Отмена связи может быть инициирована на вашей платформе или в Google, а отображение согласованного состояния связи на обоих обеспечивает наилучшее взаимодействие с пользователем. Поддержка конечной точки отзыва токена или защиты между учетными записями не является обязательной для привязки учетной записи Google.
Аккаунты могут стать несвязанными одним из следующих способов:
- Запрос пользователя от
- приложение Google или настройки аккаунта Google
- Ваша платформа
- Невозможно обновить токен обновления с истекшим сроком действия
- Другие события, инициированные вами или Google. Например, приостановка действия учетной записи службами обнаружения злоупотреблений и угроз.
Пользователь запросил отмену связи с Google
Отмена связи учетной записи, инициированная через учетную запись Google или приложение пользователя, удаляет все ранее выданные токены доступа и обновления, отменяет согласие пользователя и при необходимости вызывает конечную точку отзыва токена, если вы решили ее реализовать.
Пользователь запросил отмену связи с вашей платформой
Вы должны предоставить пользователям механизм отмены связи, например URL-адрес своей учетной записи. Если вы не предлагаете пользователям возможность отменить связь, добавьте ссылку на учетную запись Google , чтобы пользователи могли управлять своей связанной учетной записью.
Вы можете внедрить совместное использование и совместное использование рисков и инцидентов (RISC) и уведомлять Google об изменениях статуса привязки учетных записей пользователей. Это позволяет улучшить взаимодействие с пользователем, когда и ваша платформа, и Google отображают текущий и непротиворечивый статус привязки без необходимости полагаться на запрос обновления или токена доступа для обновления состояния привязки.
Срок действия токена
Чтобы обеспечить бесперебойную работу пользователей и избежать сбоев в обслуживании, Google пытается обновить токены обновления ближе к концу их срока службы. В некоторых сценариях может потребоваться согласие пользователя для повторной привязки учетных записей, когда действительный токен обновления недоступен.
Проектирование вашей платформы для поддержки нескольких неистекших токенов доступа и обновления может свести к минимуму условия гонки, присутствующие при обмене клиент-сервер между кластерными средами, избежать прерывания работы пользователей и свести к минимуму сложные сценарии синхронизации и обработки ошибок. Несмотря на то, что в конечном итоге они будут согласованными, как ранее выпущенные, так и вновь выпущенные маркеры с неистекшим сроком действия могут использоваться в течение короткого периода времени во время обмена маркерами обновления клиент-сервер и до синхронизации кластера. Например, запрос Google к вашей службе, в котором используется предыдущий токен доступа с неистекшим сроком действия, происходит сразу после того, как вы выдаете новый токен доступа, но до получения и синхронизации кластера в Google. Рекомендуются меры безопасности, альтернативные ротации токенов обновления .
Другие события
Учетные записи могут быть отключены по различным причинам, таким как бездействие, приостановка действия, злонамеренное поведение и т. д. В таких сценариях ваша платформа и Google могут наилучшим образом управлять учетными записями пользователей и переустанавливать связь, уведомляя друг друга об изменениях в учетной записи и состоянии связи.
Реализуйте конечную точку отзыва токенов, которую Google будет вызывать, и уведомляйте Google о событиях отзыва токенов с помощью RISC, чтобы ваша платформа и Google поддерживали согласованное состояние связи учетной записи пользователя.
Конечная точка отзыва токена
Если вы поддерживаете конечную точку отзыва токенов OAuth 2.0, ваша платформа может получать уведомления от Google. Это позволяет вам информировать пользователей об изменениях состояния ссылки, аннулировать токен и очищать учетные данные безопасности и разрешения на авторизацию.
Запрос имеет следующую форму:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Конечная точка отзыва токена должна поддерживать следующие параметры:
| Параметры конечной точки отзыва | |
|---|---|
client_id | Строка, определяющая источник запроса как Google. Эта строка должна быть зарегистрирована в вашей системе как уникальный идентификатор Google. |
client_secret | Секретная строка, которую вы зарегистрировали в Google для своей службы. |
token | Токен, который нужно отозвать. |
token_type_hint | (Необязательно) Тип access_token refresh_token access_token или refresh_token . Если не указано, по умолчанию используется access_token . |
Вернуть ответ, если токен удален или недействителен. См. Следующий пример:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Если токен не может быть удален по какой-либо причине, верните код ответа 503, как показано в следующем примере:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google повторяет запрос позже или по запросу Retry-After .
Межаккаунтовая защита (RISC)
Если вы поддерживаете защиту перекрестных учетных записей, ваша платформа может уведомлять Google об отзыве токенов доступа или обновления. Это позволяет Google информировать пользователей об изменениях состояния ссылки, аннулировать токен, учетные данные для очистки и разрешения на авторизацию.
Межаккаунтная защита основана на стандарте RISC, разработанном OpenID Foundation.
Токен события безопасности используется для уведомления Google об отзыве токена.
После декодирования событие отзыва токена выглядит следующим образом:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Токены событий безопасности, которые вы используете для уведомления Google о событиях отзыва токенов, должны соответствовать требованиям, приведенным в следующей таблице:
| События отзыва токена | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss | Заявление эмитента: это URL-адрес, который вы размещаете и который передается Google во время регистрации. | ||||||||||
aud | Заявление аудитории: это определяет Google как получателя JWT. Он должен быть установлен на google_account_linking . | ||||||||||
jti | Заявление об идентификаторе JWT: это уникальный идентификатор, который вы создаете для каждого токена события безопасности. | ||||||||||
iat | Выпущено по NumericDate : это значение NumericDate которое представляет время, когда был создан этот токен события безопасности. | ||||||||||
toe | Заявление о времени события: это необязательное значение NumericDate которое представляет время, когда токен был отозван. | ||||||||||
exp | Заявление о сроке действия: не включайте это поле, так как событие, приведшее к этому уведомлению, уже произошло. | ||||||||||
events |
| ||||||||||
Дополнительные сведения о типах и форматах полей см. В разделе JSON Web Token (JWT) .