La desvinculación se puede iniciar desde tu plataforma o Google, y la visualización de un estado de vínculo coherente en ambas plataformas proporciona la mejor experiencia del usuario. La compatibilidad con un extremo de revocación de tokens o la Protección integral de la cuenta es opcional para la vinculación de Cuentas de Google.
Las cuentas pueden desvincularse por cualquiera de las siguientes acciones:
- Solicitud del usuario de
- la configuración de una aplicación de Google o de una Cuenta de Google
- Tu plataforma
- Error al renovar un token de actualización vencido
- Otros eventos que tú o Google inicien Por ejemplo, la suspensión de la cuenta por servicios de detección de amenazas y abuso.
El usuario solicitó la desvinculación de Google
La desvinculación de cuentas que se inicia a través de la Cuenta de Google o la app de un usuario borra los tokens de acceso y actualización emitidos anteriormente, quita el consentimiento del usuario y, de manera opcional, llama a tu extremo de revocación de tokens si decides implementar uno.
El usuario solicitó desvincularse de tu plataforma
Debes proporcionar un mecanismo para que los usuarios realicen la desvinculación, como una URL a su cuenta. Si no ofreces una forma para que los usuarios desvinculen la cuenta, incluye un vínculo a la Cuenta de Google para que los usuarios puedan administrar su cuenta vinculada.
Puedes implementar la Colaboración y el uso compartido de riesgos e incidentes (RISC) y notificar a Google los cambios en el estado de vinculación de la cuenta de los usuarios. Esto permite una mejor experiencia del usuario, en la que tanto tu plataforma como Google muestran un estado de vinculación actual y coherente sin necesidad de depender de una solicitud de actualización o de token de acceso para actualizar el estado de vinculación.
Vencimiento del token
Para proporcionar una experiencia del usuario fluida y evitar interrupciones del servicio, Google intenta renovar los tokens de actualización cerca del final de su ciclo de vida. En algunos casos, es posible que se requiera el consentimiento del usuario para volver a vincular las cuentas cuando no haya un token de actualización válido.
Diseñar tu plataforma para admitir varios tokens de acceso y actualización sin vencer puede minimizar las condiciones de carrera presentes en los intercambios cliente-servidor entre entornos agrupados, evitar interrupciones del usuario y minimizar los casos complejos de sincronización y manejo de errores. Si bien, en última instancia, son coherentes, es posible que los tokens sin vencer anteriores y los emitidos recientemente estén en uso durante un período breve durante el intercambio de renovación de tokens entre el cliente y el servidor y antes de la sincronización del clúster. Por ejemplo, una solicitud de Google a tu servicio que usa el token de acceso anterior sin vencer se produce justo después de que emites un token de acceso nuevo, pero antes de que se produzca la recepción y la sincronización del clúster en Google. Se recomiendan medidas de seguridad alternativas para la actualización de la rotación de tokens.
Otros eventos
Las cuentas se pueden desvincular por varios otros motivos, como inactividad, suspensión, comportamiento malicioso, etcétera. En esas situaciones, tu plataforma y Google pueden administrar mejor las cuentas de usuario y volver a vincularlas mediante notificaciones mutuas sobre los cambios en el estado de la cuenta y del vínculo.
Implementa un extremo de revocación de tokens para que Google llame y notifícalo con RISC sobre tus eventos de revocación de tokens para garantizar que tu plataforma y Google mantengan un estado coherente de vinculación de la cuenta de usuario.
Extremo de revocación del token
If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.
The request has the following form:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Your token revocation endpoint must be able to handle the following parameters:
| Revocation endpoint parameters | |
|---|---|
client_id |
A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier. |
client_secret |
A secret string that you registered with Google for your service. |
token |
The token to be revoked. |
token_type_hint |
(Optional) The type of token being revoked, either an
access_token or refresh_token. If unspecified,
defaults to access_token. |
Return a response when the token is deleted or invalid. See the following for an example:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google retries the request later or as requested by Retry-After.
Protección integral de la cuenta (RISC)
If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.
Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.
A Security Event Token is used to notify Google of token revocation.
When decoded, a token revocation event looks like the following example:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:
| Token revocation events | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim: This is a URL which you host, and it's shared with Google during registration. | ||||||||||
aud |
Audience Claim: This identifies Google as the JWT recipient. It
must be set to google_account_linking. |
||||||||||
jti |
JWT ID Claim: This is a unique ID that you generate for every security event token. | ||||||||||
iat |
Issued At Claim: This is a NumericDate value
that represents the time when this security event token was created. |
||||||||||
toe |
Time of Event Claim: This is an optional
NumericDate value that represents the time at which the
token was revoked. |
||||||||||
exp |
Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place. | ||||||||||
events |
|
||||||||||
For more information on field types and formats, see JSON Web Token (JWT).