ביטול קישור של חשבונות

ביטול הקישור יכול להתבצע מהפלטפורמה או מ-Google, והתצוגה של מצב הקישור עקבי בשתי הפלטפורמות מספקת את חוויית המשתמש הטובה ביותר. התמיכה בנקודת קצה לביטול אסימון או בהגנה על כל החשבונות היא אופציונלית בקישור לחשבון Google.

הקישור של החשבונות יכול להתבטל בגלל אחת מהסיבות הבאות:

  • בקשה של משתמש מ-
    • אפליקציה של Google או הגדרות של חשבון Google
    • הפלטפורמה שלכם
  • החידוש של אסימון רענון נכשל
  • אירועים אחרים שהתרחשו מיוזמתכם או מיוזמת Google. לדוגמה, השעיית חשבון על ידי שירותים לזיהוי איומים ושימוש לרעה.

המשתמש ביקש לבטל את הקישור ל-Google

ביטול הקישור של חשבון שמופעל דרך חשבון Google או אפליקציה של משתמש מוחק את כל אסימוני הגישה והרענון שהונפקו בעבר, מסיר את הסכמת המשתמשים. אם בחרתם להטמיע את נקודת הקצה (endpoint) של ביטול האסימון, תוכלו להפעיל את נקודת הקצה (endpoint) של ביטול האסימון.

המשתמש ביקש לבטל את הקישור לפלטפורמה שלך

עליכם לספק למשתמשים מנגנון לביטול הקישור, כמו כתובת URL לחשבון שלהם. אם אין למשתמשים אפשרות לבטל את הקישור, צריך לכלול קישור לחשבון Google כדי שהמשתמשים יוכלו לנהל את החשבון המקושר שלהם.

אתם יכולים להטמיע את התוכנית 'שיתוף אירועים ואירועי סיכון ושיתוף פעולה (RISC)' ולהודיע ל-Google על שינויים בסטטוס הקישור של חשבונות המשתמשים. כך תשפרו את חוויית המשתמש, שבה הפלטפורמה ו-Google יציגו סטטוס קישור עדכני ועקבי, בלי שתצטרכו להסתמך על בקשה לרענון או לבקשת אסימון גישה כדי לעדכן את מצב הקישור.

תפוגת האסימון

כדי לספק חוויית משתמש חלקה ולמנוע שיבושים בשירות, Google מנסה לחדש אסימוני רענון לקראת סוף משך החיים שלהם. בתרחישים מסוימים, יכול להיות שתצטרכו לקבל הסכמה מהמשתמשים כדי לקשר מחדש את החשבונות כשאסימון הרענון תקף לא זמין.

תכנון הפלטפורמה כך שתתמוך במספר אסימוני גישה ואסימוני רענון שתקפים יכול לצמצם את תנאי מרוץ (race conditions) שקיימים בחילופי נתונים בין שרת ללקוח בין סביבות מקובצות, למנוע הפרעה למשתמשים ולצמצם תרחישים מורכבים של תזמון וטיפול בשגיאות. למרות שבסופו של דבר, האסימונים החדשים והקודמים שהונפקו עשויים להיות בשימוש לפרק זמן קצר, במהלך המרת החידוש של אסימון שרת הלקוח ולפני סנכרון האשכול. לדוגמה, בקשה של Google לשירות שלכם שמשתמשת באסימון הגישה הקודם שעדיין בתוקף מתרחשת מיד אחרי שתנפיקו אסימון גישה חדש, אבל לפני שהיא מתקבלת ב-Google ומתבצעת סנכרון האשכולות. מומלץ להשתמש באמצעי אבטחה חלופיים לרוטציית אסימונים לרענון.

אירועים אחרים

יכולות להיות סיבות נוספות לביטול הקישור בין החשבונות, כמו חוסר פעילות, השעיה, התנהגות זדונית וכו'. בתרחישים כאלה, הפלטפורמה שלכם ו-Google יכולות לנהל את חשבונות המשתמשים ולקשר אותם מחדש בצורה הטובה ביותר על ידי שליחת התראות זו לזו על שינויים בחשבון ובמצב הקישור.

צריך להטמיע נקודת קצה לביטול אסימון ש-Google תוכל להפעיל כדי להודיע ל-Google על אירועי ביטול האסימון באמצעות RISC כדי להבטיח שהפלטפורמה ו-Google ימשיכו לשמור על מצב קישור עקבי של חשבון המשתמש.

נקודת הקצה לביטול הטוקן

If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.

The request has the following form:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Your token revocation endpoint must be able to handle the following parameters:

Revocation endpoint parameters
client_id A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier.
client_secret A secret string that you registered with Google for your service.
token The token to be revoked.
token_type_hint (Optional) The type of token being revoked, either an access_token or refresh_token. If unspecified, defaults to access_token.

Return a response when the token is deleted or invalid. See the following for an example:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google retries the request later or as requested by Retry-After.

הגנה על כל החשבונות (RISC)

אם יש תמיכה בהגנה על כל החשבונות, הפלטפורמה יכולה להודיע ל-Google אסימוני גישה או רענון מבוטלים. המצב הזה מאפשר ל-Google להודיע למשתמשים על שינויים במצב הקישור, ביטול התוקף של האסימון, ניקוי פרטי כניסה מאובטחים להעניק הרשאה.

ההגנה על כל החשבונות מבוססת על תקן RISC שפיתחנו בסיס OpenID.

אסימון של אירוע אבטחה משמש כדי להודיע ל-Google על ביטול האסימון.

אחרי הפענוח, אירוע של ביטול אסימון ייראה כמו בדוגמה הבאה:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

אסימונים לאירועי אבטחה שבהם משתמשים כדי להודיע ל-Google על אירועים של ביטול אסימונים חייבות לעמוד בדרישות שבטבלה הבאה:

אירועי ביטול אסימונים
iss תלונה על ידי המנפיק: זו כתובת ה-URL שאתם מארחים, והיא משותפת איתה Google במהלך הרישום.
aud תביעת בעלות על קהל: מזהה את Google בתור הנמען של ה-JWT. הוא חייב להיות מוגדר ל-google_account_linking.
jti הצהרת בעלות על מזהה JWT: זהו מזהה ייחודי שאתם יוצרים לכל אסימון של אירוע אבטחה.
iat נרשמה במסגרת התלונה: זהו ערך מסוג NumericDate שמייצג את השעה שבה נוצר האסימון של אירוע אבטחה.
toe מועד התלונה על האירוע: האפשרות הזו אופציונלית ערך של NumericDate שמייצג את השעה שבה האסימון בוטל.
exp תלונה עם מועד תפוגה: אל תכללו את השדה הזה, כי האירוע שהוביל להודעה הזו כבר התרחש.
events
הצהרה לגבי אירועי אבטחה: זהו אובייקט JSON, חייב לכלול רק אירוע ביטול של אסימון אחד.
subject_type הערך הזה צריך להיות oauth_token.
token_type זהו סוג האסימון שמתבטל, access_token או refresh_token.
token_identifier_alg זהו האלגוריתם שמשמש לקידוד האסימון, והוא חייב להיות hash_SHA512_double
token זהו המזהה של האסימון שבוטל.

למידע נוסף על סוגים ופורמטים של שדות, אפשר לעיין במאמר JSON Web Token (JWT).