嵌入了 Google OAuth 刷新令牌

本文面向的是在发布的应用中嵌入了用户采用硬编码形式的 Google OAuth 刷新令牌的开发者。

任何分析您应用的人员都可以从应用中提取硬编码刷新令牌,并将其替换为访问令牌,而这样存在安全风险。此外,如果令牌被撤消,可能会影响您应用的正常运行。

如果您使用帐号存储用户的数据,或者以经过身份验证的方式访问 Google 资源,建议您考虑使用 GoogleApiClientGoogleCredential

解决步骤:

  1. 更新您的应用,使其不在应用内嵌入刷新令牌。
  2. 登录 Developer Console 并提交应用的更新版本。
  3. 过 5 个小时后再回来查看。如果应用未正确更新,系统将会显示警告消息。

如有其他技术问题,您可以在 Stack Overflow 上发帖咨询(使用“android-security”标签)。请注意,请勿在 Stack Overflow 上发布关于 Play 政策的问题。

注意:应用还必须遵循开发者分发协议内容政策。如果您认为自己不应收到这条漏洞警告,请通过 Google Play 开发者帮助中心与我们的政策支持团队联系。

该内容对您有帮助吗?

您有什么改进建议?
false
主菜单
12445335276506503561
true
搜索支持中心
true
true
true
true
true
5016068
false
false