数百万开发者依赖 Google 的身份平台进行用户身份验证,并授权用户访问数百个 API。该平台的底层技术架构依托于全球规模最大的 OAuth 2.0 协议及相关 OpenID Connect 标准实践体系之一,这为开发者提供了一种无缝、安全且可靠的方式与 Google 进行集成。我们很高兴分享一些更新,这些更新将使该平台更加安全易用。
使用“通过 Google 登录”进行身份验证或获取用户授权来调用 Google API 的开发者需要注册其应用和网站来创建客户端凭据。对于使用 Google Cloud Console 的开发者,OAuth 配置页面以前位于 API & 服务 的部分。现在,这些页面拥有专属的导航部分,名为 Google Auth 平台。作为此次改进的一部分,我们简化了新项目的注册流程,缩短了更新应用配置所需的时间,并为开发者提供了更多实用指南。敬请期待未来几个月的更多改进,包括更完善的入门向导、简化的 OAuth 范围管理,以及让应用验证变得更快、更透明的改进。
对于通过其他控制台(如 Firebase 或 Apps Script)使用 OAuth 功能的开发人员,您在这些产品上的体验将保持不变。
某些 OAuth 客户端在发出身份验证和授权请求时需要使用“secret”。客户端密钥就像网站或应用程序的密码一样,因此保护这些字符串对于确保用户帐户和数据的安全和隐私至关重要。
过去,开发者可以在 Google Cloud Console、Firebase Console 以及 Google 开发者产品的其他位置查看和下载自己的客户端密钥。从 6 月开始,我们将开始在 Google Cloud Console 的客户端管理页面中隐藏 OAuth 密钥。为了帮助识别这些密钥,开发者控制台会显示密钥的最后几个字符。
开发者需要在创建 OAuth 客户端密钥时下载它们,并以安全的方式进行管理。大多数开发者已经使用 Google Cloud Platform 的密钥管理器或类似工具完成了此操作。创建屏幕关闭后,客户端密钥将不再显示。
需要提醒的是,那些允许访问用户数据或其他生产系统的 OAuth 客户端密钥绝不应被提交到版本控制系统中,也不应在互联网上广泛共享。。密钥应定期轮换,一旦发生泄露,需立即更换。
从 6 月开始,闲置 6 个月的 OAuth 客户端将被自动删除,以更好地防止安全凭据被盗和滥用。这 6 个月的期限将从不再进行令牌交换后开始计算。开发者将收到因闲置而被删除的通知,并且可以在删除后 30 天内恢复客户端。
为确保您能收到这些通知以及其他与您的应用相关的通知,请检查您的联系信息设置。
通过这些改进以及今年晚些时候推出的更多改进,我们将使您的体验更简单、更安全,这样您就可以把更多时间花在为您的用户构建实用的应用程序和网站上。
