Odłączenie można rozpocząć z poziomu Twojej platformy lub Google. Wyświetlanie spójnego stanu połączenia w obu usługach zwiększy wygodę użytkowników. W przypadku łączenia kont Google obsługa punktu końcowego unieważnienia tokena i Ochrony wszystkich kont są opcjonalne.
Konta mogą zostać rozłączone z następujących powodów:
- Prośba użytkownika
- aplikacji Google lub konta Google.
- Twoja platforma
- Nie udało się odnowić wygasłego tokena odświeżania
- Inne zdarzenia zainicjowane przez Ciebie lub Google. Dotyczy to na przykład zawieszenia konta przez usługi wykrywania nadużyć i zagrożeń.
Użytkownik poprosił o odłączenie od Google
Odłączenie konta zainicjowane przez konto Google lub aplikację użytkownika powoduje usunięcie wszystkich wcześniej wydanych tokenów dostępu i odświeżania, anulowanie zgody użytkownika oraz opcjonalne wywołanie punktu końcowego odwoływania tokenów, jeśli został on zaimplementowany.
Użytkownik poprosił o odłączenie od Twojej platformy
Musisz udostępnić użytkownikom mechanizm umożliwiający odłączenie konta, np. adres URL do konta. Jeśli nie oferujesz możliwości odłączenia konta, dodaj link do konta Google, aby użytkownicy mogli zarządzać połączonym kontem.
Możesz wdrożyć system udostępniania informacji o ryzykach i incydentach (RISC) oraz powiadomić Google o zmianach w stanie powiązania konta użytkownika. Dzięki temu użytkownicy będą mieć lepszy dostęp do informacji, ponieważ zarówno Twoja platforma, jak i Google będą wyświetlać aktualny i spójny stan połączenia bez konieczności odświeżania lub wysyłania żądania tokena dostępu w celu zaktualizowania stanu połączenia.
Wygaśnięcie tokenu
Aby zapewnić użytkownikom płynne działanie i uniknąć przerw w działaniu usługi, Google stara się odnawiać tokeny odświeżania pod koniec ich ważności. W niektórych przypadkach, gdy prawidłowy token odświeżania jest niedostępny, może być wymagana zgoda użytkownika na ponowne połączenie kont.
Zaprojektowanie platformy w sposób umożliwiający obsługę wielu niewygasłych tokenów dostępu i odświeżania może zminimalizować warunki wyścigu występujące w wymianie między klientem a serwerem w środowiskach klastrowych, uniknąć zakłóceń dla użytkowników oraz zminimalizować złożone scenariusze dotyczące czasu i obsługi błędów. Chociaż ostatecznie zgodność jest zachowana, zarówno wcześniejsze, jak i nowo wydane niewygasłe tokeny mogą być używane przez krótki czas podczas wymiany tokenów między klientem a serwerem i przed synchronizacją klastra. Na przykład żądanie Google do Twojej usługi, które używa poprzedniego niewygasłego tokena dostępu, jest wysyłane tuż po wygenerowaniu nowego tokena dostępu, ale przed otrzymaniem tokena i synchronizacją klastrów w Google. Zalecamy stosowanie alternatywnych środków bezpieczeństwa zamiast rotacji tokenów odświeżania.
Inne zdarzenia
Konta mogą być odłączone z różnych innych powodów, takich jak brak aktywności, zawieszenie, złośliwe działanie itp. W takich sytuacjach Twoja platforma i Google mogą najlepiej zarządzać kontami użytkowników i ponownie łączyć konta, powiadamiając siebie o zmianach stanu konta i połączenia.
Wdrożyć punkt końcowy unieważniania tokena, który Google może wywołać, oraz powiadomić Google o zdarzeniach unieważniania tokena za pomocą RISC, aby zapewnić spójność stanu linkowania kont użytkowników na platformie i w Google.
Punkt końcowy unieważnienia tokena
If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.
The request has the following form:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Your token revocation endpoint must be able to handle the following parameters:
| Revocation endpoint parameters | |
|---|---|
client_id |
A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier. |
client_secret |
A secret string that you registered with Google for your service. |
token |
The token to be revoked. |
token_type_hint |
(Optional) The type of token being revoked, either an
access_token or refresh_token. If unspecified,
defaults to access_token. |
Return a response when the token is deleted or invalid. See the following for an example:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google retries the request later or as requested by Retry-After.
Ochrona wszystkich kont (RISC)
If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.
Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.
A Security Event Token is used to notify Google of token revocation.
When decoded, a token revocation event looks like the following example:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:
| Token revocation events | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim: This is a URL which you host, and it's shared with Google during registration. | ||||||||||
aud |
Audience Claim: This identifies Google as the JWT recipient. It
must be set to google_account_linking. |
||||||||||
jti |
JWT ID Claim: This is a unique ID that you generate for every security event token. | ||||||||||
iat |
Issued At Claim: This is a NumericDate value
that represents the time when this security event token was created. |
||||||||||
toe |
Time of Event Claim: This is an optional
NumericDate value that represents the time at which the
token was revoked. |
||||||||||
exp |
Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place. | ||||||||||
events |
|
||||||||||
For more information on field types and formats, see JSON Web Token (JWT).