Отмена привязки может быть инициирована с вашей платформы или с платформы Google, а отображение согласованного состояния связи на обеих платформах обеспечивает наилучшее взаимодействие с пользователем. Поддержка конечной точки отзыва токенов или защиты от межаккаунтной привязки является необязательной для привязки учетных записей Google.
Отсоединение учетных записей может произойти по любой из следующих причин:
- Запрос пользователя от
- приложение Google или настройки учетной записи Google.
- Ваша платформа
- Не удалось продлить срок действия истекшего токена обновления.
- Другие события, инициированные вами или Google. Например, блокировка аккаунта за злоупотребления и срабатывание служб обнаружения угроз.
Пользователь запросил удаление ссылки с Google.
При отвязке учетной записи, инициированной через учетную запись Google или приложение пользователя, удаляются все ранее выданные токены доступа и обновления, отменяется согласие пользователя и, при необходимости, вызывается конечная точка отзыва токенов, если вы решили ее реализовать.
Пользователь запросил отмену привязки к вашей платформе.
Вам следует предоставить пользователям механизм для отвязки аккаунта, например, URL-адрес их учетной записи. Если вы не предоставляете пользователям возможность отвязки, включите ссылку на учетную запись Google , чтобы пользователи могли управлять своей связанной учетной записью.
Вы можете внедрить механизм обмена информацией и взаимодействия по вопросам рисков и инцидентов (RISC) и уведомлять Google об изменениях статуса привязки учетных записей пользователей. Это позволит улучшить пользовательский опыт, поскольку и ваша платформа, и Google будут отображать актуальный и согласованный статус привязки без необходимости обновления или запроса токена доступа для обновления состояния привязки.
Срок действия токена истекает
Для обеспечения бесперебойной работы сервиса и во избежание сбоев в его работе Google старается обновлять токены обновления ближе к концу их срока действия. В некоторых случаях для повторной привязки учетных записей может потребоваться согласие пользователя, если действительный токен обновления недоступен.
Разработка платформы с поддержкой нескольких непросроченных токенов доступа и обновления может минимизировать состояния гонки, возникающие при обмене данными между клиентом и сервером в кластерных средах, предотвратить сбои в работе пользователей и упростить сложные сценарии обработки ошибок и синхронизации. Хотя в конечном итоге токены остаются согласованными, как предыдущие, так и вновь выпущенные непросроченные токены могут использоваться в течение короткого периода времени во время обмена токенами между клиентом и сервером и до синхронизации кластера. Например, запрос Google к вашему сервису, использующий предыдущий непросроченный токен доступа, происходит сразу после выпуска нового токена доступа, но до получения и синхронизации кластера в Google. Рекомендуются альтернативные меры безопасности вместо ротации токенов обновления .
Другие события
Отсоединение учетных записей может происходить по различным причинам, таким как неактивность, блокировка, вредоносное поведение и т. д. В таких случаях ваша платформа и Google могут наилучшим образом управлять учетными записями пользователей и восстанавливать их связь, уведомляя друг друга об изменениях в состоянии учетной записи и связи.
Реализуйте конечную точку для отзыва токенов, которую будет вызывать Google, и уведомляйте Google о событиях отзыва токенов с помощью RISC, чтобы обеспечить согласованность состояния связи учетных записей пользователей между вашей платформой и Google.
Конечная точка отзыва токена
Если ваша платформа поддерживает конечную точку отзыва токенов OAuth 2.0, она может получать уведомления от Google. Это позволяет информировать пользователей об изменениях состояния ссылок, аннулировать токен, а также очищать учетные данные безопасности и предоставленные права авторизации.
Запрос имеет следующий вид:
POST /revoke HTTP/1.1 Host: oauth2.example.com Content-Type: application/x-www-form-urlencoded client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token
Ваша конечная точка для аннулирования токенов должна поддерживать обработку следующих параметров:
| Параметры конечной точки отзыва | |
|---|---|
client_id | Строка, идентифицирующая источник запроса как Google. Эта строка должна быть зарегистрирована в вашей системе как уникальный идентификатор Google. |
client_secret | Секретная строка, которую вы зарегистрировали в Google для своего сервиса. |
token | Токен, подлежащий аннулированию. |
token_type_hint | (Необязательно) Тип отзываемого токена: access_token или refresh_token . Если не указано, по умолчанию используется access_token . |
Возвращает ответ, если токен удален или недействителен. Пример приведен ниже:
HTTP/1.1 200 Success Content-Type: application/json;charset=UTF-8
Если по какой-либо причине токен удалить невозможно, верните код ответа 503, как показано в следующем примере:
HTTP/1.1 503 Service Unavailable Content-Type: application/json;charset=UTF-8 Retry-After: HTTP-date / delay-seconds
Google повторит запрос позже или в соответствии с запросом, указанным в параметре Retry-After .
Защита от перекрестных списаний (RISC)
Если вы поддерживаете защиту нескольких аккаунтов, ваша платформа может уведомлять Google об отзыве токенов доступа или обновления. Это позволяет Google информировать пользователей об изменениях состояния ссылки, аннулировать токен, очищать учетные данные безопасности и предоставлять разрешения на авторизацию.
Защита между учетными записями основана на стандарте RISC, разработанном OpenID Foundation.
Токен события безопасности используется для уведомления Google об отзыве токена.
В декодированном виде событие отзыва токена выглядит следующим образом:
{
"iss":"http://risc.example.com",
"iat":1521068887,
"aud":"google_account_linking",
"jti":"101942095",
"toe": "1508184602",
"events": {
"https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
"subject_type": "oauth_token",
"token_type": "refresh_token",
"token_identifier_alg": "hash_SHA512_double",
"token": "double SHA-512 hash value of token"
}
}
}
Токены событий безопасности, которые вы используете для уведомления Google о событиях отзыва токенов, должны соответствовать требованиям, указанным в следующей таблице:
| События отзыва токена | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
iss | Заявление эмитента: это URL-адрес, который вы размещаете, и он передается Google во время регистрации. | ||||||||||
aud | Заявление аудитории: оно идентифицирует Google как получателя JWT. Должно быть установлено значение google_account_linking . | ||||||||||
jti | Заявление JWT ID: это уникальный идентификатор, который вы создаете для каждого токена события безопасности. | ||||||||||
iat | Выдано при утверждении: это значение NumericDate , которое представляет время создания этого токена события безопасности. | ||||||||||
toe | Время утверждения события: это необязательное значение NumericDate , которое представляет время отзыва токена. | ||||||||||
exp | Заявление об истечении срока действия: не включайте это поле, поскольку событие, повлекшее за собой это уведомление, уже произошло. | ||||||||||
events |
| ||||||||||
Дополнительные сведения о типах и форматах полей см. в разделе JSON Web Token (JWT) .