google-final

Google migliora l’autenticazione nelle app di terze parti

Giuseppe Tripodi

La maggior parte delle applicazioni che richiedono una registrazione permettono anche di eseguire l’autenticazione tramite account di altri servizi: tra i più comuni, abbiamo i login via Facebook, Twitter o Google. Quest’ultimo, come ben sapranno gli sviluppatori in ascolto, utilizza una cosiddetta richiesta OAuth, al fine di riconoscere l’utente e consentire all’app di terze parti di utilizzare le informazioni correlate.

Ma Google sta portando qualche novità a questo tipo di autenticazione e, se siete developer che utilizzano questo tipo di login nella propria app, dovreste prepararvi al cambiamento.

Le app attualmente sul mercato, infatti, spesso richiedono di eseguire il login con il proprio account Google all’interno di una web-view, ossia un browser interno all’applicazione che richiede i vostri dati d’accesso.

Per ragioni di sicurezza (e anche per comodità!) questa pratica viene sconsigliata già da tempo e Google la bloccherà definitivamente a breve: a partire dal 20 ottobre 2016 BigG non accetterà nuovi client OAuth che richiedono l’autorizzazione via web-view e dal 20 aprile 2017 bloccherà qualsiasi richiesta proveniente da web-view (per tutte le piattaforme in cui è disponibile un’alternativa)

Come riportato da Google, l’opzione migliore è utilizzare l’autenticazione tramite il browser nativo del dispositivo: in questo modo non sarà necessario per l’utente inserire ogni volta i propri dati e non ci saranno minacce per la sicurezza. Inoltre, i Chrome Custom Tabs su Android e il SFSafariViewController su iOS permettono le autenticazioni per app di terze parti basate sul protocollo OAuth.

Per maggiori informazioni vi consigliamo di leggere il post sul blog di Google, dove vengono suggerite anche alcune librerie per facilitare il passaggio. E, in caso abbiate bisogno di assistenza, non dimenticate di taggare “google-oauth” su Stack Overflow!