Esta página foi traduzida pela API Cloud Translation.

Migrar do login do Google+

Etapas para minimizar o impacto das mudanças de escopo nos usuários

Caso seu aplicativo exija o endereço de e-mail de um usuário autenticado e você já tenha usado profile.emails.read para essa finalidade, use email.
Consiga a aprovação do app profile.emails.read com uma solicitação de verificação aprovada. Consulte Como enviar para verificação?
Revogue o token de usuário anterior para o escopo a ser removido ou remova o acesso ao aplicativo completamente. Por exemplo, um token com acesso profile.emails.read precisa ser revogado. Recomendamos que você aplique a revogação enquanto os usuários estiverem no aplicativo para obter o consentimento imediato deles.
Peça para os usuários consentirem novamente com o novo escopo, como email, sem profile.emails.read.
Remova o escopo que será descontinuado da configuração da tela de permissão OAuth das APIs do Google.

Para migrar seu app do Login do Google+ para o Login do Google, você precisa atualizar o botão de login, os escopos solicitados e as instruções sobre como recuperar informações do perfil do Google. Siga a documentação do Login do Google para Android para ver instruções completas.

Ao atualizar o botão de login, não se refira ao G+ nem use a cor vermelha. estar em conformidade com nossas diretrizes da promoção de marca atualizadas;

A maioria dos aplicativos de Login do Google+ solicitava alguma combinação dos escopos: plus.login, plus.me e plus.profile.emails.read. Ao usar GoogleSignInOptions.Builder com a opção DEFAULT_SIGN_IN, você solicitará automaticamente o escopo profile que fornece o nome e a foto do perfil do usuário. Se você também quiser o endereço de e-mail do usuário, chame .requestEmail() ao criar opções de login do Google.

Muitos implementadores do Login do Google+ usaram o fluxo de código. Isso significa que os apps Android, iOS ou JavaScript recebem um código de autorização OAuth do Google, e o cliente envia esse código de volta ao servidor, com proteção contra falsificação de solicitações entre sites. Em seguida, o servidor valida o código e recebe tokens de atualização e acesso para extrair informações do perfil do usuário da API people.get.

Agora o Google recomenda que você solicite um token de ID e o envie do seu cliente para o servidor. Os tokens de ID têm proteções integradas contra falsificação entre sites e também podem ser verificados estaticamente no seu servidor, o que evita uma chamada de API extra para receber informações de perfil do usuário dos servidores do Google. Siga as instruções para validar tokens de ID no seu servidor.

Se você ainda preferir usar o fluxo de código para receber informações de perfil, poderá fazer isso. Depois que o servidor tiver um token de acesso, você precisará acessar informações de perfil de usuário dos endpoints userinfo especificados no documento Descoberta de login. A resposta da API é formatada de maneira diferente da resposta do perfil do Google+. Por isso, você precisa atualizar sua análise para o novo formato.

Se você estiver usando GoogleAuthUtil.getToken ou Plus.API, migrate para a API Sign-In mais recente para ter mais segurança e uma melhor experiência do usuário.