Google brengt One Tap-api uit voor mobiel inloggen met enkele klik

Google heeft een nieuwe reeks aan api's uitgebracht voor het inloggen via Google-diensten. Ontwikkelaars kunnen gebruikers laten inloggen via One Tap, een versimpelde versie van Sign in with Google.

De nieuwe sdk heet Identity Services, en bestaat uit verschillende api's voor inloggen op externe websites. Identity Services bevat onder andere Sign in with Google, de inlogknop waarmee gebruikers op externe sites zoals Reddit kunnen inloggen met hun Google-account. Aan die knop verandert qua functionaliteit verder niks, maar het uiterlijk verandert wel. In de knop staat de naam, het e-mailadres en de profielfoto van de gebruiker.

Nieuw in de sdk is One Tap. Het bedrijf kondigde dat vorig jaar aan als bèta, maar de feature wordt nu breed beschikbaar. One Tap lijkt op Sign in with Google, maar is vooral bedoeld voor mobiele sites en apps. Het gaat om een prompt die over het scherm heen komt zodat gebruikers niet worden omgeleid naar een externe pagina. Zowel Sign in with Google als One Tap maken gebruik van tokens zodat gebruikers kunnen inloggen zonder eerst hun wachtwoord nog op te hoeven geven.

One Tap

Volgens Google werkt One Tap nu al met websites zoals Pinterest en Reddit. De feature is beschikbaar op Chrome voor Android, Windows, Linux en macOS. Op Safari in iOS werkt het niet. Google zegt dat dat is vanwege de Intelligent Tracking Prevention van Apple in de nieuwe versies van Apples besturingssysteem.

Google Reddit One Tap

Reacties (28)

OhMyGod 5 augustus 2021 08:05

Dus dankzij het voorkomen van tracking werkt dit niet bij ‘n Apple.

Ben ik blij om.

David Mulder @OhMyGod • 5 augustus 2021 08:25

Let wel, dat betekent niet dat dit een vorm van tracking is. Zonder in een technische uitleg te gaan: Wat Apple (in mijn ogen grotendeels correct[1]) heeft gedaan is een heel laag snelheidslimiet in te stellen - laten we voor de grap zeggen 80 km/u op de snelweg - wat extreem veilig is, maar ook veel zaken onmogelijk maakt die wel compleet positief en prima zijn (laten we zeggen dat de ambulance ook max 80 km/u mag). Praktisch gezien zijn web apps gewoon extreem gesandboxed tot het punt dat ze niet eens met elkaar (normaal) kunnen communiceren. En trouwens, denk niet dat dat een geval is 'for your safety', want apps die je wel kunt installeren kunnen wel tussen elkaar communiceren, dus denk dat Apple's motivatie meer is 'handicap the web so we can earn more on the store'. Maar goed, uiteindelijk is dit soort sandboxing wel gewoon positief, alhoewel Apple wel wat meer had moeten kijken naar 'welke APIs moeten we designen om het hele web niet een handicap te geven'.

[1] Alhoewel zoals altijd: Absoluut bizar dat ze andere browsers niet toestaan.

xFeverr @David Mulder • 5 augustus 2021 09:39

En trouwens, denk niet dat dat een geval is 'for your safety', want apps die je wel kunt installeren kunnen wel tussen elkaar communiceren, dus denk dat Apple's motivatie meer is 'handicap the web so we can earn more on the store'.

Nou nee hoor, apps kunnen niet zomaar met elkaar communiceren. Dat kan alleen als ze onderdeel zijn van een app group. Dan heb je ook een gedeelde opslagruimte etc. Maar dit kan alleen voor apps van één ontwikkelaar. Je ziet bijvoorbeeld dat je in alle Microsoft- en Google-apps bent ingelogd zodra je er in één inlogt.

Wat niet kan is communiceren met een andere app op deze manier. Een one-tap sign-in gaat dus niet werken via Google. Wat wel zou kunnen is een 2-tap signin: Je drukt op de knop dat je wilt inloggen met Google, die springt naar een Google pagina om het te bevestigen en daarna spring je terug naar de oorspronkelijke pagina. Ditzelfde zou ook met apps moeten gebeuren dan: je springt naar de Google app, bevestigd daar en komt weer terug. (Of je doet het via een webpagina of whatever).

Dus op app-niveau op iOS is het beter noch slechter dan het web wat dit betreft.

[Reactie gewijzigd door xFeverr op 23 juli 2024 09:33]

Meiklokje @OhMyGod • 5 augustus 2021 08:12

Zo zal Facebook en co ook zo worden. Maakt alles een stuk veiliger op Apple devices.

d3x @OhMyGod • 5 augustus 2021 08:27

klopt, je hebt tracking van Apple zelf

OhMyGod @d3x • 5 augustus 2021 15:38

Dat is niet erg. Daar verdienen ze geen geld mee door t te verkopen aan derden.

jcbvm

5 augustus 2021 08:52

Eerlijk gezegd gebruik ik eigenlijk nooit de opties om in te loggen met een account van Google/Apple of wie dan ook bij een externe partij. Ik vertrouw een externe partij gewoon nooit, je weet dan ook niet exact wat zij van je account kunnen zien.

kr4t0s @jcbvm • 5 augustus 2021 09:24

Meestal wordt daar OAuth 2.0 voor gebruikt daar zit altijd een Scope in gedefinieerd. Die Scope krijg je altijd te zien tijdens de login procedure. De externe partij krijgt niet meer rechten of kan niet meer zien dan wat in de scope staat.

Sign in with Google gebruikt ook OAuth.
De Google OAuth Scopes: (elke grotere partij heeft zo een lijst) zo kun je granulair regelen welke rechten een externe website krijgt.
https://developers.google...y/protocols/oauth2/scopes

[Reactie gewijzigd door kr4t0s op 23 juli 2024 09:33]

PV85 @kr4t0s • 5 augustus 2021 11:44

Dat ze alleen al zien welke apps je gebruikt en wanneer is een goudmijn voor profiling.

kr4t0s @PV85 • 5 augustus 2021 12:21

Als in? Google weet toch welke apps op je telefoon staan en wanneer je wat doet. Maar je logt bijvoorbeeld in bij booking.com met je Google gegevens. De Identity Provider(in dit geval Google) kan verder verder niet zien wat jij op booking.com doet of boekt. (ja wel als je gmail gebruikt en Google daar de info uit scrapt, maar staat los van de Oauth)

Google is maar voorbeeld er zijn vele andere Identity Providers. Je kunt ook zelf een OAuth2 server opzetten alleen is het nut redelijk beperkt. Zakelijk is Okta een bekende IdP, wat heel fijn werkt, snel en vooral veilig.

JoostTheHost @kr4t0s • 5 augustus 2021 14:11

Alleen de meta informatie is al meer dan genoeg geld waard voor profiling: denk aan het tijdstip van inloggen, je IP adres, referrer, gebruikte browser, etc. etc..

Je kunt er vrij zeker van zijn dat Google als 'identity provider' tijdens het inloggen deze gegevens wel even registreert...

McBacon @kr4t0s • 6 augustus 2021 14:31

Denk dat PV85 de term "apps" bedoelde in de zin van programma's/toepassingen i.p.v. specifiek voor d'n smartphone. Dus ook webapps.

Anyways, er is meer dan alleen je telefoon hè. Als ik in Firefox op mijn Mac op Reddit zit en ik log in met Google, dan is dat de enige plek waar ze data kunnen bietsen. Weten ze toch weer dat ik op Reddit zat, terwijl ik dan verder geen enkel """product""" van Google heb gebruikt (ads etc blokkeer ik allemaal). En dat willen ze nou juist, ze maken het inloggen via Google zo makkelijk dat de normale methodes zoals gewoon username/password teveel moeite worden voor gebruikers. Hoe achterlijk wil je het hebben.

[Reactie gewijzigd door McBacon op 23 juli 2024 09:33]

kr4t0s @McBacon • 6 augustus 2021 16:32

Dat is wat ik eerder zei, je ben natuurlijk vrij een andere IdP te gebruiken. Nam Google maar als voorbeeld OAuth is een open standaard, er zijn vele alternatieve IdP's. Het is net veel beter voor je privacy en beveiliging, al je gegevens staan alleen bij de IdP. Je kunt ook zien welke partij wat over jou kan zien en je kunt die rechten ook weer intrekken.

Google weet natuurlijk het moment van inloggen. Maar je login token met Reddit is vele maanden geldig dus al die keren erna dat je naar Reddit gaat weet Google niet. Volgens mij kan Google op vele andere manieren veel gemakkelijker en meer info krijgen dan via OAuth.

[Reactie gewijzigd door kr4t0s op 23 juli 2024 09:33]

McBacon @kr4t0s • 6 augustus 2021 17:34

Volgens mij kan Google op vele andere manieren veel gemakkelijker en meer info krijgen dan via OAuth

Ja dat sowieso.

Maar het ging hier specifiek om de functie van inloggen via Google. Zelfs als je op een site zit onder Google Analytics of andere troep dan kunnen ze alsnog deels tracken wat je doet, en dat in ruil voor een klein beetje gemak. Ze kunnen vervolgens je IP + browser fingerprint weer aan data koppelen van een site die wél Analytics gebruikt, dan hebben ze toch weer meer informatie voor je profiel. Als er een site is die alleen logins via Facebook/Google toestaat dan ben ik heel snel weg. ;]

P_Tingen @jcbvm • 6 augustus 2021 09:40

Ik ook niet. Ik gebruik Google services voor zover nodig/handig maar meer ook niet. Mijn wachtwoorden en logins aan Google geven gaat me wat te ver, ik heb overal aparte logins voor, mooi opgeslagen in BitWarden. Werkt prima voor mij.

Avenger84 5 augustus 2021 07:50

Cool, als we dit zouden hebben op basis van web3 dan zou het wel een mooie oplossing zijn

elmuerte @Avenger84 • 5 augustus 2021 08:03

Een basis die nog meer afhankelijkheid van Google, en daardoor nog meer macht voor ze.

Jboy1991 @elmuerte • 5 augustus 2021 08:11

En daarnaast, we kennen allemaal Google. Hoelang blijven zij dit ondersteunen? Het valt mij te vaak op bij hen dat ze na verloop van tijd de stekker eruit trekken.

Foxl @Jboy1991 • 5 augustus 2021 08:32

Google krijgt hierdoor gratis statistieken mbt bezoekers en geregistreerde gebruikers, zoiets blijven ze heus wel ondersteunen.

Verwijderd @Foxl • 5 augustus 2021 08:53

Tenzij niet genoeg mensen en of website het gebruiken wat hun betreft. Van Google+ en andere gecancellde projecten kregen ze vast ook wat statistieken binnen, maar toch zijn die projecten gestopt.

prolitehds @Verwijderd • 5 augustus 2021 14:06

En producten als panoramio die massaal werden gebruikt moest de stekker eruit. Geen verdienmodel. Eeuwig zonde die verloren data. Wat was t fijn on een plek te verkennen met een kaart met alle fotos eroo. Heel makkelijk om op je route tijdens vakantie leuke plekken te ontdekken

d3x @elmuerte • 5 augustus 2021 08:26

dat is eigen keuze

Styreta @d3x • 5 augustus 2021 09:38

van wie, de gebruiker of website beheerder? Je kan als rotsje in de branding niet veel doen tegen de zee (Google).

Zed_no1 5 augustus 2021 08:25

Hopelijk voldoet het ook aan de AVG

Verwijderd @Zed_no1 • 5 augustus 2021 08:55

Is dat eigelijk wel echt te achterhalen? Ik kan me voorstellen dat Google veel van de achterliggende techniek en methodiek niet vrijgeeft of wat hun precies met de data doen. Of er moet een audit ofzo komen.

Styreta @Verwijderd • 5 augustus 2021 09:40

Dan mag het niet in EU, of ze riskeren weer een miljoenen / miljarden boete. Lijkt me dat de advocaten van Google dit wel goed zullen documenteren.

Zed_no1 @Styreta • 5 augustus 2021 11:47

Yep ze moeten precies specificeren waar welke persoonlijke herleidbare informatie opgeslagen wordt.

beerse 5 augustus 2021 13:32

Zowel microsoft, facebook en google bieden dit soort services. En ze zijn er nogal genegen aan om het 'zo makkelijk mogelijk' te maken. Daarmee heeft dit voor mij een beetje een slechte smaak, zeker van deze leveranciers.

Nu zijn er al langer vergelijkbare initiatieven, van verschillende leveranciers en met verschillende gradaties van 'free'. Ook daar heb ik uiteindelijk het liefst mijn eigen login voor iedere dienst. En mijn eigen wachtwoord-kluis met al-dan-niet opslaan van wachtwoorden en automatisch invullen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: