Die Aufhebung der Verknüpfung kann von Ihrer Plattform oder von Google aus initiiert werden. Die Anzeige eines konsistenten Verknüpfungsstatus auf beiden Seiten sorgt für die beste Nutzerfreundlichkeit. Die Unterstützung eines Endpunkts zum Widerrufen von Tokens oder des produktübergreifenden Kontoschutzes ist für die Google-Kontoverknüpfung optional.
Die Verknüpfung von Konten kann aus folgenden Gründen aufgehoben werden:
- Nutzeranfrage von
- einer Google-Anwendung oder den Google-Kontoeinstellungen
- Ihrer Plattform
- Fehler beim Erneuern eines abgelaufenen Aktualisierungstokens
- Andere von Ihnen oder Google initiierte Ereignisse z. B. Kontosperrung durch Dienste zur Erkennung von Missbrauch und Bedrohungen
Nutzer hat die Aufhebung der Verknüpfung mit Google angefordert
Wenn die Aufhebung der Kontoverknüpfung über das Google-Konto oder die Google-App eines Nutzers initiiert wird, werden alle zuvor ausgestellten Zugriffs- und Aktualisierungstokens gelöscht, die Nutzereinwilligung wird entfernt und optional wird Ihr Endpunkt zum Widerrufen von Tokens aufgerufen, falls Sie einen implementiert haben.
Nutzer hat die Aufhebung der Verknüpfung mit Ihrer Plattform angefordert
Sie sollten Nutzern eine Möglichkeit zum Aufheben der Verknüpfung bieten, z. B. eine URL zu ihrem Konto. Wenn Sie keine Möglichkeit zum Aufheben der Verknüpfung anbieten, fügen Sie einen Link zum Google-Konto hinzu, damit Nutzer ihr verknüpftes Konto verwalten können.
Sie können die gemeinsame Nutzung von Risiko- und Vorfalldaten (Risk &Incident Sharing and Collaboration, RISC) implementieren und Google über Änderungen am Status der Kontoverknüpfung von Nutzern informieren. So wird die Nutzerfreundlichkeit verbessert, da sowohl Ihre Plattform als auch Google einen aktuellen und konsistenten Verknüpfungsstatus anzeigen, ohne dass eine Aktualisierungs- oder Zugriffstokenanfrage erforderlich ist, um den Verknüpfungsstatus zu aktualisieren.
Ablauf des Tokens
Um eine reibungslose Nutzererfahrung zu gewährleisten und Dienstunterbrechungen zu vermeiden, versucht Google, Aktualisierungstokens kurz vor Ablauf ihrer Gültigkeitsdauer zu erneuern. In einigen Fällen ist möglicherweise die Nutzereinwilligung erforderlich, um Konten neu zu verknüpfen, wenn kein gültiges Aktualisierungstoken verfügbar ist.
Wenn Sie Ihre Plattform so gestalten, dass mehrere nicht abgelaufene Zugriffs- und Aktualisierungstokens unterstützt werden, können Sie Race-Bedingungen bei Client-Server-Austauschen zwischen Clusterumgebungen minimieren, Dienstunterbrechungen für Nutzer vermeiden und komplexe Szenarien für Timing und Fehlerbehandlung minimieren. Obwohl die Konsistenz letztendlich gewährleistet ist, können sowohl die vorherigen als auch die neu ausgestellten nicht abgelaufenen Tokens für kurze Zeit während des Client-Server-Austauschs zur Token-Erneuerung und vor der Clustersynchronisierung verwendet werden. Beispiel: Eine Google-Anfrage an Ihren Dienst, bei der das vorherige nicht abgelaufene Zugriffstoken verwendet wird, erfolgt kurz nachdem Sie ein neues Zugriffstoken ausgestellt haben, aber bevor der Empfang und die Clustersynchronisierung bei Google stattfinden. Es werden alternative Sicherheitsmaßnahmen zur Rotation von Aktualisierungstokens empfohlen.
Weitere Ereignisse
Die Verknüpfung von Konten kann aus verschiedenen anderen Gründen aufgehoben werden, z. B. aufgrund von Inaktivität, Sperrung oder böswilligem Verhalten. In solchen Fällen können Ihre Plattform und Google Nutzerkonten am besten verwalten und die Verknüpfung wiederherstellen, indem sie sich gegenseitig über Änderungen am Konto- und Verknüpfungsstatus informieren.
Implementieren Sie einen Endpunkt zum Widerrufen von Tokens, den Google aufrufen kann, und benachrichtigen Sie Google über Ihre Ereignisse zum Widerrufen von Tokens mithilfe von RISC, damit Ihre Plattform und Google einen konsistenten Verknüpfungsstatus für Nutzerkonten beibehalten.
Endpunkt zum Widerrufen von Tokens
Wenn Sie einen OAuth 2.0-Token-Widerrufs-Endpunkt unterstützen, kann Ihre Plattform Benachrichtigungen von Google erhalten. So können Sie Nutzer über Änderungen des Linkstatus informieren, ein Token ungültig machen und Sicherheitsanmeldedaten und Autorisierungserteilungen bereinigen.
Die Anfrage hat das folgende Format:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Ihr Endpunkt für den Widerruf von Tokens muss die folgenden Parameter verarbeiten können:
| Parameter für den Widerrufs-Endpunkt | |
|---|---|
client_id |
Ein String, der Google als Ursprung der Anfrage identifiziert. Dieser String muss in Ihrem System als eindeutige Kennung von Google registriert sein. |
client_secret |
Ein geheimer String, den Sie bei Google für Ihren Dienst registriert haben. |
token |
Das zu widerrufende Token. |
token_type_hint |
Optional: Der Typ des Tokens, das widerrufen wird, entweder access_token oder refresh_token. Wenn nicht angegeben, wird standardmäßig access_token verwendet. |
Gibt eine Antwort zurück, wenn das Token gelöscht oder ungültig ist. Hier ein Beispiel:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Wenn der Token aus irgendeinem Grund nicht gelöscht werden kann, geben Sie den Antwortcode 503 zurück, wie im folgenden Beispiel gezeigt:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google wiederholt die Anfrage später oder wie von Retry-After angefordert.
Produktübergreifender Kontoschutz (RISC)
Wenn Sie den produktübergreifenden Kontoschutz unterstützen, kann Ihre Plattform Google benachrichtigen, Zugriffs- oder Aktualisierungstokens werden widerrufen. So kann Google Nutzer über Änderungen des Verknüpfungsstatus, das Entwerten des Tokens, das Bereinigen von Sicherheitsanmeldedaten Autorisierungen erteilt.
Der produktübergreifende Kontoschutz basiert auf den RISC-Standard entwickelt im OpenID Foundation
Ein Token für Sicherheitsereignisse wird verwendet, um Google über den Widerruf von Tokens zu informieren.
Nach der Decodierung sieht ein Token-Widerrufsereignis so aus:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Tokens für Sicherheitsereignisse, mit denen Sie Google über Token-Widerrufe informieren müssen den Anforderungen in der folgenden Tabelle entsprechen:
| Ereignisse zum Widerrufen von Tokens | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Ausstelleranforderung:Dies ist eine URL, die Sie hosten und mit der sie geteilt wird. Google bei der Registrierung. | ||||||||||
aud |
Audience Claim (Zielgruppenanforderung): Hiermit wird Google als JWT-Empfänger identifiziert. Es
muss auf google_account_linking festgelegt sein. |
||||||||||
jti |
JWT-ID-Anforderung:Dies ist eine eindeutige ID, die für jeden Tag generiert wird. Sicherheitsereignis-Tokens. | ||||||||||
iat |
Ausgestellt bei Anspruch: Dies ist ein NumericDate-Wert.
der den Zeitpunkt darstellt, zu dem dieses Sicherheitsereignistoken erstellt wurde. |
||||||||||
toe |
Zeitpunkt des Anspruchs auf das Ereignis:Dies ist ein optionales
NumericDate-Wert, der den Zeitpunkt darstellt, zu dem der
Token wurde widerrufen. |
||||||||||
exp |
Anspruch bezüglich Ablaufzeit: Dieses Feld darf nicht eingefügt werden. da das Ereignis, das zu dieser Benachrichtigung geführt hat, bereits stattgefunden hat. | ||||||||||
events |
|
||||||||||
Weitere Informationen zu Feldtypen und -formaten finden Sie unter JSON-Webtoken (JWT).