Modernizando interações OAuth em apps nativos para melhor usabilidade e segurança

setembro 12, 2016 6:00 pm Publicado por Deixe um comentário

A equipe de identidade está constantemente se esforçando para ajudar os usuários do Google a fazerem login em aplicativos de terceiros com suas contas do Google de forma segura e sem interrupções, e permitir eles compartilhem informações selecionadas de sua conta, como seu calendário ou informações de contato com outros aplicativos, quando desejarem.

Sob o capô, essas interações acontecem por meio de solicitações OAuth e, ao longo dos anos, o Google tem apoiado uma série de maneiras para os desenvolvedores implementarem OAuth com a gente. Com a melhoria da segurança e a usabilidade em mente, em breve estaremos terminando o suporte para uma dessas maneiras. Nos próximos meses, não vamos mais permitir solicitações OAuth para o Google em navegadores embutidos, conhecidos como “web-views”, como o elemento WebView UI no Android e o UIWebView/WKWebView no iOS, e equivalentes no Windows e OS X.

img-1

Usar o navegador do dispositivo para solicitações OAuth em vez de um web-view incorporado pode melhorar a usabilidade de seus aplicativos de forma significativa: os usuários só precisam fazer o login no Google uma vez por dispositivo, melhorando as taxas de conversão de login e fluxo de autorização em seu aplicativo. Os padrões modernos de “guias de navegadores no aplicativo” disponíveis em alguns sistemas operacionais, como o Chrome Custom Tabs no Android e no iOS o SFSafariViewController, oferecem mais melhorias UX para fluxos OAuth baseados em navegador.

Em contraste, o método ultrapassado de usar navegadores incorporados para OAuth significa que um usuário deve fazer o login no Google toda vez, em vez de usar a sessão já existente do dispositivo. O navegador do dispositivo também fornece segurança melhorada com aplicativos sendo capazes de inspecionar e modificar o conteúdo em um web-view, mas não o conteúdo mostrado no navegador.

Para ajudá-lo a migrar, oferecemos bibliotecas e amostras que seguem as melhores práticas modernas que você pode usar:

  • Login do Google para Android e iOS, nossa recomendada SDK para login e OAuth com Google Accounts.
  • AppAuth para Android, iOS e OS X, uma biblioteca cliente OAuth de código aberto que pode ser usada com o Google e outros provedores de OAuth. Nós também oferecemos GTMAppAuth (para iOS e OS X), uma biblioteca que permite o suporte para Google APIs Client Library for Objective-C, e os projetos GTM Session Fetcher.
  • Login do Google e exemplos OAuth para Windows, exemplos que demonstram como usar o browser para autenticar usuários do Google em vários ambientes Windows, como o Universal Windows Plataform (UWP), console e aplicativos desktops.

Você também pode ler a documentação em nível de protocolo do nosso suporte com base em padrões de OAuth para apps nativos, e um melhor projeto de prática atual IETF sobre esse tema.

Versões de login do Google no iOS anteriores à versão 3.0 não suportam as atuais melhores práticas da indústria das abas do navegador no aplicativo e, portanto, também são preteridos. Se você usa o Google Sign-In, atualize para a versão mais recente para obter todas as recentes melhorias de segurança e usabilidade. Por enquanto, essa política não remove o nosso suporte para WebView no iOS 8, no entanto, podemos começar a exibir anúncios que incentivam os usuários a atualizar seus dispositivos para uma melhor segurança.

O cronograma de implementação para a depreciação dos web-views para solicitações OAuth no Google é o seguinte. Começando em 20 de outubro de 2016, vamos evitar que novos clientes OAuth usem web-view em plataformas como uma alternativa viável, e vamos progressivamente exibir anúncios voltados para o usuário de clientes OAuth existentes. Em 20 de abril de 2017, vamos começar a bloquear solicitações OAuth usando web-views para todos os clientes OAuth em plataformas onde existem alternativas viáveis.

Se você tiver alguma dúvida quanto à migração, por favor poste no Stack Overflow com a tag “google-oauth“.

***

Este artigo é do Google Developers. Ele foi escrito por William Denniss, gerente de produtos, identidade e autenticação. Você pode conferir o original em https://developers.googleblog.com/2016/08/modernizing-oauth-interactions-in-native-apps.html

Mensagem do anunciante:

Experimente a Umbler, startup de Cloud Hosting por demanda feita para agências e desenvolvedores e ganhe até R$ 100 em créditos!

Source: IMasters

Categorizados em:

Este artigo foi escrito pormajor

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *