La desvinculación se puede iniciar desde tu plataforma o Google, y la visualización de un estado de vínculo coherente en ambas plataformas proporciona la mejor experiencia del usuario. La compatibilidad con un extremo de revocación de tokens o la Protección integral de la cuenta es opcional para la vinculación de Cuentas de Google.
Las cuentas pueden desvincularse por cualquiera de las siguientes acciones:
- Solicitud del usuario de
- la configuración de una aplicación de Google o de una Cuenta de Google
- Tu plataforma
- Error al renovar un token de actualización vencido
- Otros eventos que tú o Google inicien Por ejemplo, la suspensión de la cuenta por servicios de detección de amenazas y abuso.
El usuario solicitó la desvinculación de Google
La desvinculación de cuentas que se inicia a través de la Cuenta de Google o la app de un usuario borra los tokens de acceso y actualización emitidos anteriormente, quita el consentimiento del usuario y, de manera opcional, llama a tu extremo de revocación de tokens si decides implementar uno.
El usuario solicitó desvincularse de tu plataforma
Debes proporcionar un mecanismo para que los usuarios realicen la desvinculación, como una URL a su cuenta. Si no ofreces una forma para que los usuarios desvinculen la cuenta, incluye un vínculo a la Cuenta de Google para que los usuarios puedan administrar su cuenta vinculada.
Puedes implementar la Colaboración y el uso compartido de riesgos e incidentes (RISC) y notificar a Google los cambios en el estado de vinculación de la cuenta de los usuarios. Esto permite una mejor experiencia del usuario, en la que tanto tu plataforma como Google muestran un estado de vinculación actual y coherente sin necesidad de depender de una solicitud de actualización o de token de acceso para actualizar el estado de vinculación.
Vencimiento del token
Para proporcionar una experiencia del usuario fluida y evitar interrupciones del servicio, Google intenta renovar los tokens de actualización cerca del final de su ciclo de vida. En algunos casos, es posible que se requiera el consentimiento del usuario para volver a vincular las cuentas cuando no haya un token de actualización válido.
Diseñar tu plataforma para admitir varios tokens de acceso y actualización sin vencer puede minimizar las condiciones de carrera presentes en los intercambios cliente-servidor entre entornos agrupados, evitar interrupciones del usuario y minimizar los casos complejos de sincronización y manejo de errores. Si bien, en última instancia, son coherentes, es posible que los tokens sin vencer anteriores y los emitidos recientemente estén en uso durante un período breve durante el intercambio de renovación de tokens entre el cliente y el servidor y antes de la sincronización del clúster. Por ejemplo, una solicitud de Google a tu servicio que usa el token de acceso anterior sin vencer se produce justo después de que emites un token de acceso nuevo, pero antes de que se produzca la recepción y la sincronización del clúster en Google. Se recomiendan medidas de seguridad alternativas para la actualización de la rotación de tokens.
Otros eventos
Las cuentas se pueden desvincular por varios otros motivos, como inactividad, suspensión, comportamiento malicioso, etcétera. En esas situaciones, tu plataforma y Google pueden administrar mejor las cuentas de usuario y volver a vincularlas mediante notificaciones mutuas sobre los cambios en el estado de la cuenta y del vínculo.
Implementa un extremo de revocación de tokens para que Google llame y notifícalo con RISC sobre tus eventos de revocación de tokens para garantizar que tu plataforma y Google mantengan un estado coherente de vinculación de la cuenta de usuario.
Extremo de revocación del token
如果您支持 OAuth 2.0 令牌撤消端点, 您的平台可以接收来自 Google 的通知这样,您就可以告知用户 链接状态更改、使令牌失效,以及清理安全凭据和 授权。
请求的格式如下:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
您的令牌撤消端点必须能够处理以下参数:
| 撤消端点参数 | |
|---|---|
client_id |
用于将请求来源标识为 Google 的字符串。此字符串必须 在您的系统中注册为 Google 的唯一标识符。 |
client_secret |
您在 Google 中为您的服务注册的密钥字符串。 |
token |
要撤消的令牌。 |
token_type_hint |
(可选)要撤消的令牌的类型,可以是
access_token 或 refresh_token。如果未指定,则默认为 access_token。 |
在令牌被删除或无效时返回响应。请参阅以下内容: 示例:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
如果由于任何原因导致令牌无法删除,则返回 503 响应代码。 如以下示例中所示:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google 稍后或按照 Retry-After 的请求重试请求。
Protección integral de la cuenta (RISC)
Si admites la Protección integral de la cuenta, tu plataforma puede notificar a Google cuando se revocan los tokens de acceso o actualización. Esto permite a Google informar a los usuarios sobre los cambios de estado del vínculo, la invalidación del token, la limpieza de las credenciales de seguridad y otorgamientos de autorización.
La Protección integral de la cuenta se basa en estándar RISC desarrollado en la OpenID Foundation.
Un token de evento de seguridad se usa para notificar a Google sobre la revocación de tokens.
Cuando se decodifica, un evento de revocación de token se parece al siguiente ejemplo:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Los tokens de eventos de seguridad que utilizas para notificar a Google sobre eventos de revocación de tokens deben cumplir con los requisitos de la siguiente tabla:
| Eventos de revocación de tokens | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Reclamo de la entidad emisora: Esta es una URL que alojas y se comparte con ella. a Google durante el registro. | ||||||||||
aud |
Reclamo de público: Identifica a Google como el destinatario de JWT. Integra
se debe establecer en google_account_linking. |
||||||||||
jti |
Reclamo de ID de JWT: es un ID único que generas para cada token de evento de seguridad. | ||||||||||
iat |
Emitido en el momento del reclamo: Este es un valor de NumericDate
que representa el momento en que se creó el token de evento de seguridad. |
||||||||||
toe |
Fecha y hora del evento: Esta es una opción opcional
NumericDate que representa la hora a la que se
se revocó el token. |
||||||||||
exp |
Reclamación de la hora de vencimiento: No incluyas este campo, dado que ya se realizó el evento que generó esta notificación. | ||||||||||
events |
|
||||||||||
Para obtener más información sobre los tipos y formatos de campo, consulta Token web JSON (JWT).