Отключение аккаунтов,Отключение аккаунтов

Отключение связи может быть инициировано с вашей платформы или с Google, а отображение одинакового состояния ссылки на обеих платформах обеспечивает наилучшее взаимодействие с пользователем. Поддержка конечной точки отзыва токена или защиты нескольких учетных записей не является обязательной для связывания учетных записей Google.

Учетные записи могут быть отсоединены любым из следующих способов:

  • Запрос пользователя от
  • Невозможность продлить токен обновления с истекшим сроком действия.
  • Другие события, инициированные вами или Google. Например, блокировка учетной записи службами обнаружения злоупотреблений и угроз.

Пользователь запросил отмену связи с Google

Отмена связи учетной записи, инициированная через учетную запись Google или приложение пользователя, удаляет все ранее выданные токены доступа и обновления, удаляет согласие пользователя и при необходимости вызывает конечную точку отзыва токена, если вы решили ее реализовать.

Пользователь запросил отмену связи с вашей платформой

Вы должны предоставить пользователям механизм отключения связи, например URL-адрес их учетной записи. Если вы не предлагаете пользователям возможность отсоединиться, добавьте ссылку на учетную запись Google , чтобы пользователи могли управлять своей связанной учетной записью.

Вы можете реализовать разделение рисков и инцидентов и сотрудничество (RISC) и уведомлять Google об изменениях в статусе привязки учетных записей пользователей. Это позволяет улучшить взаимодействие с пользователем, поскольку и ваша платформа, и Google отображают текущий и согласованный статус связывания без необходимости полагаться на запрос обновления или токена доступа для обновления состояния связывания.

Срок действия токена

Чтобы обеспечить удобство работы пользователей и избежать сбоев в работе служб, Google пытается обновить токены обновления ближе к концу их срока службы. В некоторых сценариях для повторного связывания учетных записей может потребоваться согласие пользователя, когда действительный токен обновления недоступен.

Разработка вашей платформы для поддержки нескольких токенов доступа и обновления с истекшим сроком действия может минимизировать условия гонки, присутствующие при обмене клиент-сервер между кластерными средами, избежать сбоев в работе пользователей и минимизировать сложные сценарии синхронизации и обработки ошибок. Несмотря на то, что в конечном итоге они являются согласованными, как предыдущие, так и новые выпущенные токены с истекшим сроком действия могут использоваться в течение короткого периода времени во время обновления токена клиент-сервер и до синхронизации кластера. Например, запрос Google к вашей службе, использующий предыдущий токен доступа с истекшим сроком действия, происходит сразу после выдачи нового токена доступа, но до того, как в Google произойдет получение и синхронизация кластера. Рекомендуется использовать альтернативные меры безопасности для обновления ротации токенов .

Другие события

Учетные записи могут быть отключены по различным другим причинам, таким как бездействие, блокировка, злонамеренное поведение и т. д. В таких сценариях ваша платформа и Google могут лучше всего управлять учетными записями пользователей и повторно связывать их, уведомляя друг друга об изменениях состояния учетной записи и связи.

Внедрите конечную точку отзыва токена, чтобы Google мог звонить, и уведомляйте Google о событиях отзыва ваших токенов с помощью RISC, чтобы гарантировать, что ваша платформа и Google поддерживают согласованное состояние связи учетной записи пользователя.

Конечная точка отзыва токена

If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.

The request has the following form:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Your token revocation endpoint must be able to handle the following parameters:

Revocation endpoint parameters
client_id A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier.
client_secret A secret string that you registered with Google for your service.
token The token to be revoked.
token_type_hint (Optional) The type of token being revoked, either an access_token or refresh_token. If unspecified, defaults to access_token.

Return a response when the token is deleted or invalid. See the following for an example:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google retries the request later or as requested by Retry-After.

Межсчетная защита (RISC)

If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.

Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.

A Security Event Token is used to notify Google of token revocation.

When decoded, a token revocation event looks like the following example:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:

Token revocation events
iss Issuer Claim: This is a URL which you host, and it's shared with Google during registration.
aud Audience Claim: This identifies Google as the JWT recipient. It must be set to google_account_linking.
jti JWT ID Claim: This is a unique ID that you generate for every security event token.
iat Issued At Claim: This is a NumericDate value that represents the time when this security event token was created.
toe Time of Event Claim: This is an optional NumericDate value that represents the time at which the token was revoked.
exp Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place.
events
Security Events Claim: This is a JSON object, and must include only a single token revocation event.
subject_type This must be set to oauth_token.
token_type This is the type of token being revoked, either access_token or refresh_token.
token_identifier_alg This is the algorithm used to encode the token, and it must be hash_SHA512_double.
token This is the ID of the revoked token.

For more information on field types and formats, see JSON Web Token (JWT).

,

Отключение связи может быть инициировано с вашей платформы или с Google, а отображение одинакового состояния ссылки на обеих платформах обеспечивает наилучшее взаимодействие с пользователем. Поддержка конечной точки отзыва токена или защиты нескольких учетных записей не является обязательной для связывания учетных записей Google.

Учетные записи могут быть отсоединены любым из следующих способов:

  • Запрос пользователя от
  • Невозможность продлить токен обновления с истекшим сроком действия.
  • Другие события, инициированные вами или Google. Например, блокировка учетной записи службами обнаружения злоупотреблений и угроз.

Пользователь запросил отмену связи с Google

Отмена связи учетной записи, инициированная через учетную запись Google или приложение пользователя, удаляет все ранее выданные токены доступа и обновления, удаляет согласие пользователя и при необходимости вызывает конечную точку отзыва токена, если вы решили ее реализовать.

Пользователь запросил отмену связи с вашей платформой

Вы должны предоставить пользователям механизм отключения связи, например URL-адрес их учетной записи. Если вы не предлагаете пользователям возможность отсоединиться, добавьте ссылку на учетную запись Google , чтобы пользователи могли управлять своей связанной учетной записью.

Вы можете реализовать разделение рисков и инцидентов и сотрудничество (RISC) и уведомлять Google об изменениях в статусе привязки учетных записей пользователей. Это позволяет улучшить взаимодействие с пользователем, поскольку и ваша платформа, и Google отображают текущий и согласованный статус связывания без необходимости полагаться на запрос обновления или токена доступа для обновления состояния связывания.

Срок действия токена

Чтобы обеспечить удобство работы пользователей и избежать сбоев в работе служб, Google пытается обновить токены обновления ближе к концу их срока службы. В некоторых сценариях для повторного связывания учетных записей может потребоваться согласие пользователя, когда действительный токен обновления недоступен.

Разработка вашей платформы для поддержки нескольких токенов доступа и обновления с истекшим сроком действия может минимизировать условия гонки, присутствующие при обмене клиент-сервер между кластерными средами, избежать сбоев в работе пользователей и минимизировать сложные сценарии синхронизации и обработки ошибок. Хотя в конечном итоге они являются согласованными, как предыдущие, так и новые выпущенные токены с истекшим сроком действия могут использоваться в течение короткого периода времени во время обновления токена клиент-сервер и до синхронизации кластера. Например, запрос Google к вашей службе, использующий предыдущий токен доступа с истекшим сроком действия, происходит сразу после выдачи нового токена доступа, но до того, как в Google произойдет получение и синхронизация кластера. Рекомендуется использовать альтернативные меры безопасности для обновления ротации токенов .

Другие события

Учетные записи могут быть отключены по ряду других причин, таких как бездействие, блокировка, злонамеренное поведение и т. д. В таких сценариях ваша платформа и Google могут лучше всего управлять учетными записями пользователей и повторно связывать их, уведомляя друг друга об изменениях состояния учетной записи и связи.

Внедрите конечную точку отзыва токена, чтобы Google мог звонить, и уведомляйте Google о событиях отзыва ваших токенов с помощью RISC, чтобы гарантировать, что ваша платформа и Google поддерживают согласованное состояние связи учетной записи пользователя.

Конечная точка отзыва токена

If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.

The request has the following form:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Your token revocation endpoint must be able to handle the following parameters:

Revocation endpoint parameters
client_id A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier.
client_secret A secret string that you registered with Google for your service.
token The token to be revoked.
token_type_hint (Optional) The type of token being revoked, either an access_token or refresh_token. If unspecified, defaults to access_token.

Return a response when the token is deleted or invalid. See the following for an example:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google retries the request later or as requested by Retry-After.

Межсчетная защита (RISC)

If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.

Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.

A Security Event Token is used to notify Google of token revocation.

When decoded, a token revocation event looks like the following example:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:

Token revocation events
iss Issuer Claim: This is a URL which you host, and it's shared with Google during registration.
aud Audience Claim: This identifies Google as the JWT recipient. It must be set to google_account_linking.
jti JWT ID Claim: This is a unique ID that you generate for every security event token.
iat Issued At Claim: This is a NumericDate value that represents the time when this security event token was created.
toe Time of Event Claim: This is an optional NumericDate value that represents the time at which the token was revoked.
exp Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place.
events
Security Events Claim: This is a JSON object, and must include only a single token revocation event.
subject_type This must be set to oauth_token.
token_type This is the type of token being revoked, either access_token or refresh_token.
token_identifier_alg This is the algorithm used to encode the token, and it must be hash_SHA512_double.
token This is the ID of the revoked token.

For more information on field types and formats, see JSON Web Token (JWT).