Jutaan developer mengandalkan platform identitas Google untuk autentikasi pengguna dan kemampuan untuk mengizinkan akses ke ratusan API. Platform ini merupakan landasan salah satu implementasi protokol OAuth 2.0 terbesar di dunia dan standar OpenID Connect terkait, yang menyediakan cara yang mulus, aman, dan andal bagi developer untuk terintegrasi dengan Google. Kami sangat senang dapat membagikan beberapa update yang akan membuat platform ini semakin aman dan mudah digunakan.
Developer yang menggunakan Login dengan Google untuk melakukan autentikasi atau mendapatkan otorisasi pengguna untuk memanggil Google API harus mendaftarkan aplikasi dan situs mereka untuk membuat kredensial klien. Untuk developer yang menggunakan Google Cloud Console, halaman konfigurasi OAuth sebelumnya berada di bagian APIs & Services. Sekarang, halaman ini memiliki bagian navigasi khusus yang disebut Google Auth Platform. Sebagai bagian dari perubahan ini, kami mempermudah pendaftaran project baru, mengurangi waktu yang diperlukan untuk mengupdate konfigurasi aplikasi, dan menambahkan panduan yang lebih bermanfaat bagi developer. Nantikan lebih banyak peningkatan lainnya dalam beberapa bulan mendatang, termasuk wizard orientasi yang lebih baik, manajemen cakupan OAuth yang disederhanakan, dan perubahan untuk membuat verifikasi aplikasi semakin cepat dan transparan.
Untuk developer yang menggunakan kemampuan OAuth melalui konsol lain, seperti Firebase atau Apps Script, pengalaman Anda pada produk tersebut tetap tidak berubah.
Beberapa klien OAuth diharuskan menggunakan “rahasia” ketika membuat permintaan autentikasi dan otorisasi. Rahasia klien berfungsi seperti kata sandi untuk situs atau aplikasi, jadi sangatlah penting melindungi string ini untuk memastikan keamanan dan privasi data serta akun pengguna.
Selama ini, developer dapat melihat dan mendownload rahasia klien mereka sendiri di Google Cloud Console, Firebase Console, dan tempat lainnya di produk developer Google. Mulai bulan Juni, kami akan mulai menyamarkan rahasia OAuth dalam halaman manajemen klien di Google Cloud Console. Sebagai bantuan untuk membantu mengidentifikasinya, konsol developer akan menampilkan beberapa karakter terakhir.
Developer perlu mendownload rahasia klien OAuth mereka saat dibuat dan mengelolanya dengan cara yang aman. Sebagian besar developer sudah melakukan hal ini dengan menggunakan Secret Manager di Google Cloud Platform atau alat serupa. Setelah layar pembuatan ditutup, rahasia klien tidak akan ditampilkan lagi.
Sebagai pengingat, rahasia klien OAuth yang mengizinkan akses ke data pengguna atau sistem produksi lainnya tidak boleh diperiksa ke dalam sistem kontrol versi atau dibagikan secara luas di internet. Rahasia harus dirotasi secara berkala dan segera diubah jika terjadi kebocoran.
Mulai bulan Juni, klien OAuth yang tidak aktif selama 6 bulan akan secara otomatis dihapus agar lebih terlindungi dari pencurian dan penyalahgunaan kredensial. Periode 6 bulan akan dimulai setelah tidak ada lagi pertukaran token. Developer akan diberi tahu tentang penghapusan karena tidak aktif, dan bisa memulihkan klien hingga 30 hari setelah penghapusan.
Untuk memastikan bahwa Anda menerima notifikasi ini dan notifikasi lain yang terkait dengan aplikasi Anda, tinjau setelan informasi kontak Anda.
Dengan peningkatan ini, dan penyempurnaan lain yang akan hadir pada akhir tahun ini, kami membuat pengalaman Anda semakin simpel dan aman, sehingga Anda bisa meluangkan lebih banyak waktu untuk membangun aplikasi dan situs yang bermanfaat bagi pengguna.
