Googleは8月22日(現地時間)、「Modernizing OAuth interactions in Native Apps for Better Usability and Security」と題したブログ記事を公開し、Googleアカウント認証を利用しているサードパーティアプリのweb-viewからのOAuthアクセスを、来年から廃止する計画を明らかにしました(9to5Google)。
In the coming months, we will no longer allow OAuth requests to Google in embedded browsers known as “web-views”, such as the WebView UI element on Android and UIWebView/WKWebView on iOS, and equivalents on Windows and OS X.
ここで「web-view」とは、AndroidのWebViewやiOSのUIWebView/WKWebViewのようなアプリケーションに組み込めるWebブラウザ部品を指しています。
Googleはアプリに埋め込まれたweb-viewではなく、デバイスのブラウザを利用したOAuthリクエストを送信することで、ユーザビリティおよびセキュリティが著しく改善されると指摘し、AndroidではChrome Custom Tab、iOSではSFSafariViewControllerといったコンポーネントを使用することを推奨しています。
また移行を助けるためのライブラリとして、Android、iOSのためのGoogle Sign-Inや、Android, iOS、OS XのためのAppAuth 、さらにWindowsプログラムのためのサンプルプログラムなどへのリンクを紹介しています。
今後は、2016年10月20日からweb-viewを利用した新規OAuthクライアントの拒否および既存のOAuthクライアントのユーザーへの通知が始まり、2017年4月20日からweb-viewからのOAuthリクエストのブロックが開始する計画となっています(ただし実現可能な代替案が準備されているプラットフォームのみ)。
