Google でフィッシングやアプリのなりすまし攻撃から保護するために、OAuth 帯域外 (OOB) フローが 2022 年 10 月 3 日に廃止されます。
今回この件に対応が必要で調査を行なったので、ここにメモしておきます。
帯域外(OOB)フローの移行について
OOB とは
手動コピー / 貼り付けオプションとも呼ばれるレガシー フローで、ユーザーが OAuth 同意リクエストを承認した後に認証情報を受け取るリダイレクト URI を持たないネイティブ クライアントをサポートするための仕組みとのことです。
主要な日程について
- 2022 年 2 月 28 日 - OOB フローにおける新しい OAuth の使用のブロック
- 2022 年 9 月 5 日 - 遵守していない OAuth リクエストに対して、ユーザー向けの警告メッセージが表示されることがあります。
- 2022 年 10 月 3 日 - 2022 年 2 月 28 日より前に作成された OAuth クライアントの OOB フローは非推奨になるとのことです。
移行ガイド
実装方法
実際の修正箇所
"urn:ietf:wg:oauth:2.0:oob" を指定すれば、ブラウザにアクセストークンが表示されて、その認可コードをコピペで保存することができましたが、この機能がそろそろ非推奨になってしまうため、他の方法に置き換えます。("oauth2callback" のパスを追加)