Melhoria da segurança do usuário em fluxos do OAuth por meio de novas restrições de esquemas de URI personalizados do OAuth

OUT 02, 2023
Vikrant Rana Product Manager

Os esquemas de URI personalizados do OAuth 2.0 são conhecidos por serem vulneráveis a ataques de personificação de apps. Como parte do compromisso contínuo do Google com a segurança do usuário e para encontrar maneiras de tornar mais seguro o uso de aplicativos de terceiros que acessam os dados de usuários do Google, restringiremos o uso de métodos de esquemas de URI personalizados. Eles não serão permitidos para novas extensões do Chrome e, por padrão, não terão mais suporte em apps Android.

Cancelamento da permissão do método de redirecionamento de esquemas de URI personalizados para novas extensões do Chrome

Para proteger os usuários contra agentes maliciosos que podem se passar por extensões do Chrome e roubar credenciais, não permitimos mais que novas extensões usem métodos de esquemas de URI personalizados do OAuth. Como alternativa, implemente o OAuth usando a API Chrome Identity, um modo mais seguro de fornecer respostas do OAuth 2.0 aos apps.

O que os desenvolvedores precisam fazer?

As novas extensões do Chrome terão de usar o método da API Chrome Identity para autorização. Embora as configurações existentes do cliente OAuth não sejam afetadas por essa mudança, recomendamos migrá-las para o método da API Chrome Identity. No futuro, poderemos não permitir métodos de esquemas de URI personalizados e exigir que todas as extensões usem o método da API Chrome Identity.

Desativação do método de redirecionamento de esquemas de URI personalizados para clientes Android por padrão

Por padrão, os novos apps Android não poderão mais usar esquemas de URI personalizados para fazer solicitações de autorização. Em vez disso, considere usar o SDK dos Serviços de identidade do Google para Android para fornecer a resposta do OAuth 2.0 diretamente ao app.

O que os desenvolvedores precisam fazer?

É altamente recomendável modificar os apps existentes para que eles usem o SDK dos Serviços de identidade do Google para Android. Se você estiver criando um app e a alternativa recomendada não funcionar para suas necessidades, ative o método de esquema de URI personalizado para o app na seção "Advanced Settings" da página de configuração do cliente no Console de APIs do Google.

Mensagem de erro voltada ao usuário

Os usuários poderão receber uma mensagem de erro de "solicitação inválida" se tentarem usar um app que esteja fazendo solicitações não autorizadas usando o método de esquema de URI personalizado. Para saber mais sobre esse erro, basta clicar no link "Learn more" da mensagem de erro.

Chrome-Identity-API-release-2
Exemplo de erro voltado ao usuário

Mensagem de erro voltada ao desenvolvedor

Os desenvolvedores poderão ver informações de erro adicionais ao testar fluxos de usuários para seus aplicativos. Para obter mais informações sobre o erro, basta clicar no link "see error details", incluindo a causa-raiz e os links para instruções sobre como resolver o erro.

2
Exemplo de erro voltado ao desenvolvedor