Diese Seite wurde von der Cloud Translation API übersetzt.

Verknüpfung von Konten aufheben

Die Aufhebung der Verknüpfung kann über Ihre Plattform oder Google erfolgen. Wenn auf beiden Seiten derselbe Verknüpfungsstatus angezeigt wird, ist die Nutzerfreundlichkeit am höchsten. Die Unterstützung eines Endpunkts für den Widerruf von Tokens oder des produktübergreifenden Kontoschutzes ist für die Google-Kontoverknüpfung optional.

Die Verknüpfung von Konten kann aus folgenden Gründen aufgehoben werden:

Nutzeranfrage von
- Einstellungen einer Google-Anwendung oder des Google-Kontos
- Ihre Plattform
Abgelaufenes Aktualisierungstoken kann nicht verlängert werden
Andere Ereignisse, die von Ihnen oder Google initiiert werden. Beispiel: Kontosperrung durch Dienste zur Erkennung von Missbrauch und Bedrohungen.

Nutzer hat die Aufhebung der Verknüpfung mit Google beantragt

Wenn die Aufhebung der Kontoverknüpfung über das Google-Konto oder die App eines Nutzers initiiert wird, werden alle zuvor ausgestellten Zugriffs- und Aktualisierungstokens gelöscht, die Nutzereinwilligung entfernt und optional Ihr Tokenwiderrufsendepunkt aufgerufen, sofern Sie einen solchen implementiert haben.

Ein Nutzer hat das Aufheben der Verknüpfung mit Ihrer Plattform angefordert

Sie sollten Nutzern die Möglichkeit geben, die Verknüpfung aufzuheben, z. B. über eine URL zu ihrem Konto. Wenn Sie Nutzern keine Möglichkeit bieten, die Verknüpfung aufzuheben, fügen Sie einen Link zum Google-Konto hinzu, damit Nutzer ihr verknüpftes Konto verwalten können.

Sie können die Funktion „Risiko- und Vorfallfreigabe und -zusammenarbeit“ (Risk & Incident Sharing and Collaboration, RISC) implementieren und Google über Änderungen am Kontoverknüpfungsstatus des Nutzers benachrichtigen. So wird die Nutzerfreundlichkeit verbessert, da sowohl auf Ihrer Plattform als auch bei Google ein aktueller und konsistenter Verknüpfungsstatus angezeigt wird, ohne dass eine Aktualisierung oder Zugriffstokenanfrage erforderlich ist.

Ablauf des Tokens

Um eine reibungslose Nutzererfahrung zu ermöglichen und Dienstunterbrechungen zu vermeiden, versucht Google, Aktualisierungstokens gegen Ende ihrer Lebensdauer zu erneuern. In einigen Szenarien ist möglicherweise die Einwilligung des Nutzers erforderlich, um Konten wieder zu verknüpfen, wenn kein gültiges Aktualisierungstoken verfügbar ist.

Wenn Sie Ihre Plattform so konzipieren, dass sie mehrere nicht abgelaufene Zugriffs- und Aktualisierungstokens unterstützt, können Sie Race-Bedingungen bei Client-Server-Austauschen zwischen geclusterten Umgebungen minimieren, Unterbrechungen für Nutzer vermeiden und komplexe Zeit- und Fehlerbehandlungsszenarien minimieren. Zwar können sowohl frühere als auch neu ausgestellte, noch nicht abgelaufene Tokens während des Austauschs von Client-Server-Tokens und vor der Clustersynchronisierung für kurze Zeit verwendet werden. Beispiel: Eine Google-Anfrage an Ihren Dienst, die das vorherige nicht abgelaufene Zugriffstoken verwendet, erfolgt kurz nach der Ausgabe eines neuen Zugriffstokens, aber noch vor dem Empfang und der Clustersynchronisierung bei Google. Wir empfehlen alternative Sicherheitsmaßnahmen zur Tokenrotation.

Weitere Ereignisse

Die Verknüpfung von Konten kann aus verschiedenen anderen Gründen aufgehoben werden, z. B. aufgrund von Inaktivität, Sperrung oder böswilligem Verhalten. In solchen Fällen können Ihre Plattform und Google Nutzerkonten am besten verwalten und neu verknüpfen, indem sie sich gegenseitig über Änderungen am Konto- und Verknüpfungsstatus informieren.

Implementieren Sie einen Endpunkt zum Widerrufen von Tokens, den Google aufrufen kann, und benachrichtigen Sie Google über Ihre Tokenwiderrufsereignisse mithilfe von RISC, damit Ihre Plattform und Google den Status der Nutzerkontoverknüpfung einheitlich verwalten können.

Endpunkt zum Widerrufen des Tokens

If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.

The request has the following form:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Your token revocation endpoint must be able to handle the following parameters:

Revocation endpoint parameters
`client_id`	A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier.
`client_secret`	A secret string that you registered with Google for your service.
`token`	The token to be revoked.
`token_type_hint`	(Optional) The type of token being revoked, either an `access_token` or `refresh_token`. If unspecified, defaults to `access_token`.

Return a response when the token is deleted or invalid. See the following for an example:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google retries the request later or as requested by Retry-After.

Produktübergreifender Kontoschutz (RISC)

If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.

Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.

A Security Event Token is used to notify Google of token revocation.

When decoded, a token revocation event looks like the following example:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:

Token revocation events

iss Issuer Claim: This is a URL which you host, and it's shared with Google during registration.

aud Audience Claim: This identifies Google as the JWT recipient. It must be set to google_account_linking.

jti JWT ID Claim: This is a unique ID that you generate for every security event token.

iat Issued At Claim: This is a NumericDate value that represents the time when this security event token was created.

toe Time of Event Claim: This is an optional NumericDate value that represents the time at which the token was revoked.

exp Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place.

events

Security Events Claim: This is a JSON object, and must include only a single token revocation event.
`subject_type`	This must be set to `oauth_token`.
`token_type`	This is the type of token being revoked, either `access_token` or `refresh_token`.
`token_identifier_alg`	This is the algorithm used to encode the token, and it must be `hash_SHA512_double`.
`token`	This is the ID of the revoked token.

For more information on field types and formats, see JSON Web Token (JWT).