يمكن بدء عملية إلغاء الربط من منصتك أو من Google، ويوفّر عرض حالة ربط متسقة على كليهما أفضل تجربة للمستخدم. إنّ توفير نقطة نهاية لإبطال الرمز المميز أو ميزة "حماية عابرة للحساب" هو أمر اختياري عند ربط حساب Google.
يمكن إلغاء ربط الحسابات من خلال أيّ مما يلي:
- طلب المستخدم من
- إعدادات أحد تطبيقات Google أو حساب Google
- منصتك
- تعذُّر تجديد الرمز المميز لإعادة التحميل منتهي الصلاحية
- الأحداث الأخرى التي بدأتها أنت أو Google على سبيل المثال، تعليق الحساب من خلال خدمات رصد إساءة الاستخدام والتهديدات.
طلب المستخدم إلغاء الربط بحساب Google
يؤدي إلغاء ربط الحساب الذي يتم من خلال حساب المستخدم على Google أو التطبيق إلى حذف أي رموز مميّزة للوصول والتحديث تم إصدارها سابقًا، وإزالة موافقة المستخدم، كما يؤدي اختياريًا إلى استدعاء نقطة نهاية إلغاء الرمز المميّز إذا اخترت تنفيذها.
طلب المستخدم إلغاء الربط بمنصتك
يجب توفير آلية للمستخدمين لإلغاء الربط، مثل عنوان URL لحساباتهم. إذا لم توفّر طريقة للمستخدمين لإلغاء الربط، عليك تضمين رابط يؤدي إلى حساب Google ليتمكّن المستخدمون من إدارة حسابهم المرتبط.
يمكنك اختيار تنفيذ ميزة "مشاركة المخاطر والحوادث والتعاون" (RISC) وإبلاغ Google بالتغييرات التي تطرأ على حالة ربط حسابات المستخدمين. يتيح ذلك تقديم تجربة محسّنة للمستخدمين، حيث تعرض منصتك وGoogle حالة ربط حالية ومتسقة بدون الحاجة إلى الاعتماد على طلب إعادة تحميل أو رمز مميّز للوصول من أجل تعديل حالة الربط.
انتهاء صلاحية الرمز المميز
لتقديم تجربة سلسة للمستخدم وتجنُّب انقطاع الخدمة، تحاول Google تجديد رموز الدخول المميزة بالقرب من نهاية مدة صلاحيتها. في بعض الحالات، قد تكون موافقة المستخدم مطلوبة لإعادة ربط الحسابات عندما لا يتوفّر رمز مميز صالح لإعادة التحميل.
يمكن أن يؤدي تصميم منصتك لتتوافق مع رموز مميّزة متعددة غير منتهية الصلاحية للوصول والتحديث إلى تقليل حالات التزامن التي تحدث في عمليات التبادل بين العميل والخادم في البيئات المجمّعة، وتجنُّب تعطُّل المستخدم، وتقليل سيناريوهات التوقيت المعقّد ومعالجة الأخطاء. على الرغم من أنّها متسقة في النهاية، قد يتم استخدام الرموز المميزة السابقة والرموز المميزة الجديدة غير المنتهية الصلاحية لفترة قصيرة من الوقت أثناء عملية تبادل تجديد الرمز المميز بين العميل والخادم وقبل مزامنة المجموعة. على سبيل المثال، يحدث طلب من Google إلى خدمتك يستخدم رمز الدخول السابق الذي لم تنتهِ صلاحيته مباشرةً بعد إصدار رمز دخول جديد، ولكن قبل أن تتلقّى Google الرمز وتتم مزامنة المجموعة. ننصحك باستخدام إجراءات أمان بديلة بدلاً من تدوير الرموز المميزة لإعادة التحميل.
الأحداث الأخرى
يمكن إلغاء ربط الحسابات لأسباب أخرى مختلفة، مثل عدم النشاط أو التعليق أو السلوك الضار وما إلى ذلك. في مثل هذه السيناريوهات، يمكن لمنصتك وGoogle إدارة حسابات المستخدمين وإعادة الربط على أفضل وجه من خلال إعلام بعضكما البعض بالتغييرات التي تطرأ على حالة الحساب والربط.
عليك تنفيذ نقطة نهاية لإبطال الرموز المميزة كي تتمكّن Google من طلبها، وإعلام Google بأحداث إبطال الرموز المميزة باستخدام RISC لضمان الحفاظ على حالة ربط حساب المستخدم متسقة بين منصتك وGoogle.
نقطة نهاية إبطال الرمز المميز
إذا كنت توفّر نقطة نهاية لإبطال الرمز المميز في OAuth 2.0، يمكن لمنصتك تلقّي إشعارات من Google. يتيح لك ذلك إعلام المستخدمين بالتغييرات في حالة الربط وإبطال الرمز المميز وإزالة بيانات اعتماد الأمان وأذونات الوصول.
يتّخذ الطلب الشكل التالي:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
يجب أن يكون نقطة نهاية إبطال الرمز المميّز قادرة على التعامل مع المَعلمات التالية:
| مَعلمات نقطة نهاية الإبطال | |
|---|---|
client_id |
سلسلة تحدّد مصدر الطلب على أنّه Google. يجب تسجيل هذه السلسلة ضمن نظامك كمعرّف فريد خاص بـ Google. |
client_secret |
سلسلة سرية سجّلتها باستخدام Google للخدمة التي تقدّمها. |
token |
الرمز المميّز المطلوب إبطاله |
token_type_hint |
(اختياري) نوع الرمز المميّز الذي يتم إبطاله، وهو إما access_token أو refresh_token. إذا لم يتم تحديدها، تكون القيمة التلقائية access_token. |
عرض ردّ عند حذف الرمز المميز أو عدم صلاحيته اطّلِع على المثال التالي:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
إذا تعذّر حذف الرمز المميّز لأي سبب، عليك عرض رمز الاستجابة 503، كما هو موضّح في المثال التالي:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
تعيد Google محاولة تنفيذ الطلب لاحقًا أو حسب طلب Retry-After.
الحماية العابرة للحساب (RISC)
If you support Cross-Account Protection, your platform can notify Google when access or refresh tokens are revoked. This allows Google to inform users of link state changes, invalidate the token, cleanup security credentials, and authorization grants.
Cross-Account Protection is based on the RISC standard developed at the OpenID Foundation.
A Security Event Token is used to notify Google of token revocation.
When decoded, a token revocation event looks like the following example:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Security Event Tokens that you use to notify Google of token revocation events must conform to the requirements in the following table:
| Token revocation events | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Issuer Claim: This is a URL which you host, and it's shared with Google during registration. | ||||||||||
aud |
Audience Claim: This identifies Google as the JWT recipient. It
must be set to google_account_linking. |
||||||||||
jti |
JWT ID Claim: This is a unique ID that you generate for every security event token. | ||||||||||
iat |
Issued At Claim: This is a NumericDate value
that represents the time when this security event token was created. |
||||||||||
toe |
Time of Event Claim: This is an optional
NumericDate value that represents the time at which the
token was revoked. |
||||||||||
exp |
Expiration Time Claim: Do not include this field, as the event resulting in this notification has already taken place. | ||||||||||
events |
|
||||||||||
For more information on field types and formats, see JSON Web Token (JWT).