ウェブ向け Google ログイン JavaScript プラットフォーム ライブラリが廃止されます。このライブラリは、2023 年 3 月 31 日のサポート終了日以降にダウンロードできなくなります。代わりに、ウェブ向けの新しい Google Identity Services を使用してください。
新しく作成されたクライアント ID は、デフォルトで古いプラットフォーム ライブラリを使用できなくなり、既存のクライアント ID は影響を受けません。2022 年 7 月 29 日より前に作成された新しいクライアント ID では、"plugin_name" を設定して Google プラットフォーム ライブラリの使用を有効にすることができます。

GoogleAuthUtil と Plus.API から移行する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

過去に GoogleAuthUtil.getToken または Plus.API を使用して Google ログインと統合していた場合は、セキュリティとユーザー エクスペリエンスを高めるため、最新の Sign-In API に移行する必要があります。

アクセス トークンのアンチパターンからの移行

GoogleAuthUtil.getToken で取得したアクセス トークンを ID アサーションとしてバックエンド サーバーに送信しないでください。トークンがバックエンドに発行されたことは簡単には確認できず、攻撃者からアクセス トークンが挿入される危険性があります。

たとえば、Android コードが以下の例のようになっている場合は、アプリを現在のベスト プラクティスに移行する必要があります。

Android コード

この例では、アクセス トークン リクエストで GoogleAuthUtil.getToken 呼び出し(oauth2:https://www.googleapis.com/auth/plus.login)の scope パラメータとして、oauth2: とスコープ文字列が使用されています。

GoogleAuthUtil.getToken で取得したアクセス トークンで認証するのではなく、ID トークンのフローまたは認証コードのフローを使用します。

ID トークンフローに移行する

ユーザー ID、メールアドレス、名前、プロフィール写真の URL のみが必要な場合は、ID トークン フローを使用します。

ID トークンのフローに移行するには、次の変更を行います。

Android クライアント側

  • GET_ACCOUNTS(連絡先)権限をリクエストした場合は削除します
  • GoogleAuthUtilPlus.APIAccountPicker.newChooseAccountIntent()AccountManager.newChooseAccountIntent() を使用しているコードを GoogleSignInOptions.Builder.requestIdToken(...) 構成の Auth.GOOGLE_SIGN_IN_API に切り替えます。

サーバー側

  • ID トークン認証用の新しいエンドポイントを作成する
  • クライアント アプリの移行後、古いエンドポイントを無効にする

サーバー認証コードフローへの移行

サーバーが他の Google API(Google ドライブ、YouTube、コンタクトなど)にアクセスする必要がある場合は、サーバー認証コードフローを使用します。

サーバー認証コードフローに移行するには、次のように変更します。

Android クライアント側

  • GET_ACCOUNTS(連絡先)権限をリクエストした場合は削除します
  • GoogleAuthUtilPlus.APIAccountPicker.newChooseAccountIntent()AccountManager.newChooseAccountIntent() を使用しているコードを GoogleSignInOptions.Builder.requestServerAuthCode(...) 構成の Auth.GOOGLE_SIGN_IN_API に切り替えます。

サーバー側

古いエンドポイントと新しいエンドポイントの間でも API アクセス ロジックを共有できます。たとえば、以下の場合です。

GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(...);
String accessToken = tokenResponse.getAccessToken();
String refreshToken = tokenResponse.getRefreshToken();
Long expiresInSeconds = tokenResponse.getExpiresInSeconds();

// Shared by your old and new implementation, old endpoint can pass null for refreshToken
private void driveAccess(String refreshToken, String accessToken, Long expiresInSeconds) {
   GoogleCredential credential = new GoogleCredential.Builder()
           .setTransPort(...)
           ...
           .build();
   credential.setAccessToken(accessToken);
   credential.setExpiresInSeconds(expiresInSeconds);
   credential.setRefreshToken(refreshToken);
}

GoogleAuthUtil ID トークンフローからの移行

GoogleAuthUtil を使用して ID トークンを取得する場合は、新しい Sign-In API の ID トークン フローに移行する必要があります。

たとえば、Android コードが次の例のようになっている場合は、移行する必要があります。

Android コード

この例では、ID トークン リクエストで、audience:server:client_id とウェブサーバーのクライアント ID を GoogleAuthUtil.getToken 呼び出し(audience:server:client_id:9414861317621.apps.googleusercontent.com)の「スコープ」パラメータとして使用します。

新しい Sign-In API ID トークンのフローには、次の利点があります。

  • 簡素化されたワンタップ ログイン エクスペリエンス
  • サーバーは追加のネットワーク呼び出しなしでユーザー プロフィール情報を取得できる

ID トークンのフローに移行するには、次の変更を行います。

Android クライアント側

  • GET_ACCOUNTS(連絡先)権限をリクエストした場合は削除します
  • GoogleAuthUtilPlus.APIAccountPicker.newChooseAccountIntent()AccountManager.newChooseAccountIntent() を使用しているコードを GoogleSignInOptions.Builder.requestIdToken(...) 構成の Auth.GOOGLE_SIGN_IN_API に切り替えます。

サーバー側

サポートが終了した形式を使用する GoogleAuthUtil.getToken とは異なり、新しい Sign-In API は OpenID Connect 仕様に準拠した ID トークンを発行します。具体的には、発行元が https://accounts.google.com になり、https スキーマになります。

移行プロセスでは、サーバーは古いクライアントと新しい Android クライアントの両方の ID トークンを確認する必要があります。トークンの両方の形式を確認するには、使用するクライアント ライブラリに応じた変更を行います(使用する場合)。

  • Java(Google API クライアント ライブラリ): 1.21.0 以降にアップグレード
  • PHP(Google API クライアント ライブラリ): v1 を使用している場合は、1.1.6 以降にアップグレードします。v2 を使用している場合は、2.0.0-RC1 以降にアップグレードします。
  • Node.js: 0.9.7 以降にアップグレード
  • Python または独自の実装: https://accounts.google.comaccounts.google.com の両方の発行者を受け入れます。

GoogleAuthUtil サーバー認証コードフローからの移行

GoogleAuthUtil を使用してサーバーの認証コードを取得する場合は、新しい Sign-In API の認証コードフローに移行する必要があります。

たとえば、Android コードが次の例のようになっている場合は、移行する必要があります。

Android コード

この例では、サーバー認証コード リクエストは、oauth2:server:client_id + ウェブサーバーのクライアント ID を GoogleAuthUtil.getToken 呼び出し(oauth2:server:client_id:9414861317621.apps.googleusercontent.com)の scope パラメータとして使用します。

新しい Sign-In API 認証コードフローには、次の利点があります。

  • 簡素化されたワンタップ ログイン エクスペリエンス
  • 以下の移行ガイドの手順に沿って進めると、サーバーは認証コード交換を行う際に、ユーザーのプロフィール情報を含む ID トークンを取得できます。

新しい認証コードフローに移行するには、次のように変更します。

Android クライアント側

  • GET_ACCOUNTS(連絡先)権限をリクエストした場合は削除します
  • GoogleAuthUtilPlus.APIAccountPicker.newChooseAccountIntent()AccountManager.newChooseAccountIntent() を使用しているコードを GoogleSignInOptions.Builder.requestServerAuthCode(...) 構成の Auth.GOOGLE_SIGN_IN_API に切り替えます。

サーバー側

現在のコードを維持したまま、GoogleAuthorizationCodeTokenRequest オブジェクトを作成するときにトークン サーバー エンドポイントとして https://oauth2.googleapis.com/token を指定すると、ユーザーのメール、ユーザー ID、プロファイル情報を含む ID トークンを取得できます。別のネットワーク呼び出しは必要ありません。このエンドポイントには完全な下位互換性があるため、次のコードは、古い Android クライアントの実装と新しい Android クライアントの実装の両方から取得したサーバー認証コードで機能します。

GoogleTokenResponse tokenResponse = new GoogleAuthorizationCodeTokenRequest(
                transport,
                jsonFactory,
                // Use below for tokenServerEncodedUrl parameter
                "https://oauth2.googleapis.com/token",
                clientSecrets.getDetails().getClientId(),
                clientSecrets.getDetails().getClientSecret(),
                authCode,
                REDIRECT_URI)
               .execute();

...

// You can also get an ID token from auth code exchange.
GoogleIdToken googleIdToken = tokenResponse.parseIdToken();
GoogleIdTokenVerifier verifier = new GoogleIdTokenVerifier.Builder(transport, jsonFactory)
        .setAudience(Arrays.asList(SERVER_CLIENT_ID))
        .setIssuer("https://accounts.google.com")
        .build();
// Refer to ID token documentation to see how to get data from idToken object.
GoogleIdToken idToken = verifier.verify(idTokenString);
...