Odłączenie można rozpocząć z poziomu Twojej platformy lub Google. Wyświetlanie spójnego stanu połączenia w obu usługach zwiększy wygodę użytkowników. W przypadku łączenia kont Google obsługa punktu końcowego unieważnienia tokena i Ochrony wszystkich kont są opcjonalne.
Konta mogą zostać rozłączone z następujących powodów:
- Prośba użytkownika
- aplikacji Google lub konta Google.
- Twoja platforma
- Nie udało się odnowić wygasłego tokena odświeżania
- Inne zdarzenia zainicjowane przez Ciebie lub Google. Dotyczy to na przykład zawieszenia konta przez usługi wykrywania nadużyć i zagrożeń.
Użytkownik poprosił o odłączenie od Google
Odłączenie konta zainicjowane przez konto Google lub aplikację użytkownika powoduje usunięcie wszystkich wcześniej wydanych tokenów dostępu i odświeżania, anulowanie zgody użytkownika oraz opcjonalne wywołanie punktu końcowego odwoływania tokenów, jeśli został on zaimplementowany.
Użytkownik poprosił o odłączenie od Twojej platformy
Musisz udostępnić użytkownikom mechanizm umożliwiający odłączenie konta, np. adres URL do konta. Jeśli nie oferujesz możliwości odłączenia konta, dodaj link do konta Google, aby użytkownicy mogli zarządzać połączonym kontem.
Możesz wdrożyć system udostępniania informacji o ryzykach i incydentach (RISC) oraz powiadomić Google o zmianach w stanie powiązania konta użytkownika. Dzięki temu użytkownicy będą mieć lepszy dostęp do informacji, ponieważ zarówno Twoja platforma, jak i Google będą wyświetlać aktualny i spójny stan połączenia bez konieczności odświeżania lub wysyłania żądania tokena dostępu w celu zaktualizowania stanu połączenia.
Wygaśnięcie tokenu
Aby zapewnić użytkownikom płynne działanie i uniknąć przerw w działaniu usługi, Google stara się odnawiać tokeny odświeżania pod koniec ich ważności. W niektórych przypadkach, gdy prawidłowy token odświeżania jest niedostępny, może być wymagana zgoda użytkownika na ponowne połączenie kont.
Zaprojektowanie platformy w sposób umożliwiający obsługę wielu niewygasłych tokenów dostępu i odświeżania może zminimalizować warunki wyścigu występujące w wymianie między klientem a serwerem w środowiskach klastrowych, uniknąć zakłóceń dla użytkowników oraz zminimalizować złożone scenariusze dotyczące czasu i obsługi błędów. Chociaż ostatecznie zgodność jest zachowana, zarówno wcześniejsze, jak i nowo wydane niewygasłe tokeny mogą być używane przez krótki czas podczas wymiany tokenów między klientem a serwerem i przed synchronizacją klastra. Na przykład żądanie Google do Twojej usługi, które używa poprzedniego niewygasłego tokena dostępu, jest wysyłane tuż po wygenerowaniu nowego tokena dostępu, ale przed otrzymaniem tokena i synchronizacją klastrów w Google. Zalecamy stosowanie alternatywnych środków bezpieczeństwa zamiast rotacji tokenów odświeżania.
Inne zdarzenia
Konta mogą być odłączone z różnych innych powodów, takich jak brak aktywności, zawieszenie, złośliwe działanie itp. W takich sytuacjach Twoja platforma i Google mogą najlepiej zarządzać kontami użytkowników i ponownie łączyć konta, powiadamiając siebie o zmianach stanu konta i połączenia.
Wdrożyć punkt końcowy unieważniania tokena, który Google może wywołać, oraz powiadomić Google o zdarzeniach unieważniania tokena za pomocą RISC, aby zapewnić spójność stanu linkowania kont użytkowników na platformie i w Google.
Punkt końcowy unieważnienia tokena
Jeśli obsługujesz OAuth 2.0 punkt końcowy unieważnienia tokena, Twoja platforma może otrzymywać powiadomienia od Google. Dzięki temu użytkownicy zmian stanu linków, unieważnienia tokena i czyszczenia danych uwierzytelniających autoryzacji.
Prośba ma taki format:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Punkt końcowy unieważnienia tokena musi obsługiwać te parametry:
| Parametry punktu końcowego unieważnienia | |
|---|---|
client_id |
Ciąg tekstowy identyfikujący źródło żądania jako Google. Ten ciąg musi: być zarejestrowany w Twoim systemie jako unikalny identyfikator Google. |
client_secret |
Tajny ciąg znaków zarejestrowany w Google w przypadku Twojej usługi. |
token |
Token, który ma zostać unieważniony. |
token_type_hint |
(Opcjonalnie) Typ unieważnianego tokena:
access_token lub refresh_token. Jeśli nie podasz tu żadnej wartości, zostanie użyta wartość domyślna access_token. |
Zwracaj odpowiedź, gdy token zostanie usunięty lub nieprawidłowy. Zobacz poniższe informacje dotyczące przykład:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Jeśli z jakiegokolwiek powodu nie można usunąć tokena, należy zwrócić kod odpowiedzi 503, jak w tym przykładzie:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google ponawia próbę później lub na żądanie użytkownika Retry-After.
Ochrona wszystkich kont (RISC)
Jeśli obsługujesz Ochronę wszystkich kont, Twoja platforma może powiadamiać Google, gdy: tokeny dostępu lub odświeżania zostaną unieważnione. Dzięki temu Google może informować użytkowników zmiany stanu połączenia, unieważnienie tokena, wyczyszczenie danych uwierzytelniających autoryzacji.
Ochrona wszystkich kont opiera się na standard RISC opracowany w OpenID Foundation.
tokena zdarzenia związanego z bezpieczeństwem. jest używany do powiadamiania Google o unieważnieniu tokena.
Po zdekodowaniu zdarzenie unieważnienia tokena wygląda tak:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Tokeny zdarzeń związanych z bezpieczeństwem używane do powiadamiania Google o zdarzeniach unieważnienia tokenów. musi spełniać wymagania tej tabeli:
| Zdarzenia unieważnienia tokena | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim (Roszczenie wydawcy): adres URL, który hostujesz i udostępniasz: Google podczas rejestracji. | ||||||||||
aud |
Deklaracja odbiorców: identyfikuje Google jako odbiorcę JWT. it
musi mieć wartość google_account_linking. |
||||||||||
jti |
Deklaracja identyfikatora JWT:unikalny identyfikator generowany przez Ciebie dla każdego token zdarzenia dotyczącego bezpieczeństwa. | ||||||||||
iat |
Issued at Claim (Wystawiono przy ostrzeżeniu): to jest wartość NumericDate.
, który reprezentuje czas utworzenia tego tokena zdarzenia związanego z bezpieczeństwem. |
||||||||||
toe |
Time of Event Claim (Czas zgłoszenia wydarzenia): pole jest opcjonalne.
NumericDate, która reprezentuje moment
Token został unieważniony. |
||||||||||
exp |
Roszczenie dotyczące czasu wygaśnięcia: nie uwzględniaj tego pola. , bo zdarzenie, które spowodowało to powiadomienie, już miało miejsce. | ||||||||||
events |
|
||||||||||
Więcej informacji o typach i formatach pól znajdziesz w artykule Token internetowy JSON (JWT).