마스터Q&A 안드로이드는 안드로이드 개발자들의 질문과 답변을 위한 지식 커뮤니티 사이트입니다. 안드로이드펍에서 운영하고 있습니다. [사용법, 운영진]

webview로 구글 OAuth를 이용중인데 이런 메일을 받았습니다. [Action Advised]

0 추천

앱은 웹앱이라 모바일웹의 로그인 페이지를 불러 사용중인데요

구글OAuth API를 httprequest 등을 이용해 구현하였고, 모바일 페이지에서 정상 동작하였으나
안드로이드 앱에선 동작을 안하길래 찾아보니 앱에선 구글의 Native SDK를 이용하라 되어 있길래
모바일 웹페이지에서 앱인 경우 구글 OAuth로그인 버튼을 숨겨 현재 모바일 웹에서만 구글 OAuth 로그인 기능이 동작 중 입니다.

그런데 구글에서 그 사이 몇차례 테스트 이력을 감지하였는지 아래와 같은 메일을 보내왔습니다.
번역해보니 구글 OAuth Native SDK로 OAuth를 구현하고 앱을 구글스토어에 업데이트 제출하란 이야기 같은데요

[질문]
만약 구글의 요구대로 이를 수행하지 않을 경우 앱의 webview로 구글 oauth를 서비스하게 될 경우 차단되는건 확실한데
모바일 웹 사이트의 구글 OAuth 까지 차단되는지 궁금합니다.
아닐것 같긴 한데 만에 하나라도 웹 사이트의 OAuth까지 차단 된다면 큰 문제가 되므로 질문드리게 되었습니다.


구글측에 이의를 제기하고 싶은데 마땅한 채널이 없는 상황이라 도움 주시면 정말 감사하겠습니다.

[메일]

Hello Google Developer,

We're writing to let you know that we detected the use of an embedded webview in requests to Google's OAuth 2.0 authorization endpoint in the past 120 days associated with one or more of your OAuth client IDs listed in this email.

Any affected authorization endpoint requests will be blocked with a disallowed_useragent error starting July 24, 2023. Affected requests to our authorization endpoint will display a user-facing warning message starting in May until July 24, 2023.

What do you need to know?

Embedded webview libraries are highly customizable, which can expose Google's login and account authorization pages to potential "man-in-the-middle" attacks. Google's OAuth 2.0 "Use secure browsers" policy helps us protect users from these and other types of attacks.

Examples of affected embedded webview libraries include android.webkit.WebView on Android and WKWebView on iOS or macOS.

What do you need to do?

Note: Suppression of the user-facing warning message is not supported.

Please review the affected client(s) being used by your projects:

  • Project ID: ***********
    OAuth Client *******************************

For additional information regarding these changes, please read thoughtfully through the Google Developers blog post shared above.

Thanks for choosing Google OAuth.

— The Google OAuth Team

롯데월드는여러분모두의것 (120 포인트) 님이 2023년 5월 24일 질문

1개의 답변

0 추천
해당 사항은 WebView에서 요청을 할 경우에 그런 걸로 봐야할 것 같은데요. Oauth 서비스 자체를 중단시킨다는 건 이치에 맞지 않아 보입니다. 100% 정확한 건 구글에게 문의를 해보셔야 겠죠. 안되면 StackOverflow에라도 질문을 올려보세요.

출시버전이 문제라면 앱 강제업데이트 기능을 추가하셔서 패치를 할 수 있도록 하시는 것이 좋을 것 같아 보입니다.
단지 테스트 목적이라면 개발버전과 출시버전을 구분하셔서 앱관리를 하시는 게 필요할 것 같구요.

업데이트 기능이 필요하시면 https://developer.android.com/guide/playcore/in-app-updates 참고하시거나, Firebase RemoteConfig같은 곳에 최선 앱버전을 저장해 두고 앱에서 자기 버전과 비교해서 업데이트 필요시 플레이스토어를 여는 방식으로도 그렇게 어렵지 않게 구현을 하실 수 있을 겁니다.
spark (224,800 포인트) 님이 2023년 5월 25일 답변
...