Cómo revocar tokens de ID

Descripción general

Se puede revocar el consentimiento del usuario para compartir un token de ID.

A los usuarios que acceden por primera vez se les solicita su consentimiento para compartir la información de su perfil de la Cuenta de Google con tu plataforma.

Si se otorga el consentimiento del usuario, se comparte una credencial de token web JSON (JWT) conocida como token de ID cuando se cargan los botones de Acceder con Google, One Tap o Acceso automático.

Una situación común es que se cree una cuenta de usuario nueva en tu plataforma durante el registro. Más adelante, un usuario puede elegir borrar su cuenta y "desvincular" tu plataforma de su Cuenta de Google, lo que detendrá el uso compartido de tokens de ID.

Para llamar al método de revocación, el propietario de la Cuenta de Google debe volver a dar su consentimiento para compartir el token de ID en su próxima visita a tu sitio.

Métodos de revocación

Google usa una concesión de OAuth 2.0 para administrar el consentimiento del usuario y el uso compartido de tokens de ID con el ID de cliente de tu plataforma. Si revocas el consentimiento, Google no podrá compartir el token de ID cuando las páginas de tu sitio carguen la biblioteca cliente.

Estos métodos se pueden usar para revocar el consentimiento.

1. Los usuarios acceden a sus Cuentas de Google, buscan tu app en la configuración de Apps de terceros con acceso a la cuenta y seleccionan Quitar acceso.
2. Tu plataforma llama a google.accounts.id.revoke.

En la siguiente muestra de código, se muestra cómo usar el método revoke.

  google.accounts.id.revoke('user@google.com', done => {
    console.log('consent revoked');
  });