Bağlantı kaldırma işlemi platformunuzdan veya Google'dan başlatılabilir. Her ikisinde de tutarlı bir bağlantı durumunun gösterilmesi en iyi kullanıcı deneyimini sağlar. Google Hesabı Bağlantısı için jeton iptali uç noktası veya Hesaplar Arası Koruma desteği isteğe bağlıdır.
Hesapların bağlantısı aşağıdakilerden herhangi biriyle kaldırılabilir:
- kullanıcısından gelen istek
- bir Google uygulaması veya Google Hesabı ayarları
- Platformunuz
- Süresi dolmuş bir yenileme jetonunun yenilenememesi
- Sizin veya Google'ın başlattığı diğer etkinlikler. Örneğin, kötüye kullanım ve tehdit algılama hizmetleri tarafından hesabın askıya alınması.
Kullanıcı, Google ile bağlantının kaldırılmasını istedi
Kullanıcının Google Hesabı veya uygulaması üzerinden başlatılan hesap bağlantısını kaldırma işlemi, daha önce verilen tüm erişim ve yenileme jetonlarını siler, kullanıcı iznini kaldırır ve isteğe bağlı olarak, jeton iptali uç noktanızı (bir uç nokta uygulamayı seçtiyseniz) çağırır.
Kullanıcı, platformunuzla bağlantının kaldırılmasını istedi
Kullanıcılara bağlantıyı kaldırma mekanizması (ör. hesaplarının URL'si) sağlamanız gerekir. Kullanıcılara bağlantıyı kaldırma seçeneği sunmuyorsanız Google Hesabı'na bir bağlantı ekleyin. Böylece kullanıcılar bağlı hesaplarını yönetebilir.
Risk ve Olay Paylaşımı ve İşbirliği'ni (RISC) uygulamayı ve kullanıcı hesabı bağlantı durumundaki değişiklikleri Google'a bildirmeyi seçebilirsiniz. Bu sayede, bağlantı durumunu güncellemek için yenileme veya erişim jetonu isteğine güvenmeye gerek kalmadan hem platformunuzun hem de Google'ın güncel ve tutarlı bir bağlantı durumu gösterdiği gelişmiş bir kullanıcı deneyimi sağlanır.
Jetonun son kullanma tarihi
Google, sorunsuz bir kullanıcı deneyimi sağlamak ve hizmet kesintisini önlemek için yenileme jetonlarını kullanım ömürlerinin sonuna doğru yenilemeye çalışır. Bazı senaryolarda, geçerli bir yenileme jetonu kullanılamadığında hesapların yeniden bağlanması için kullanıcı izni gerekebilir.
Platformunuzu, süresi dolmamış birden fazla erişim ve yenileme jetonunu destekleyecek şekilde tasarlamak, kümelenmiş ortamlar arasındaki istemci-sunucu değişimlerinde bulunan yarış durumlarını en aza indirebilir, kullanıcı kesintilerini önleyebilir ve karmaşık zamanlama ile hata işleme senaryolarını en aza indirebilir. Sonunda tutarlı hale gelecek olsa da istemci-sunucu jeton yenileme değişimi sırasında ve küme senkronizasyonundan önce, hem önceki hem de yeni verilen ve süresi dolmamış jetonlar kısa bir süre için kullanılabilir. Örneğin, süresi dolmamış önceki erişim jetonunu kullanan hizmetinize yönelik bir Google isteği, yeni bir erişim jetonu yayınlamanızdan hemen sonra ancak Google'da makbuz ve küme senkronizasyonu gerçekleşmeden önce gönderilir. Yenileme jetonu döndürme için alternatif güvenlik önlemleri önerilir.
Diğer etkinlikler
Hesapların bağlantısı, hareketsizlik, askıya alınma, kötü amaçlı davranış gibi çeşitli nedenlerle de kaldırılabilir. Bu gibi senaryolarda platformunuz ve Google, hesap ve bağlantı durumundaki değişiklikleri birbirine bildirerek kullanıcı hesaplarını ve yeniden bağlantı oluşturma işlemlerini en iyi şekilde yönetebilir.
Google'ın çağırabileceği bir jeton iptali uç noktası uygulayın ve platformunuz ile Google'ın tutarlı bir kullanıcı hesabı bağlantı durumu sürdürmesini sağlamak için RISC'yi kullanarak Google'ı jeton iptali etkinliklerinizden haberdar edin.
Jeton iptali uç noktası
OAuth 2.0 jeton iptali uç noktasını destekliyorsanız platformunuz Google'dan bildirim alabilir. Bu sayede, kullanıcıları bağlantı durumu değişiklikleri hakkında bilgilendirebilir, bir jetonu geçersiz kılabilir ve güvenlik kimlik bilgilerini ve yetkilendirme izinlerini temizleyebilirsiniz.
İstek aşağıdaki biçimde olur:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Jeton iptali uç noktanız aşağıdaki parametreleri işleyebilmelidir:
| İptal uç noktası parametreleri | |
|---|---|
client_id |
İstek kaynağını Google olarak tanımlayan bir dize. Bu dize, sisteminizde Google'ın benzersiz tanımlayıcısı olarak kaydedilmelidir. |
client_secret |
Hizmetiniz için Google'a kaydettirdiğiniz gizli dize. |
token |
İptal edilecek jeton. |
token_type_hint |
(İsteğe bağlı) İptal edilen jetonun türü, access_token veya refresh_token. Belirtilmezse,
varsayılan olarak access_token olur. |
Jeton silindiğinde veya geçersiz olduğunda yanıt döndürün. Örnek için aşağıdakilere bakın:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Jeton herhangi bir nedenle silinemiyorsa aşağıdaki örnekte gösterildiği gibi 503 yanıt kodu döndürün:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google, isteği daha sonra veya Retry-After tarafından talep edildiği şekilde yeniden dener.
Hesaplar Arası Koruma (RISC)
Hesaplar Arası Koruma'yı destekliyorsanız platformunuz aşağıdaki durumlarda Google'ı bilgilendirebilir: erişim veya yenileme jetonları iptal edilir. Bu sayede Google, kullanıcıları bağlantı durumu değişiklikleri, jetonu geçersiz kılma, güvenlik kimlik bilgilerini temizleme ve izin verir.
Hesaplar Arası Koruma, Bu tarihte geliştirilen RISC standardı Kimlik Doğrulama Vakfı hakkında daha fazla bilgi edinin.
Güvenlik Etkinliği Jetonu , erişim kodu iptalini Google'a bildirmek için kullanılır.
Kodu çözüldüğünde bir jeton iptal etkinliği aşağıdaki örnekteki gibi görünür:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Jeton iptali etkinliklerini Google'a bildirmek için kullandığınız Güvenlik Etkinliği Jetonları aşağıdaki tabloda belirtilen şartlara uymalıdır:
| Jeton iptali etkinlikleri | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Düzenleyenin Hak Talebi: Bu, sizin barındırdığınız ve paylaşıldığı bir URL'dir Google'a bildirmeleri gerekir. | ||||||||||
aud |
Kitle Hak Talebi: Bu, Google'ı JWT alıcısı olarak tanımlar. Google
google_account_linking olarak ayarlanmalıdır. |
||||||||||
jti |
JWT Kimlik Hak Talebi: Bu, her kimlik için oluşturduğunuz benzersiz bir kimliktir güvenlik etkinliği jetonu. | ||||||||||
iat |
Hak Talebinde Gönderildi: Bu, NumericDate bir değerdir
bu güvenlik etkinliği jetonunun oluşturulduğu zamanı temsil eder. |
||||||||||
toe |
Etkinlik Hak Talebinin Zamanı: İsteğe bağlıdır.
zamanı temsil eden NumericDate değeri
Jeton iptal edildi. |
||||||||||
exp |
Geçerlilik Bitiş Tarihiyle İlgili Hak Talebi: Bu alanı dahil etmeyin. bu bildirime neden olan etkinlik zaten gerçekleşmiş olduğundan | ||||||||||
events |
|
||||||||||
Alan türleri ve biçimleri hakkında daha fazla bilgi için JSON Web Jetonu (JWT).