Millones de desarrolladores confían en la plataforma de identidad de Google para la autenticación de usuarios y la capacidad de autorizar el acceso a cientos de APIs. La plataforma se basa en una de las implementaciones más grandes del mundo del protocolo OAuth 2.0 y el estándar OpenID Connect relacionado, que proporcionan a los desarrolladores una forma perfecta, segura y confiable de integración con Google. Nos complace compartir algunas actualizaciones que harán que la plataforma sea aun más segura y fácil de usar.
Los desarrolladores que utilizan el inicio de sesión con Google para la autenticación o a fin de obtener la autorización del usuario para llamar a las APIs de Google deben registrar sus apps y sitios web para crear credenciales de clientes. Para los desarrolladores que usan Google Cloud Console, las páginas de configuración de OAuth estaban antes en la sección APIs y servicios. Ahora, estas páginas tienen su propia sección de navegación dedicada llamada Google Auth Platform. Como parte de este cambio, facilitamos el registro de nuevos proyectos, redujimos el tiempo que lleva actualizar las configuraciones de las apps y agregamos una guía más útil para los desarrolladores. Presta atención porque habrá más mejoras en los próximos meses, incluido un mejor asistente de incorporación, administración simplificada del alcance de OAuth y cambios para que la verificación de apps sea más rápida y transparente.
Para los desarrolladores que utilizan las capacidades de OAuth a través de otras consolas, como Firebase o Apps Script, no habrá cambios en la experiencia de esos productos.
Algunos clientes de OAuth deben usar un “secreto” al realizar solicitudes de autenticación y autorización. El secreto de cliente es como una contraseña para un sitio web o una aplicación, por lo que es fundamental proteger estas strings para garantizar la seguridad y la privacidad de las cuentas y los datos de los usuarios.
Históricamente, los desarrolladores pudieron ver y descargar los secretos de sus propios clientes en Google Cloud Console, Firebase Console y otros productos para desarrolladores de Google. A partir de junio, comenzaremos a enmascarar los secretos de OAuth en las páginas de administración de clientes de Google Cloud Console. Para ayudar a identificarlos, las consolas de desarrolladores mostrarán los últimos caracteres.
Los desarrolladores deberán descargar los secretos de sus clientes de OAuth cuando se creen y administrarlos de forma segura. La mayoría de los desarrolladores ya lo hacen utilizando el Secret Manager de Google Cloud Platform o herramientas similares. Una vez que se cierre la pantalla de creación, no se volverá a mostrar el secreto del cliente.
Como recordatorio, los secretos de los clientes de OAuth que permiten el acceso a los datos del usuario u otros sistemas de producción nunca deben registrarse en los sistemas de control de versión ni compartirse ampliamente en Internet. Los secretos deben rotarse periódicamente y se deben cambiar de inmediato en caso de fuga de datos.
A partir de junio, los clientes de OAuth inactivos durante 6 meses se eliminarán automáticamente para brindarles una mejor protección contra el robo y el uso indebido de credenciales. El período de 6 meses comenzará después de que no haya más intercambios de tokens. Los desarrolladores recibirán una notificación sobre la eliminación debido a la inactividad y podrán restaurar los clientes hasta 30 días después de que se los eliminó.
Para asegurarte de recibir estas y otras notificaciones relacionadas con tu app, revisa la configuración de tu información de contacto.
Con estas mejoras y otras que se implementarán a finales de este año, hacemos que tu experiencia sea más simple y segura, de modo que puedas dedicar más tiempo a crear apps y sitios útiles para tus usuarios.
Gemma 3 en dispositivos móviles y en la Web con Google AI Edge
Más segura y multimodal: IA responsable con Gemma
Prepárate para Google I/O: presentamos a los invitados del programa
La API de Gemini y la Internet de las cosas