La desvinculación se puede iniciar desde tu plataforma o Google, y la visualización de un estado de vínculo coherente en ambas plataformas proporciona la mejor experiencia del usuario. La compatibilidad con un extremo de revocación de tokens o la Protección integral de la cuenta es opcional para la vinculación de Cuentas de Google.
Las cuentas pueden desvincularse por cualquiera de las siguientes acciones:
- Solicitud del usuario de
- la configuración de una aplicación de Google o de una Cuenta de Google
- Tu plataforma
- Error al renovar un token de actualización vencido
- Otros eventos que tú o Google inicien Por ejemplo, la suspensión de la cuenta por servicios de detección de amenazas y abuso.
El usuario solicitó la desvinculación de Google
La desvinculación de cuentas que se inicia a través de la Cuenta de Google o la app de un usuario borra los tokens de acceso y actualización emitidos anteriormente, quita el consentimiento del usuario y, de manera opcional, llama a tu extremo de revocación de tokens si decides implementar uno.
El usuario solicitó desvincularse de tu plataforma
Debes proporcionar un mecanismo para que los usuarios realicen la desvinculación, como una URL a su cuenta. Si no ofreces una forma para que los usuarios desvinculen la cuenta, incluye un vínculo a la Cuenta de Google para que los usuarios puedan administrar su cuenta vinculada.
Puedes implementar la Colaboración y el uso compartido de riesgos e incidentes (RISC) y notificar a Google los cambios en el estado de vinculación de la cuenta de los usuarios. Esto permite una mejor experiencia del usuario, en la que tanto tu plataforma como Google muestran un estado de vinculación actual y coherente sin necesidad de depender de una solicitud de actualización o de token de acceso para actualizar el estado de vinculación.
Vencimiento del token
Para proporcionar una experiencia del usuario fluida y evitar interrupciones del servicio, Google intenta renovar los tokens de actualización cerca del final de su ciclo de vida. En algunos casos, es posible que se requiera el consentimiento del usuario para volver a vincular las cuentas cuando no haya un token de actualización válido.
Diseñar tu plataforma para admitir varios tokens de acceso y actualización sin vencer puede minimizar las condiciones de carrera presentes en los intercambios cliente-servidor entre entornos agrupados, evitar interrupciones del usuario y minimizar los casos complejos de sincronización y manejo de errores. Si bien, en última instancia, son coherentes, es posible que los tokens sin vencer anteriores y los emitidos recientemente estén en uso durante un período breve durante el intercambio de renovación de tokens entre el cliente y el servidor y antes de la sincronización del clúster. Por ejemplo, una solicitud de Google a tu servicio que usa el token de acceso anterior sin vencer se produce justo después de que emites un token de acceso nuevo, pero antes de que se produzca la recepción y la sincronización del clúster en Google. Se recomiendan medidas de seguridad alternativas para la actualización de la rotación de tokens.
Otros eventos
Las cuentas se pueden desvincular por varios otros motivos, como inactividad, suspensión, comportamiento malicioso, etcétera. En esas situaciones, tu plataforma y Google pueden administrar mejor las cuentas de usuario y volver a vincularlas mediante notificaciones mutuas sobre los cambios en el estado de la cuenta y del vínculo.
Implementa un extremo de revocación de tokens para que Google llame y notifícalo con RISC sobre tus eventos de revocación de tokens para garantizar que tu plataforma y Google mantengan un estado coherente de vinculación de la cuenta de usuario.
Extremo de revocación del token
Si admites un extremo de revocación de tokens de OAuth 2.0, tu plataforma puede recibir notificaciones de Google. Esto te permite informar a los usuarios cambios en el estado del vínculo, invalidación de un token y limpieza de credenciales de seguridad y otorgamientos de autorización.
La solicitud tiene el siguiente formato:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Tu extremo de revocación de tokens debe poder controlar los siguientes parámetros:
| Parámetros de extremo de revocación | |
|---|---|
client_id |
Una cadena que identifica el origen de la solicitud como Google. Esta cadena debe registrarse en tu sistema como el identificador único de Google. |
client_secret |
Es una cadena secreta registrada en Google para tu servicio. |
token |
El token que se revocará. |
token_type_hint |
(Opcional) Es el tipo de token que se revoca, ya sea access_token o refresh_token. Si no se especifica,
La configuración predeterminada es access_token. |
Muestra una respuesta cuando el token se borra o no es válido. Consulta lo siguiente para un ejemplo:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Si el token no se puede borrar por algún motivo, muestra un código de respuesta 503. como se muestra en el siguiente ejemplo:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google vuelve a intentar la solicitud más tarde o según lo solicite Retry-After.
Protección integral de la cuenta (RISC)
Si admites la Protección integral de la cuenta, tu plataforma puede notificar a Google cuando se revocan los tokens de acceso o actualización. Esto permite a Google informar a los usuarios sobre los cambios de estado del vínculo, la invalidación del token, la limpieza de las credenciales de seguridad y otorgamientos de autorización.
La Protección integral de la cuenta se basa en estándar RISC desarrollado en la OpenID Foundation.
Un token de evento de seguridad se usa para notificar a Google sobre la revocación de tokens.
Cuando se decodifica, un evento de revocación de token se parece al siguiente ejemplo:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Los tokens de eventos de seguridad que utilizas para notificar a Google sobre eventos de revocación de tokens deben cumplir con los requisitos de la siguiente tabla:
| Eventos de revocación de tokens | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss |
Reclamo de la entidad emisora: Esta es una URL que alojas y se comparte con ella. a Google durante el registro. | ||||||||||
aud |
Reclamo de público: Identifica a Google como el destinatario de JWT. Integra
se debe establecer en google_account_linking. |
||||||||||
jti |
Reclamo de ID de JWT: es un ID único que generas para cada token de evento de seguridad. | ||||||||||
iat |
Emitido en el momento del reclamo: Este es un valor de NumericDate
que representa el momento en que se creó el token de evento de seguridad. |
||||||||||
toe |
Fecha y hora del evento: Esta es una opción opcional
NumericDate que representa la hora a la que se
se revocó el token. |
||||||||||
exp |
Reclamación de la hora de vencimiento: No incluyas este campo, dado que ya se realizó el evento que generó esta notificación. | ||||||||||
events |
|
||||||||||
Para obtener más información sobre los tipos y formatos de campo, consulta Token web JSON (JWT).