يمكن بدء عملية إلغاء الربط من منصتك أو من Google، ويوفّر عرض حالة ربط متسقة على كليهما أفضل تجربة للمستخدم. إنّ توفير نقطة نهاية لإبطال الرمز المميز أو ميزة "حماية عابرة للحساب" هو أمر اختياري عند ربط حساب Google.
يمكن إلغاء ربط الحسابات من خلال أيّ مما يلي:
- طلب المستخدم من
- إعدادات أحد تطبيقات Google أو حساب Google
- منصتك
- تعذُّر تجديد الرمز المميز لإعادة التحميل منتهي الصلاحية
- الأحداث الأخرى التي بدأتها أنت أو Google على سبيل المثال، تعليق الحساب من خلال خدمات رصد إساءة الاستخدام والتهديدات.
طلب المستخدم إلغاء الربط بحساب Google
يؤدي إلغاء ربط الحساب الذي يتم من خلال حساب المستخدم على Google أو التطبيق إلى حذف أي رموز مميّزة للوصول والتحديث تم إصدارها سابقًا، وإزالة موافقة المستخدم، كما يؤدي اختياريًا إلى استدعاء نقطة نهاية إلغاء الرمز المميّز إذا اخترت تنفيذها.
طلب المستخدم إلغاء الربط بمنصتك
يجب توفير آلية للمستخدمين لإلغاء الربط، مثل عنوان URL لحساباتهم. إذا لم توفّر طريقة للمستخدمين لإلغاء الربط، عليك تضمين رابط يؤدي إلى حساب Google ليتمكّن المستخدمون من إدارة حسابهم المرتبط.
يمكنك اختيار تنفيذ ميزة "مشاركة المخاطر والحوادث والتعاون" (RISC) وإبلاغ Google بالتغييرات التي تطرأ على حالة ربط حسابات المستخدمين. يتيح ذلك تقديم تجربة محسّنة للمستخدمين، حيث تعرض منصتك وGoogle حالة ربط حالية ومتسقة بدون الحاجة إلى الاعتماد على طلب إعادة تحميل أو رمز مميّز للوصول من أجل تعديل حالة الربط.
انتهاء صلاحية الرمز المميز
لتقديم تجربة سلسة للمستخدم وتجنُّب انقطاع الخدمة، تحاول Google تجديد رموز الدخول المميزة بالقرب من نهاية مدة صلاحيتها. في بعض الحالات، قد تكون موافقة المستخدم مطلوبة لإعادة ربط الحسابات عندما لا يتوفّر رمز مميز صالح لإعادة التحميل.
يمكن أن يؤدي تصميم منصتك لتتوافق مع رموز مميّزة متعددة غير منتهية الصلاحية للوصول والتحديث إلى تقليل حالات التزامن التي تحدث في عمليات التبادل بين العميل والخادم في البيئات المجمّعة، وتجنُّب تعطُّل المستخدم، وتقليل سيناريوهات التوقيت المعقّد ومعالجة الأخطاء. على الرغم من أنّها متسقة في النهاية، قد يتم استخدام الرموز المميزة السابقة والرموز المميزة الجديدة غير المنتهية الصلاحية لفترة قصيرة من الوقت أثناء عملية تبادل تجديد الرمز المميز بين العميل والخادم وقبل مزامنة المجموعة. على سبيل المثال، يحدث طلب من Google إلى خدمتك يستخدم رمز الدخول السابق الذي لم تنتهِ صلاحيته مباشرةً بعد إصدار رمز دخول جديد، ولكن قبل أن تتلقّى Google الرمز وتتم مزامنة المجموعة. ننصحك باستخدام إجراءات أمان بديلة بدلاً من تدوير الرموز المميزة لإعادة التحميل.
الأحداث الأخرى
يمكن إلغاء ربط الحسابات لأسباب أخرى مختلفة، مثل عدم النشاط أو التعليق أو السلوك الضار وما إلى ذلك. في مثل هذه السيناريوهات، يمكن لمنصتك وGoogle إدارة حسابات المستخدمين وإعادة الربط على أفضل وجه من خلال إعلام بعضكما البعض بالتغييرات التي تطرأ على حالة الحساب والربط.
عليك تنفيذ نقطة نهاية لإبطال الرموز المميزة كي تتمكّن Google من طلبها، وإعلام Google بأحداث إبطال الرموز المميزة باستخدام RISC لضمان الحفاظ على حالة ربط حساب المستخدم متسقة بين منصتك وGoogle.
نقطة نهاية إبطال الرمز المميز
If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.
The request has the following form:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Your token revocation endpoint must be able to handle the following parameters:
| Revocation endpoint parameters | |
|---|---|
client_id |
A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier. |
client_secret |
A secret string that you registered with Google for your service. |
token |
The token to be revoked. |
token_type_hint |
(Optional) The type of token being revoked, either an
access_token or refresh_token. If unspecified,
defaults to access_token. |
Return a response when the token is deleted or invalid. See the following for an example:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google retries the request later or as requested by Retry-After.
الحماية العابرة للحساب (RISC)
If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.
Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.
A Security Event Token is used to notify Google of token revocation.
When decoded, a token revocation event looks like the following example:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:
| Token revocation events | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim: This is a URL which you host, and it's shared with Google during registration. | ||||||||||
aud |
Audience Claim: This identifies Google as the JWT recipient. It
must be set to google_account_linking. |
||||||||||
jti |
JWT ID Claim: This is a unique ID that you generate for every security event token. | ||||||||||
iat |
Issued At Claim: This is a NumericDate value
that represents the time when this security event token was created. |
||||||||||
toe |
Time of Event Claim: This is an optional
NumericDate value that represents the time at which the
token was revoked. |
||||||||||
exp |
Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place. | ||||||||||
events |
|
||||||||||
For more information on field types and formats, see JSON Web Token (JWT).