ものづくりのブログ

うちのネコを題材にしたものづくりができたらいいなと思っていろいろ奮闘してます。

【Google】Oahth oob の非推奨対応

Google でフィッシングやアプリのなりすまし攻撃から保護するために、OAuth 帯域外 (OOB) フローが 2022 年 10 月 3 日に廃止されます。
今回この件に対応が必要で調査を行なったので、ここにメモしておきます。

帯域外(OOB)フローの移行について

OOB とは

手動コピー / 貼り付けオプションとも呼ばれるレガシー フローで、ユーザーが OAuth 同意リクエストを承認した後に認証情報を受け取るリダイレクト URI を持たないネイティブ クライアントをサポートするための仕組みとのことです。

主要な日程について

  • 2022 年 2 月 28 日 - OOB フローにおける新しい OAuth の使用のブロック
  • 2022 年 9 月 5 日 - 遵守していない OAuth リクエストに対して、ユーザー向けの警告メッセージが表示されることがあります。
  • 2022 年 10 月 3 日 - 2022 年 2 月 28 日より前に作成された OAuth クライアントの OOB フローは非推奨になるとのことです。

移行ガイド

developers.google.com

実装方法

実際の修正箇所

"urn:ietf:wg:oauth:2.0:oob" を指定すれば、ブラウザにアクセストークンが表示されて、その認可コードをコピペで保存することができましたが、この機能がそろそろ非推奨になってしまうため、他の方法に置き換えます。("oauth2callback" のパスを追加)

client-secrets の取り扱いについて

googleapis.github.io

ruby

github.com