Ta strona została przetłumaczona przez Cloud Translation API.

Rozłączanie kont

Odłączenie można rozpocząć z poziomu Twojej platformy lub Google. Wyświetlanie spójnego stanu połączenia w obu usługach zwiększy wygodę użytkowników. W przypadku łączenia kont Google obsługa punktu końcowego unieważnienia tokena i Ochrony wszystkich kont są opcjonalne.

Konta mogą zostać rozłączone z następujących powodów:

Prośba użytkownika
- aplikacji Google lub konta Google.
- Twoja platforma
Nie udało się odnowić wygasłego tokena odświeżania
Inne zdarzenia zainicjowane przez Ciebie lub Google. Dotyczy to na przykład zawieszenia konta przez usługi wykrywania nadużyć i zagrożeń.

Użytkownik poprosił o odłączenie od Google

Odłączenie konta zainicjowane przez konto Google lub aplikację użytkownika powoduje usunięcie wszystkich wcześniej wydanych tokenów dostępu i odświeżania, anulowanie zgody użytkownika oraz opcjonalne wywołanie punktu końcowego odwoływania tokenów, jeśli został on zaimplementowany.

Użytkownik poprosił o odłączenie od Twojej platformy

Musisz udostępnić użytkownikom mechanizm umożliwiający odłączenie konta, np. adres URL do konta. Jeśli nie oferujesz możliwości odłączenia konta, dodaj link do konta Google, aby użytkownicy mogli zarządzać połączonym kontem.

Możesz wdrożyć system udostępniania informacji o ryzykach i incydentach (RISC) oraz powiadomić Google o zmianach w stanie powiązania konta użytkownika. Dzięki temu użytkownicy będą mieć lepszy dostęp do informacji, ponieważ zarówno Twoja platforma, jak i Google będą wyświetlać aktualny i spójny stan połączenia bez konieczności odświeżania lub wysyłania żądania tokena dostępu w celu zaktualizowania stanu połączenia.

Wygaśnięcie tokenu

Aby zapewnić użytkownikom płynne działanie i uniknąć przerw w działaniu usługi, Google stara się odnawiać tokeny odświeżania pod koniec ich ważności. W niektórych przypadkach, gdy prawidłowy token odświeżania jest niedostępny, może być wymagana zgoda użytkownika na ponowne połączenie kont.

Zaprojektowanie platformy w sposób umożliwiający obsługę wielu niewygasłych tokenów dostępu i odświeżania może zminimalizować warunki wyścigu występujące w wymianie między klientem a serwerem w środowiskach klastrowych, uniknąć zakłóceń dla użytkowników oraz zminimalizować złożone scenariusze dotyczące czasu i obsługi błędów. Chociaż ostatecznie zgodność jest zachowana, zarówno wcześniejsze, jak i nowo wydane niewygasłe tokeny mogą być używane przez krótki czas podczas wymiany tokenów między klientem a serwerem i przed synchronizacją klastra. Na przykład żądanie Google do Twojej usługi, które używa poprzedniego niewygasłego tokena dostępu, jest wysyłane tuż po wygenerowaniu nowego tokena dostępu, ale przed otrzymaniem tokena i synchronizacją klastrów w Google. Zalecamy stosowanie alternatywnych środków bezpieczeństwa zamiast rotacji tokenów odświeżania.

Inne zdarzenia

Konta mogą być odłączone z różnych innych powodów, takich jak brak aktywności, zawieszenie, złośliwe działanie itp. W takich sytuacjach Twoja platforma i Google mogą najlepiej zarządzać kontami użytkowników i ponownie łączyć konta, powiadamiając siebie o zmianach stanu konta i połączenia.

Wdrożyć punkt końcowy unieważniania tokena, który Google może wywołać, oraz powiadomić Google o zdarzeniach unieważniania tokena za pomocą RISC, aby zapewnić spójność stanu linkowania kont użytkowników na platformie i w Google.

Punkt końcowy unieważnienia tokena

If you support an OAuth 2.0 token revocation endpoint, your platform can receive notifications from Google. This lets you inform users of link state changes, invalidate a token, and cleanup security credentials and authorization grants.

The request has the following form:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Your token revocation endpoint must be able to handle the following parameters:

Revocation endpoint parameters
`client_id`	A string that identifies the request origin as Google. This string must be registered within your system as Google's unique identifier.
`client_secret`	A secret string that you registered with Google for your service.
`token`	The token to be revoked.
`token_type_hint`	(Optional) The type of token being revoked, either an `access_token` or `refresh_token`. If unspecified, defaults to `access_token`.

Return a response when the token is deleted or invalid. See the following for an example:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

If the token can't be deleted for any reason, return a 503 response code, as shown in the following example:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google retries the request later or as requested by Retry-After.

Ochrona wszystkich kont (RISC)

Jeśli obsługujesz Ochronę wszystkich kont, Twoja platforma może powiadamiać Google, gdy: tokeny dostępu lub odświeżania zostaną unieważnione. Dzięki temu Google może informować użytkowników zmiany stanu połączenia, unieważnienie tokena, wyczyszczenie danych uwierzytelniających autoryzacji.

Ochrona wszystkich kont opiera się na standard RISC opracowany w OpenID Foundation.

tokena zdarzenia związanego z bezpieczeństwem. jest używany do powiadamiania Google o unieważnieniu tokena.

Po zdekodowaniu zdarzenie unieważnienia tokena wygląda tak:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

Tokeny zdarzeń związanych z bezpieczeństwem używane do powiadamiania Google o zdarzeniach unieważnienia tokenów. musi spełniać wymagania tej tabeli:

Zdarzenia unieważnienia tokena

iss Issuer Claim (Roszczenie wydawcy): adres URL, który hostujesz i udostępniasz: Google podczas rejestracji.

aud Deklaracja odbiorców: identyfikuje Google jako odbiorcę JWT. it musi mieć wartość google_account_linking.

jti Deklaracja identyfikatora JWT:unikalny identyfikator generowany przez Ciebie dla każdego token zdarzenia dotyczącego bezpieczeństwa.

iat Issued at Claim (Wystawiono przy ostrzeżeniu): to jest wartość NumericDate. , który reprezentuje czas utworzenia tego tokena zdarzenia związanego z bezpieczeństwem.

toe Time of Event Claim (Czas zgłoszenia wydarzenia): pole jest opcjonalne. NumericDate, która reprezentuje moment Token został unieważniony.

exp Roszczenie dotyczące czasu wygaśnięcia: nie uwzględniaj tego pola. , bo zdarzenie, które spowodowało to powiadomienie, już miało miejsce.

events

Żądanie zdarzeń związanych z bezpieczeństwem: jest to obiekt JSON. może zawierać tylko jedno zdarzenie unieważnienia tokena.
`subject_type`	Należy ustawić wartość `oauth_token`.
`token_type`	Jest to typ unieważniania tokena: `access_token` lub `refresh_token`.
`token_identifier_alg`	To algorytm używany do kodowania tokena i musi być `hash_SHA512_double`
`token`	Jest to identyfikator unieważnionego tokena.

Więcej informacji o typach i formatach pól znajdziesz w artykule Token internetowy JSON (JWT).