يمكن بدء عملية إلغاء الربط من منصتك أو من Google، ويوفّر عرض حالة ربط متسقة على كليهما أفضل تجربة للمستخدم. إنّ توفير نقطة نهاية لإبطال الرمز المميز أو ميزة "حماية عابرة للحساب" هو أمر اختياري عند ربط حساب Google.
يمكن إلغاء ربط الحسابات من خلال أيّ مما يلي:
- طلب المستخدم من
- إعدادات أحد تطبيقات Google أو حساب Google
- منصتك
- تعذُّر تجديد الرمز المميز لإعادة التحميل منتهي الصلاحية
- الأحداث الأخرى التي بدأتها أنت أو Google على سبيل المثال، تعليق الحساب من خلال خدمات رصد إساءة الاستخدام والتهديدات.
طلب المستخدم إلغاء الربط بحساب Google
يؤدي إلغاء ربط الحساب الذي يتم من خلال حساب المستخدم على Google أو التطبيق إلى حذف أي رموز مميّزة للوصول والتحديث تم إصدارها سابقًا، وإزالة موافقة المستخدم، كما يؤدي اختياريًا إلى استدعاء نقطة نهاية إلغاء الرمز المميّز إذا اخترت تنفيذها.
طلب المستخدم إلغاء الربط بمنصتك
يجب توفير آلية للمستخدمين لإلغاء الربط، مثل عنوان URL لحساباتهم. إذا لم توفّر طريقة للمستخدمين لإلغاء الربط، عليك تضمين رابط يؤدي إلى حساب Google ليتمكّن المستخدمون من إدارة حسابهم المرتبط.
يمكنك اختيار تنفيذ ميزة "مشاركة المخاطر والحوادث والتعاون" (RISC) وإبلاغ Google بالتغييرات التي تطرأ على حالة ربط حسابات المستخدمين. يتيح ذلك تقديم تجربة محسّنة للمستخدمين، حيث تعرض منصتك وGoogle حالة ربط حالية ومتسقة بدون الحاجة إلى الاعتماد على طلب إعادة تحميل أو رمز مميّز للوصول من أجل تعديل حالة الربط.
انتهاء صلاحية الرمز المميز
لتقديم تجربة سلسة للمستخدم وتجنُّب انقطاع الخدمة، تحاول Google تجديد رموز الدخول المميزة بالقرب من نهاية مدة صلاحيتها. في بعض الحالات، قد تكون موافقة المستخدم مطلوبة لإعادة ربط الحسابات عندما لا يتوفّر رمز مميز صالح لإعادة التحميل.
يمكن أن يؤدي تصميم منصتك لتتوافق مع رموز مميّزة متعددة غير منتهية الصلاحية للوصول والتحديث إلى تقليل حالات التزامن التي تحدث في عمليات التبادل بين العميل والخادم في البيئات المجمّعة، وتجنُّب تعطُّل المستخدم، وتقليل سيناريوهات التوقيت المعقّد ومعالجة الأخطاء. على الرغم من أنّها متسقة في النهاية، قد يتم استخدام الرموز المميزة السابقة والرموز المميزة الجديدة غير المنتهية الصلاحية لفترة قصيرة من الوقت أثناء عملية تبادل تجديد الرمز المميز بين العميل والخادم وقبل مزامنة المجموعة. على سبيل المثال، يحدث طلب من Google إلى خدمتك يستخدم رمز الدخول السابق الذي لم تنتهِ صلاحيته مباشرةً بعد إصدار رمز دخول جديد، ولكن قبل أن تتلقّى Google الرمز وتتم مزامنة المجموعة. ننصحك باستخدام إجراءات أمان بديلة بدلاً من تدوير الرموز المميزة لإعادة التحميل.
الأحداث الأخرى
يمكن إلغاء ربط الحسابات لأسباب أخرى مختلفة، مثل عدم النشاط أو التعليق أو السلوك الضار وما إلى ذلك. في مثل هذه السيناريوهات، يمكن لمنصتك وGoogle إدارة حسابات المستخدمين وإعادة الربط على أفضل وجه من خلال إعلام بعضكما البعض بالتغييرات التي تطرأ على حالة الحساب والربط.
عليك تنفيذ نقطة نهاية لإبطال الرموز المميزة كي تتمكّن Google من طلبها، وإعلام Google بأحداث إبطال الرموز المميزة باستخدام RISC لضمان الحفاظ على حالة ربط حساب المستخدم متسقة بين منصتك وGoogle.
نقطة نهاية إبطال الرمز المميز
If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.
The request has the following form:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Your token revocation endpoint must be able to handle the following parameters:
| Revocation endpoint parameters | |
|---|---|
client_id |
A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier. |
client_secret |
A secret string that you registered with Google for your service. |
token |
The token to be revoked. |
token_type_hint |
(Optional) The type of token being revoked, either an
access_token or refresh_token. If unspecified,
defaults to access_token. |
Return a response when the token is deleted or invalid. See the following for an example:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google retries the request later or as requested by Retry-After.
الحماية العابرة للحساب (RISC)
إذا كنت توفّر ميزة "الحماية العابرة للحساب"، يمكن لمنصتك إرسال إشعار إلى Google. رموز الدخول أو إعادة التحميل. يتيح هذا لـ Google إبلاغ المستخدمين تغيير حالة الربط وإبطال الرمز المميّز وتنظيف بيانات اعتماد الأمان منح الأذونات.
تستند ميزة "الحماية العابرة للحساب" إلى معيار RISC الذي تم تطويره في مؤسسة OpenID.
الرمز المميّز للحدث الأمني يُستخدم لإعلام Google بإبطال الرمز المميز.
عند فك الترميز، يظهر حدث إبطال الرمز المميّز على النحو التالي:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
الرموز المميّزة للأحداث الأمنية التي تستخدمها لإعلام Google بأحداث إبطال الرموز المميّزة مع المتطلبات الواردة في الجدول التالي:
| أحداث إبطال الرمز المميّز | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
مطالبة جهة الإصدار: هذا عنوان URL تستضيفه وتتم مشاركته مع. Google أثناء التسجيل. | ||||||||||
aud |
مطالبة الجمهور: تحدد Google كمستلم JWT. أُنشأها جون هنتر، الذي كان متخصصًا
يجب ضبطها على google_account_linking. |
||||||||||
jti |
المطالبة بمعرّف JWT: هذا معرّف فريد تنشئه لكل الرمز المميز للحدث الأمني. | ||||||||||
iat |
تم الإصدار بناءً على المطالبة: هذه القيمة هي NumericDate.
الذي يمثّل الوقت الذي تم فيه إنشاء الرمز المميّز للحدث الأمني. |
||||||||||
toe |
وقت المطالبة بالحدث: هذا الإجراء اختياري.
قيمة NumericDate تمثل الوقت الذي
تم إبطال الرمز المميز. |
||||||||||
exp |
المطالبة بوقت انتهاء الصلاحية: لا تتضمّن هذا الحقل، لأنّ الحدث الذي نتج عن هذا الإشعار قد تم بالفعل. | ||||||||||
events |
|
||||||||||
لمزيد من المعلومات حول أنواع الحقول والتنسيقات، يمكنك الاطّلاع على رمز JSON المميّز للويب (JWT)