Milhões de desenvolvedores contam com a plataforma de identidade do Google para a autenticação de usuários e a capacidade de autorizar o acesso a centenas de APIs. A plataforma é sustentada por uma das maiores implementações do mundo do protocolo OAuth 2.0 e do padrão OpenID Connect relacionado, que fornecem uma maneira direta, segura e confiável para que os desenvolvedores se integrem ao Google. Temos o prazer de compartilhar algumas atualizações que tornarão a plataforma ainda mais segura e fácil de usar.
Os desenvolvedores que usam o Login com o Google para autenticação ou para obter a autorização dos usuários para chamar as APIs do Google precisam registrar seus apps e sites para criar credenciais de clientes. Para desenvolvedores que usam o Console do Google Cloud, as páginas de configuração do OAuth residiam anteriormente na seção APIs & Services. Agora, essas páginas têm sua própria seção de navegação dedicada, chamada Google Auth Platform. Como parte dessa mudança, facilitamos o registro de novos projetos, reduzimos o tempo necessário para atualizar as configurações de apps e adicionamos orientações mais úteis para os desenvolvedores. Mais melhorias serão introduzidas nos próximos meses, incluindo um assistente de integração melhor, o gerenciamento simplificado do escopo do OAuth e mudanças para tornar a verificação de apps mais rápida e transparente.
Para desenvolvedores que usam os recursos do OAuth por meio de outros consoles, como Firebase ou Apps Script, a experiência nesses produtos permanece inalterada.
Alguns clientes do OAuth são obrigados a usar uma "chave secreta" ao fazerem solicitações de autenticação e autorização. A chave secreta do cliente é como uma senha para um site ou aplicativo, por isso ela é fundamental para proteger essas strings e garantir a segurança e a privacidade das contas e dos dados dos usuários.
Os desenvolvedores sempre puderam visualizar e fazer o download de suas próprias chaves secretas de clientes no Console do Google Cloud, no Console do Firebase e em outros locais nos produtos para desenvolvedores do Google. A partir de junho, começaremos a mascarar as chaves secretas do OAuth nas páginas de gerenciamento de clientes do Console do Google Cloud. Como uma ajuda para ajudar a identificá-las, os consoles dos desenvolvedores mostrarão os últimos caracteres.
Os desenvolvedores precisarão fazer o download de suas chaves secretas de clientes do OAuth quando elas forem criadas e gerenciá-las de maneira segura. A maioria dos desenvolvedores já faz isso usando o Secret Manager do Google Cloud Platform ou ferramentas semelhantes. Quando a tela de criação for fechada, a chave secreta do cliente não será mostrada novamente.
Como lembrete, as chaves secretas de clientes do OAuth que permitem o acesso a dados de usuários ou a outros sistemas de produção nunca devem ser verificadas em sistemas de controle de versões nem compartilhadas na Internet. As chaves secretas devem ser alternadas periodicamente e modificadas imediatamente em caso de vazamento.
A partir de junho, os clientes do OAuth que ficarem inativos por seis meses serão excluídos automaticamente para uma proteção melhor contra roubo e uso indevido de credenciais. O período de seis meses começará depois que não houver mais trocas de tokens. Os desenvolvedores serão notificados sobre a exclusão devido à inatividade e poderão restaurar os clientes até 30 dias após a exclusão.
Para garantir que você receba essas notificações e outras relacionadas a seu app, revise suas configurações de dados de contato.
Com essas melhorias, e outras que virão ainda este ano, estamos tornando sua experiência mais simples e segura, para que você possa passar mais tempo criando apps e sites úteis para os usuários.
