您可以從您的平台或 Google 啟動取消連結程序,並讓兩者的連結狀態一致,以便提供最佳使用者體驗。您可以選擇支援 Google 帳戶連結的權杖撤銷端點或跨帳戶防護功能。
帳戶遭到下列任一操作取消連結:
- 來自
- Google 應用程式或 Google 帳戶設定
- 你的平台
- 無法續購過期的更新權杖
- 由您或 Google 啟動的其他事件。例如濫用行為和威脅偵測服務導致帳戶遭到停權。
使用者要求取消與 Google 的連結
透過使用者的 Google 帳戶或應用程式啟動的帳戶取消連結作業會刪除先前核發的存取權和重新整理權杖,並移除使用者同意聲明,如果您選擇實作權杖撤銷端點,系統會視需要呼叫該端點。
使用者要求取消連結平台
您應提供使用者解除連結的機制,例如帳戶網址。如果您沒有提供使用者取消連結的方式,請附上 Google 帳戶的連結,方便使用者管理已連結的帳戶。
您可以選擇實施風險與事件分享和合作 (RISC),並通知 Google 使用者帳戶連結狀態的變更。這樣一來,平台和 Google 都會顯示目前一致的連結狀態,不必透過重新整理或存取權杖要求更新連結狀態,就能提供更優質的使用者體驗。
權杖到期
為了提供流暢的使用者體驗,並避免服務中斷,Google 會在重新整理權杖的效期結束前,嘗試重新整理權杖。在某些情況下,如果無法取得有效的重新整理權杖,可能需要使用者同意才能重新連結帳戶。
設計平台時,如果能支援多個未過期的存取權和重新整理權杖,就能盡量減少叢集環境中用戶端-伺服器交換作業出現的競爭狀態,避免使用者中斷,並盡量減少複雜的時間和錯誤處理情況。雖然最終會達到一致性,但在用戶端-伺服器權杖續約交換期間,以及叢集同步處理前,先前和新發出的未過期權杖可能會在短時間內使用。舉例來說,Google 向您的服務發出要求時,如果使用先前未過期的存取權杖,且在 Google 收到並進行叢集同步之前,建議您採用其他安全性措施來輪替重新整理權杖。
其他事件
帳戶可能會因其他原因而解除連結,例如帳戶閒置、遭到停權、惡意行為等等。在這種情況下,您的平台和 Google 可以透過通知彼此帳戶和連結狀態的變更,妥善管理使用者帳戶並重新連結。
實作權杖撤銷端點供 Google 呼叫,並使用 RISC 通知 Google 您的權杖撤銷事件,確保您的平台和 Google 維持一致的使用者帳戶連結狀態。
符記撤銷端點
如果支援 OAuth 2.0 權杖撤銷端點 你的平台可以接收 Google 的通知。這樣一來,您就能通知使用者連結狀態變更、讓權杖失效,以及清理安全性憑證和授權核准。
這項要求的格式如下:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
您的權杖撤銷端點必須能處理下列參數:
| 撤銷端點參數 | |
|---|---|
client_id |
用來識別要求來源為 Google 的字串。此字串必須 在您的系統中註冊為 Google 專屬識別碼。 |
client_secret |
您向 Google 註冊的服務專用密鑰。 |
token |
要撤銷的權杖。 |
token_type_hint |
(選用) 要撤銷的符記類型,可為 access_token 或 refresh_token。如果未指定
預設值為 access_token。 |
權杖刪除或無效時傳回回應。請參閱下列 範例:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
如果因任何原因無法刪除權杖,系統會傳回 503 回應代碼 如以下範例所示:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google 稍後會重新處理要求,或依「Retry-After」要求重試。
跨帳戶防護 (RISC)
如果支援跨帳戶防護功能,平台可在以下時機通知 Google: 權限或更新權杖遭撤銷。這可讓 Google 向使用者 連結狀態變更、使權杖失效、清除安全憑證,以及 或授權授予項目。
跨帳戶防護功能是以 RISC 標準 OpenID Foundation。
安全性事件權杖 用於通知 Google 憑證撤銷事宜。
經過解碼後,權杖撤銷事件會類似以下範例:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
用來通知 Google 權杖撤銷事件的安全性事件權杖 必須符合下表所列的規定:
| 權杖撤銷事件 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
核發者擁有權聲明:這是您代管的網址,系統會分享這個網址 Google。 | ||||||||||
aud |
Audience Claim:將 Google 識別為 JWT 接收者。這項服務
必須設為 google_account_linking。 |
||||||||||
jti |
JWT ID 憑證附加資訊:這是您為每個專案產生的專屬 ID。 安全性事件權杖 | ||||||||||
iat |
已發出著作權聲明:這是 NumericDate 值
,代表此安全性事件憑證的建立時間。 |
||||||||||
toe |
活動索賠時間:選填
NumericDate 值代表
憑證已遭撤銷。 |
||||||||||
exp |
到期時間聲明:請「不要」加入這個欄位。 因為收到這則通知的事件已經生效。 | ||||||||||
events |
|
||||||||||
如要進一步瞭解欄位類型和格式,請參閱 JSON Web Token (JWT)。