Отмена связи может быть инициирована на вашей платформе или в Google, а отображение согласованного состояния связи на обоих обеспечивает наилучшее взаимодействие с пользователем. Поддержка конечной точки отзыва токена или защиты между учетными записями не является обязательной для привязки учетной записи Google.
Аккаунты могут стать несвязанными одним из следующих способов:
- Запрос пользователя от
- приложение Google или настройки аккаунта Google
- Ваша платформа
- Невозможно обновить токен обновления с истекшим сроком действия
- Другие события, инициированные вами или Google. Например, приостановка действия учетной записи службами обнаружения злоупотреблений и угроз.
Пользователь запросил отмену связи с Google
Отмена связи учетной записи, инициированная через учетную запись Google или приложение пользователя, удаляет все ранее выданные токены доступа и обновления, отменяет согласие пользователя и при необходимости вызывает конечную точку отзыва токена, если вы решили ее реализовать.
Пользователь запросил отмену связи с вашей платформой
Вы должны предоставить пользователям механизм отмены связи, например URL-адрес своей учетной записи. Если вы не предлагаете пользователям возможность отменить связь, добавьте ссылку на учетную запись Google , чтобы пользователи могли управлять своей связанной учетной записью.
Вы можете внедрить совместное использование и совместное использование рисков и инцидентов (RISC) и уведомлять Google об изменениях статуса привязки учетных записей пользователей. Это позволяет улучшить взаимодействие с пользователем, когда и ваша платформа, и Google отображают текущий и непротиворечивый статус привязки без необходимости полагаться на запрос обновления или токена доступа для обновления состояния привязки.
Срок действия токена
Чтобы обеспечить бесперебойную работу пользователей и избежать сбоев в обслуживании, Google пытается обновить токены обновления ближе к концу их срока службы. В некоторых сценариях может потребоваться согласие пользователя для повторной привязки учетных записей, когда действительный токен обновления недоступен.
Проектирование вашей платформы для поддержки нескольких неистекших токенов доступа и обновления может свести к минимуму условия гонки, присутствующие при обмене клиент-сервер между кластерными средами, избежать прерывания работы пользователей и свести к минимуму сложные сценарии синхронизации и обработки ошибок. Несмотря на то, что в конечном итоге они будут согласованными, как ранее выпущенные, так и вновь выпущенные маркеры с неистекшим сроком действия могут использоваться в течение короткого периода времени во время обмена маркерами обновления клиент-сервер и до синхронизации кластера. Например, запрос Google к вашей службе, в котором используется предыдущий токен доступа с неистекшим сроком действия, происходит сразу после того, как вы выдаете новый токен доступа, но до получения и синхронизации кластера в Google. Рекомендуются меры безопасности, альтернативные ротации токенов обновления .
Другие события
Учетные записи могут быть отключены по различным причинам, таким как бездействие, приостановка действия, злонамеренное поведение и т. д. В таких сценариях ваша платформа и Google могут наилучшим образом управлять учетными записями пользователей и переустанавливать связь, уведомляя друг друга об изменениях в учетной записи и состоянии связи.
Реализуйте конечную точку отзыва токенов, которую Google будет вызывать, и уведомляйте Google о событиях отзыва токенов с помощью RISC, чтобы ваша платформа и Google поддерживали согласованное состояние связи учетной записи пользователя.
Конечная точка отзыва токена
If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.
The request has the following form:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Your token revocation endpoint must be able to handle the following parameters:
| Revocation endpoint parameters | |
|---|---|
client_id |
A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier. |
client_secret |
A secret string that you registered with Google for your service. |
token |
The token to be revoked. |
token_type_hint |
(Optional) The type of token being revoked, either an
access_token or refresh_token. If unspecified,
defaults to access_token. |
Return a response when the token is deleted or invalid. See the following for an example:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google retries the request later or as requested by Retry-After.
Межаккаунтовая защита (RISC)
If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.
Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.
A Security Event Token is used to notify Google of token revocation.
When decoded, a token revocation event looks like the following example:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:
| Token revocation events | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim: This is a URL which you host, and it's shared with Google during registration. | ||||||||||
aud |
Audience Claim: This identifies Google as the JWT recipient. It
must be set to google_account_linking. |
||||||||||
jti |
JWT ID Claim: This is a unique ID that you generate for every security event token. | ||||||||||
iat |
Issued At Claim: This is a NumericDate value
that represents the time when this security event token was created. |
||||||||||
toe |
Time of Event Claim: This is an optional
NumericDate value that represents the time at which the
token was revoked. |
||||||||||
exp |
Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place. | ||||||||||
events |
|
||||||||||
For more information on field types and formats, see JSON Web Token (JWT).