Rozłączanie kont

Odłączenie może zostać zainicjowane na Twojej platformie lub w Google, a spójny stan połączenia w obu przypadkach zapewni najlepszą obsługę użytkowników. Łączenie punktów końcowych unieważniania tokenów lub ochrona między kontami jest opcjonalna w przypadku łączenia kont Google.

Konta mogą zostać rozłączone przez:

  • Prośba użytkownika:
  • brak możliwości odnowienia wygasłego tokena odświeżania.
  • Inne zdarzenia zainicjowane przez Ciebie lub przez Google. na przykład zawieszenie konta z powodu nadużyć lub wykrywania zagrożeń.

Użytkownik poprosił o odłączenie od Google

Odłączenie konta zainicjowane za pomocą konta Google lub aplikacji użytkownika powoduje usunięcie wcześniej wystawionych tokenów dostępu i odświeżenia, usunięcie zgody użytkownika oraz opcjonalnie wywołanie punktu końcowego unieważnienia tokena, jeśli zdecydujesz się go zaimplementować.

Użytkownik poprosił o odłączenie od Twojej platformy

Udostępnij użytkownikom mechanizm odłączenia kont, np. adres URL ich kont. Jeśli nie udostępniasz użytkownikom możliwości odłączenia konta, uwzględnij link do konta Google, aby użytkownicy mogli zarządzać swoim połączonym kontem.

Możesz wdrożyć mechanizm ryzyka i współdzielenia incydentów (RISC) oraz powiadomić Google o zmianach w stanie łączenia kont użytkowników. Takie działanie zapewnia większą wygodę korzystania z platformy, ponieważ zarówno Twoja platforma, jak i Google wyświetlają stan połączenia w sposób stały i spójny, bez konieczności aktualizowania stanu połączenia za pomocą prośby o odświeżenie lub dostęp.

Wygaśnięcie tokena

Aby zadbać o wygodę użytkowników i uniknąć przerw w działaniu usługi, Google stara się odnawiać tokeny odświeżania pod koniec ich cyklu życia. W niektórych przypadkach, gdy prawidłowy token odświeżania jest niedostępny, może być wymagana zgoda użytkownika na ponowne połączenie kont.

Zaprojektowanie platformy tak, aby obsługiwała wiele niezbędnych tokenów dostępu i odświeżania, może zminimalizować warunki wyścigów występujące na giełdach serwer-serwer między klastrami, uniknąć zakłóceń w działaniu użytkowników oraz zminimalizować scenariusze dotyczące czasu i obsługi błędów. Ostatecznie zarówno poprzednie, jak i nowe wygasłe tokeny mogą być używane przez krótki czas podczas odnawiania tokena klienta-serwera i przed synchronizacją klastra. Na przykład żądanie Google skierowane do usługi, które korzysta z poprzedniego nieważnego tokena dostępu, pojawia się tuż po wysłaniu nowego tokena dostępu, ale przed wykonaniem potwierdzenia i synchronizacji klastra odbywa się Google. Zalecamy skorzystanie z alternatywnych rozwiązań zabezpieczających do odświeżania rotacji tokenów.

Inne zdarzenia

Konta można rozłączyć z różnych powodów, takich jak brak aktywności, zawieszenie, złośliwe zachowanie itp. W takich przypadkach Twoja platforma i Google mogą najlepiej zarządzać kontami użytkowników i łączyć je ponownie, powiadamiając się o zmianach stanu konta i połączenia.

Zaimplementuj punkt końcowy unieważnienia tokena, aby umożliwić Google wywoływanie zdarzeń i powiadomienie Google o zdarzeniach unieważnienia tokenów za pomocą RISC, aby zapewnić niezmienną stan połączenia konta użytkownika z platformą i Google.

Punkt końcowy unieważnienia tokena

Jeśli obsługujesz punkt końcowy odwołania tokenu OAuth 2.0, Twoja platforma może otrzymywać powiadomienia od Google. Pozwala to informować użytkowników o zmianach stanu łącza, unieważniać token i czyścić poświadczenia bezpieczeństwa i uprawnienia autoryzacyjne.

Żądanie ma następującą formę:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Punkt końcowy odwołania tokenu musi obsługiwać następujące parametry:

Parametry punktu końcowego odwołania
client_id Ciąg identyfikujący źródło żądania jako Google. Ten ciąg musi zostać zarejestrowany w Twoim systemie jako unikalny identyfikator Google.
client_secret Tajny ciąg znaków zarejestrowany w Google dla Twojej usługi.
token Token do unieważnienia.
token_type_hint (Opcjonalnie) typu token unieważniany, powstaje access_token lub refresh_token . Jeśli nie jest określony, domyślnie access_token .

Zwróć odpowiedź, gdy token zostanie usunięty lub nieprawidłowy. Zobacz poniższy przykład:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

Jeśli z jakiegokolwiek powodu tokenu nie można usunąć, zwróć kod odpowiedzi 503, jak pokazano w poniższym przykładzie:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google ponawia żądanie później lub zgodnie z żądaniem Retry-After .

Ochrona wszystkich kont (RISC)

Jeśli korzystasz z ochrony wszystkich kont, Twoja platforma może powiadomić Google o unieważnieniu tokenów dostępu lub odświeżenia. Dzięki temu Google informuje użytkowników o zmianach stanu połączenia, unieważnieniu tokena, usuwaniu danych logowania i przyznaniach autoryzacji.

Ochrona wszystkich kont jest oparta na standardzie RISC opracowanym przez organizację OpenID Foundation.

Token zdarzenia związanego z bezpieczeństwem służy do powiadamiania Google o unieważnieniu tokena.

Po dekodowaniu zdarzenie odwołania tokena wygląda tak:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

Tokeny zdarzeń związane z bezpieczeństwem, których używasz do powiadamiania Google o zdarzeniach unieważnienia tokenów, muszą być zgodne z wymaganiami podanymi w tej tabeli:

Zdarzenia dotyczące unieważnienia tokena
iss Roszczenie wydawcy: jest to adres URL, który hostujesz, i jest on udostępniany Google podczas rejestracji.
aud Twierdzenie odbiorców:wskazuje Google jako odbiorcę JWT. Musi być ustawiona na google_account_linking.
jti Żądanie identyfikatora JWT: unikalny identyfikator generowany dla każdego tokena zdarzenia zabezpieczeń.
iat Wydane przy roszczeniu: wartość NumericDate reprezentująca czas utworzenia tego tokena zdarzenia związanego z bezpieczeństwem.
toe Time of Event Claim (Czas żądania zdarzenia): to opcjonalna wartość NumericDate, która wskazuje czas unieważnienia tokena.
exp Roszczenie dotyczące daty ważności: nie dodawaj tego pola, ponieważ zdarzenie związane z tym powiadomieniem już miało miejsce.
events
Deklaracja zdarzeń zabezpieczeń: to jest obiekt JSON i może zawierać tylko jedno zdarzenie anulowania tokena.
subject_type Musi być ustawiona na oauth_token.
token_type Ten typ tokena jest unieważniany: access_token lub refresh_token.
token_identifier_alg To algorytm używany do kodowania tokena. Musi to być hash_SHA512_double.
token Jest to identyfikator unieważnionego tokena.

Więcej informacji o typach i formatach pól znajdziesz w opisie tokena internetowego JSON (JWT).