Revogar tokens de ID

Visão geral

O consentimento do usuário para compartilhar um token de ID pode ser revogado.

Os usuários que fizerem login pela primeira vez vão precisar consentir em compartilhar as informações do perfil da Conta do Google com sua plataforma.

Se o consentimento do usuário for dado a uma credencial JSON Web Token (JWT), conhecida como token de ID, será compartilhada quando qualquer um dos botões de login com o Google, de um toque ou automático for carregado.

Um cenário comum é a criação de uma nova conta de usuário na sua plataforma durante o registro. Mais tarde, um usuário pode excluir a conta e "desvincular" sua plataforma da Conta do Google, interrompendo o compartilhamento do token de ID.

Chamar o método de revogação exige que o proprietário da Conta do Google consinte novamente para compartilhar o ID token na próxima visita ao site.

Métodos de revogação

O Google usa uma concessão OAuth 2.0 para gerenciar o consentimento do usuário e o compartilhamento de tokens de ID para o ID da plataforma. A revogação do consentimento impede que o Google compartilhe o token de ID quando a biblioteca de cliente é carregada por qualquer página no seu site.

Esses métodos podem ser usados para revogar o consentimento.

  1. Os usuários fazem login na Conta do Google, encontram seu app nas configurações Apps de terceiros com acesso à conta e selecionam Remover acesso.
  2. Sua plataforma chama google.accounts.id.revoke.

O exemplo de código a seguir mostra como usar o método revoke.

  google.accounts.id.revoke('user@google.com', done => {
    console.log('consent revoked');
  });