Os esquemas de URI personalizados do OAuth 2.0 são conhecidos por serem vulneráveis a ataques de personificação de apps. Como parte do compromisso contínuo do Google com a segurança do usuário e para encontrar maneiras de tornar mais seguro o uso de aplicativos de terceiros que acessam os dados de usuários do Google, restringiremos o uso de métodos de esquemas de URI personalizados. Eles não serão permitidos para novas extensões do Chrome e, por padrão, não terão mais suporte em apps Android.
Para proteger os usuários contra agentes maliciosos que podem se passar por extensões do Chrome e roubar credenciais, não permitimos mais que novas extensões usem métodos de esquemas de URI personalizados do OAuth. Como alternativa, implemente o OAuth usando a API Chrome Identity, um modo mais seguro de fornecer respostas do OAuth 2.0 aos apps.
As novas extensões do Chrome terão de usar o método da API Chrome Identity para autorização. Embora as configurações existentes do cliente OAuth não sejam afetadas por essa mudança, recomendamos migrá-las para o método da API Chrome Identity. No futuro, poderemos não permitir métodos de esquemas de URI personalizados e exigir que todas as extensões usem o método da API Chrome Identity.
Por padrão, os novos apps Android não poderão mais usar esquemas de URI personalizados para fazer solicitações de autorização. Em vez disso, considere usar o SDK dos Serviços de identidade do Google para Android para fornecer a resposta do OAuth 2.0 diretamente ao app.
É altamente recomendável modificar os apps existentes para que eles usem o SDK dos Serviços de identidade do Google para Android. Se você estiver criando um app e a alternativa recomendada não funcionar para suas necessidades, ative o método de esquema de URI personalizado para o app na seção "Advanced Settings" da página de configuração do cliente no Console de APIs do Google.
Os usuários poderão receber uma mensagem de erro de "solicitação inválida" se tentarem usar um app que esteja fazendo solicitações não autorizadas usando o método de esquema de URI personalizado. Para saber mais sobre esse erro, basta clicar no link "Learn more" da mensagem de erro.
Os desenvolvedores poderão ver informações de erro adicionais ao testar fluxos de usuários para seus aplicativos. Para obter mais informações sobre o erro, basta clicar no link "see error details", incluindo a causa-raiz e os links para instruções sobre como resolver o erro.
