לרשת (אם האפליקציה משתמשת בספריית OAuth) כדי לראות אם בקשת ההרשאה של Google OAuth שהאפליקציה שולחת משתמשת בערך של URI להפניה מחוץ להקשר.

בדיקת קוד האפליקציה

בודקים את הקטע בקוד האפליקציה שבו מתבצעות קריאות ל נקודות הקצה של ההרשאה של Google OAuth. בודקים אם הפרמטר redirect_uri מכיל אחד מהערכים הבאים:
  • redirect_uri=urn:ietf:wg:oauth:2.0:oob
  • redirect_uri=urn:ietf:wg:oauth:2.0:oob:auto
  • redirect_uri=oob
בקשה לדוגמה של זרימת הפניה אוטומטית מחוץ לרצועה תיראה כמו הבקשה שבהמשך: 
https://accounts.google.com/o/oauth2/v2/auth?
response_type=code&
scope=<SCOPES>&
state=<STATE>&
redirect_uri=urn:ietf:wg:oauth:2.0:oob&
client_id=<CLIENT_ID>

בדיקת שיחה יוצאת ברשת

השיטה לבדיקת קריאות לרשת משתנה בהתאם לסוג הלקוח של האפליקציה.
במהלך בדיקת קריאות הרשת, מחפשים בקשות שנשלחות אל נקודות הקצה של ההרשאה של Google OAuth וקובעים אם הפרמטר redirect_uri מכיל אחד מהערכים הבאים:
  • redirect_uri=urn:ietf:wg:oauth:2.0:oob
  • redirect_uri=urn:ietf:wg:oauth:2.0:oob:auto
  • redirect_uri=oob
בקשה לדוגמה של זרימת הפניה אוטומטית מחוץ לרצועה תיראה כמו הבקשה שבהמשך: 
https://accounts.google.com/o/oauth2/v2/auth?
response_type=code&
scope=<SCOPES>&
state=<STATE>&
redirect_uri=urn:ietf:wg:oauth:2.0:oob&
client_id=<CLIENT_ID>

מעבר לאפשרות מאובטחת יותר

לקוחות לנייד (Android / iOS)

אם קבעתם שהאפליקציה שלכם משתמשת בתהליך OOB עם סוג לקוח OAuth של Android או iOS, אתם צריכים לעבור לשימוש בערכות ה-SDK המומלצות (Android,‏ iOS).

ערכת ה-SDK מאפשרת גישה קלה ל-Google APIs ומטפלת בכל הקריאות לנקודות הקצה של הרשאות OAuth 2.0 של Google.

בקישורים למסמכי התיעוד שבהמשך מוסבר איך להשתמש בערכות ה-SDK המומלצות כדי לגשת לממשקי Google API בלי להשתמש בכתובת URI להפניה אוטומטית של OOB.

גישה אל Google APIs ב-Android

גישה מצד הלקוח

בדוגמה הבאה מוסבר איך לגשת ל-Google APIs בצד הלקוח ב-Android באמצעות ספריית Google Identity Services Android המומלצת.

  List requestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA);
    AuthorizationRequest authorizationRequest = AuthorizationRequest.builder().setRequestedScopes(requestedScopes).build();
    Identity.getAuthorizationClient(activity)
            .authorize(authorizationRequest)
            .addOnSuccessListener(
                authorizationResult -> {
                  if (authorizationResult.hasResolution()) {
                    // Access needs to be granted by the user
                    PendingIntent pendingIntent = authorizationResult.getPendingIntent();
                    try {
    startIntentSenderForResult(pendingIntent.getIntentSender(),
    REQUEST_AUTHORIZE, null, 0, 0, 0, null);
                    } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage());
                    }
                  } else {
                    // Access already granted, continue with user action
                    saveToDriveAppFolder(authorizationResult);
                  }
                })
            .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));

מעבירים את authorizationResult לשיטה שהגדרתם כדי לשמור את התוכן בתיקיית Drive של המשתמש. ל-authorizationResult יש את ה-method‏ getAccessToken() שמחזיר את טוקן הגישה.

גישה בצד השרת (אופליין)
בדוגמה הבאה מוצגות דרכים לגשת לממשקי Google API בצד השרת ב-Android. 
  List requestedScopes = Arrays.asList(DriveScopes.DRIVE_APPDATA);
    AuthorizationRequest authorizationRequest = AuthorizationRequest.builder()
    .requestOfflineAccess(webClientId)
            .setRequestedScopes(requestedScopes)
            .build();
    Identity.getAuthorizationClient(activity)
            .authorize(authorizationRequest)
            .addOnSuccessListener(
                authorizationResult -> {
                  if (authorizationResult.hasResolution()) {
                    // Access needs to be granted by the user
                    PendingIntent pendingIntent = authorizationResult.getPendingIntent();
                    try {
    startIntentSenderForResult(pendingIntent.getIntentSender(),
    REQUEST_AUTHORIZE, null, 0, 0, 0, null);
                    } catch (IntentSender.SendIntentException e) {
                    Log.e(TAG, "Couldn't start Authorization UI: " + e.getLocalizedMessage());
                    }
                  } else {
                    String authCode = authorizationResult.getServerAuthCode();
                  }
                })
            .addOnFailureListener(e -> Log.e(TAG, "Failed to authorize", e));

ל-authorizationResult יש את ה-method‏ getServerAuthCode() שמחזירה את קוד ההרשאה שאפשר לשלוח לשרת העורפי כדי לקבל אסימון גישה ואסימון רענון.

גישה אל Google APIs באפליקציית iOS

גישה מצד הלקוח

בדוגמה הבאה אפשר לראות איך ניגשים ל-Google APIs בצד הלקוח ב-iOS.

user.authentication.do { authentication, error in
  guard error == nil else { return }
  guard let authentication = authentication else { return }
  
  // Get the access token to attach it to a REST or gRPC request.
  let accessToken = authentication.accessToken
  
  // Or, get an object that conforms to GTMFetcherAuthorizationProtocol for
  // use with GTMAppAuth and the Google APIs client library.
  let authorizer = authentication.fetcherAuthorizer()
}

משתמשים באסימון הגישה כדי לקרוא ל-API. אפשר לכלול את אסימון הגישה בכותרת של בקשת REST או gRPC ‏ (Authorization: Bearer ACCESS_TOKEN), או להשתמש במאשר האחזור (GTMFetcherAuthorizationProtocol) עם ספריית הלקוח של Google APIs ל-Objective-C ל-REST.

במאמר גישה בצד הלקוח מוסבר איך לגשת ל-Google APIs בצד הלקוח. איך לגשת ל-Google APIs בצד הלקוח.

גישה בצד השרת (אופליין)
בדוגמה הבאה אפשר לראות איך ניגשים ל-Google APIs בצד השרת כדי לתמוך בלקוח iOS. 
GIDSignIn.sharedInstance.signIn(with: signInConfig, presenting: self) { user, error in
  guard error == nil else { return }
  guard let user = user else { return }
  
  // request a one-time authorization code that your server exchanges for
  // an access token and refresh token
  let authCode = user.serverAuthCode
}

במדריך בנושא גישה מצד השרת מוסבר איך לגשת לממשקי Google API מצד השרת.

לקוח: אפליקציית Chrome

אם קבעתם שהאפליקציה שלכם משתמשת בתהליך OOB בלקוח אפליקציית Chrome, אתם צריכים לעבור לשימוש ב- Chrome Identity API.

בדוגמה הבאה מוצג איך לקבל את כל אנשי הקשר של המשתמש בלי להשתמש בכתובת URI להפניה אוטומטית של OOB. 

window.onload = function() {
  document.querySelector('button').addEventListener('click', function() {

  
  // retrieve access token
  chrome.identity.getAuthToken({interactive: true}, function(token) {
  
  // ..........


  // the example below shows how to use a retrieved access token with an appropriate scope
  // to call the Google People API contactGroups.get endpoint

  fetch(
    'https://people.googleapis.com/v1/contactGroups/all?maxMembers=20&key=API_KEY',
    init)
    .then((response) => response.json())
    .then(function(data) {
      console.log(data)
    });
   });
 });
};

ב מדריך ל-Chrome Identity API יש מידע נוסף על גישה למשתמשים מאומתים ועל קריאה לנקודות קצה (endpoints) של Google באמצעות Chrome Identity API.

אפליקציית אינטרנט

אם קבעתם שהאפליקציה שלכם משתמשת בתהליך OOB לאפליקציית אינטרנט, עליכם לעבור לשימוש באחת מספריות הלקוח של Google API. ספריות לקוח לשפות תכנות שונות מפורטות כאן.

הספריות מאפשרות לגשת בקלות אל Google APIs ולטפל בכל הקריאות לנקודות הקצה של Google.

גישה בצד השרת (אופליין)
כדי להשתמש במצב גישה בצד השרת (אופליין), צריך לבצע את הפעולות הבאות:

בקטע הקוד הבא מוצגת דוגמה ל-NodeJS לשימוש ב-Google Drive API כדי ליצור רשימה של קבצים ב-Google Drive של משתמש בצד השרת, בלי להשתמש בכתובת URI להפניה אוטומטית של OOB. 

async function main() {
  const server = http.createServer(async function (req, res) {

  if (req.url.startsWith('/oauth2callback')) {
    let q = url.parse(req.url, true).query;

    if (q.error) {
      console.log('Error:' + q.error);
    } else {
      
      // Get access and refresh tokens (if access_type is offline)
      let { tokens } = await oauth2Client.getToken(q.code);
      oauth2Client.setCredentials(tokens);

      // Example of using Google Drive API to list filenames in user's Drive.
      const drive = google.drive('v3');
      drive.files.list({
        auth: oauth2Client,
        pageSize: 10,
        fields: 'nextPageToken, files(id, name)',
      }, (err1, res1) => {
        // TODO(developer): Handle response / error.
      });
    }
  }
}

במדריך לאפליקציות אינטרנט בצד השרת מוסבר איך לגשת לממשקי Google API מצד השרת.

גישה מצד הלקוח

בקטע הקוד הבא, ב-JavaScript, מוצגת דוגמה לשימוש ב-Google API כדי לגשת לאירועים ביומן של המשתמש בצד הלקוח. 


// initTokenClient() initializes a new token client with your
// web app's client ID and the scope you need access to

const client = google.accounts.oauth2.initTokenClient({
  client_id: 'YOUR_GOOGLE_CLIENT_ID',
  scope: 'https://www.googleapis.com/auth/calendar.readonly',
  
  // callback function to handle the token response
  callback: (tokenResponse) => {
    if (tokenResponse && tokenResponse.access_token) { 
      gapi.client.setApiKey('YOUR_API_KEY');
      gapi.client.load('calendar', 'v3', listUpcomingEvents);
    }
  },
});

function listUpcomingEvents() {
  gapi.client.calendar.events.list(...);
}

ב מדריך לאפליקציות אינטרנט בצד הלקוח מוסבר איך לגשת ל-Google APIs מצד הלקוח.

תוכנת לקוח למחשב

אם תגלו שהאפליקציה שלכם משתמשת בתהליך OOB בלקוח למחשב, תצטרכו לעבור לשימוש בתהליך כתובת ה-IP של הלולאה החוזרת (localhost או 127.0.0.1).