La desvinculación se puede iniciar desde tu plataforma o Google, y la visualización de un estado de vínculo coherente en ambas plataformas proporciona la mejor experiencia del usuario. La compatibilidad con un extremo de revocación de tokens o la Protección integral de la cuenta es opcional para la vinculación de Cuentas de Google.
Las cuentas pueden desvincularse por cualquiera de las siguientes acciones:
- Solicitud del usuario de
- la configuración de una aplicación de Google o de una Cuenta de Google
- Tu plataforma
- Error al renovar un token de actualización vencido
- Otros eventos que tú o Google inicien Por ejemplo, la suspensión de la cuenta por servicios de detección de amenazas y abuso.
El usuario solicitó la desvinculación de Google
La desvinculación de cuentas que se inicia a través de la Cuenta de Google o la app de un usuario borra los tokens de acceso y actualización emitidos anteriormente, quita el consentimiento del usuario y, de manera opcional, llama a tu extremo de revocación de tokens si decides implementar uno.
El usuario solicitó desvincularse de tu plataforma
Debes proporcionar un mecanismo para que los usuarios realicen la desvinculación, como una URL a su cuenta. Si no ofreces una forma para que los usuarios desvinculen la cuenta, incluye un vínculo a la Cuenta de Google para que los usuarios puedan administrar su cuenta vinculada.
Puedes implementar la Colaboración y el uso compartido de riesgos e incidentes (RISC) y notificar a Google los cambios en el estado de vinculación de la cuenta de los usuarios. Esto permite una mejor experiencia del usuario, en la que tanto tu plataforma como Google muestran un estado de vinculación actual y coherente sin necesidad de depender de una solicitud de actualización o de token de acceso para actualizar el estado de vinculación.
Vencimiento del token
Para proporcionar una experiencia del usuario fluida y evitar interrupciones del servicio, Google intenta renovar los tokens de actualización cerca del final de su ciclo de vida. En algunos casos, es posible que se requiera el consentimiento del usuario para volver a vincular las cuentas cuando no haya un token de actualización válido.
Diseñar tu plataforma para admitir varios tokens de acceso y actualización sin vencer puede minimizar las condiciones de carrera presentes en los intercambios cliente-servidor entre entornos agrupados, evitar interrupciones del usuario y minimizar los casos complejos de sincronización y manejo de errores. Si bien, en última instancia, son coherentes, es posible que los tokens sin vencer anteriores y los emitidos recientemente estén en uso durante un período breve durante el intercambio de renovación de tokens entre el cliente y el servidor y antes de la sincronización del clúster. Por ejemplo, una solicitud de Google a tu servicio que usa el token de acceso anterior sin vencer se produce justo después de que emites un token de acceso nuevo, pero antes de que se produzca la recepción y la sincronización del clúster en Google. Se recomiendan medidas de seguridad alternativas para la actualización de la rotación de tokens.
Otros eventos
Las cuentas se pueden desvincular por varios otros motivos, como inactividad, suspensión, comportamiento malicioso, etcétera. En esas situaciones, tu plataforma y Google pueden administrar mejor las cuentas de usuario y volver a vincularlas mediante notificaciones mutuas sobre los cambios en el estado de la cuenta y del vínculo.
Implementa un extremo de revocación de tokens para que Google llame y notifícalo con RISC sobre tus eventos de revocación de tokens para garantizar que tu plataforma y Google mantengan un estado coherente de vinculación de la cuenta de usuario.
Extremo de revocación del token
Si admites un extremo de revocación de tokens de OAuth 2.0, tu plataforma puede recibir notificaciones de Google. Esto te permite informar a los usuarios cambios en el estado del vínculo, invalidación de un token y limpieza de credenciales de seguridad y otorgamientos de autorización.
La solicitud tiene el siguiente formato:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Tu extremo de revocación de tokens debe poder controlar los siguientes parámetros:
| Parámetros de extremo de revocación | |
|---|---|
client_id |
Una cadena que identifica el origen de la solicitud como Google. Esta cadena debe registrarse en tu sistema como el identificador único de Google. |
client_secret |
Es una cadena secreta registrada en Google para tu servicio. |
token |
El token que se revocará. |
token_type_hint |
(Opcional) Es el tipo de token que se revoca, ya sea access_token o refresh_token. Si no se especifica,
La configuración predeterminada es access_token. |
Muestra una respuesta cuando el token se borra o no es válido. Consulta lo siguiente para un ejemplo:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Si el token no se puede borrar por algún motivo, muestra un código de respuesta 503. como se muestra en el siguiente ejemplo:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google vuelve a intentar la solicitud más tarde o según lo solicite Retry-After.
Protección integral de la cuenta (RISC)
如果您支持跨账号保护功能,您的平台可以在以下情况下通知 Google: 访问或刷新令牌会被撤消。这样,Google 就可以告知用户 更改关联状态、使令牌失效、清理安全凭据 授权。
跨账号保护以 RISC 标准是 OpenID Foundation。
安全事件令牌 用于通知 Google 令牌撤消。
解码后,令牌撤消事件如以下示例所示:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
用于将令牌撤消事件通知 Google 的安全事件令牌 必须符合下表中的要求:
| 令牌撤消事件 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim:这是由您托管的网址,并且会分享给 在注册过程中与 Google 联系。 | ||||||||||
aud |
受众群体声明:这可将 Google 标识为 JWT 收件人。它
必须设置为 google_account_linking。 |
||||||||||
jti |
JWT ID 声明:这是您为每次 JWT 生成的唯一 ID 安全事件令牌 | ||||||||||
iat |
Issued At Claim:这是一个 NumericDate 值
表示创建此安全性事件令牌的时间。 |
||||||||||
toe |
事件声明时间:此为可选
NumericDate 值,该值表示
已撤消。 |
||||||||||
exp |
到期时间声明:请勿包含此字段。 因为导致此通知的事件已经发生。 | ||||||||||
events |
|
||||||||||
如需详细了解字段类型和格式,请参阅 JSON 网络令牌 (JWT)。