Révoquer des jetons d'ID

Présentation

Le consentement de l'utilisateur pour partager un jeton d'ID peut être révoqué.

Les utilisateurs qui se connectent pour la première fois sont invités à autoriser le partage des informations de profil de leur compte Google avec votre plate-forme.

Si l'utilisateur donne son consentement, un identifiant de jeton Web JSON (JWT) appelé jeton d'ID est partagé lorsque l'un des boutons de connexion avec Google, de connexion en un seul geste ou de connexion automatique est chargé.

Il est courant qu'un compte utilisateur soit créé sur votre plate-forme lors de l'inscription. Plus tard, un utilisateur peut choisir de supprimer son compte et de "dissocier" votre plate-forme de son compte Google, ce qui met fin au partage des jetons d'identification.

L'appel de la méthode de révocation nécessite que le propriétaire du compte Google donne à nouveau son consentement pour partager le jeton d'identification lors de sa prochaine visite sur votre site.

Méthodes de révocation

Google utilise une autorisation OAuth 2.0 pour gérer le consentement de l'utilisateur et le partage du jeton d'ID avec l'ID client de votre plate-forme. Révoquer le consentement empêche Google de partager le jeton d'ID lorsque la bibliothèque cliente est chargée par des pages de votre site.

Ces méthodes peuvent être utilisées pour révoquer le consentement,

  1. Les utilisateurs se connectent à leur compte Google, recherchent votre application dans les paramètres Applications tierces ayant accès au compte, puis sélectionnent Supprimer l'accès.
  2. Votre plate-forme appelle google.accounts.id.revoke.

L'exemple de code suivant montre comment utiliser la méthode revoke.

  google.accounts.id.revoke('user@google.com', done => {
    console.log('consent revoked');
  });