Эта страница переведена с помощью Cloud Translation API.
Switch to English

Отмена связи аккаунтов

Отмена связи может быть инициирована с вашей платформы или Google, и отображение согласованного состояния ссылки на обоих обеспечивает наилучшее взаимодействие с пользователем. Поддержка конечной точки отзыва токена или защиты перекрестных учетных записей не является обязательной для привязки учетных записей Google.

Связь аккаунтов может быть отменена любым из следующего:

  • Запрос пользователя от
  • Невозможность продлить истекший токен обновления
  • Другие события, инициированные вами или Google. Например, приостановка учетной записи службами обнаружения злоупотреблений и угроз.

Пользователь запросил отключение от Google

Отмена связи учетной записи, инициированная через учетную запись Google или приложение пользователя, удаляет все ранее выданные токены доступа и обновления, удаляет согласие пользователя и, при необходимости, вызывает конечную точку отзыва токенов, если вы решили ее реализовать.

Пользователь запросил отключение от вашей платформы

Вы должны предоставить пользователям механизм отмены связи, например URL-адрес их учетной записи. Если вы не предлагаете пользователям возможность разорвать связь, включите ссылку на учетную запись Google, чтобы пользователи могли управлять своей связанной учетной записью.

Вы можете реализовать совместное использование и совместное использование рисков и инцидентов (RISC) и уведомлять Google об изменениях в статусе привязки учетных записей пользователей. Это позволяет улучшить взаимодействие с пользователем, когда и ваша платформа, и Google показывают текущий и согласованный статус связи без необходимости полагаться на обновление или запрос токена доступа для обновления состояния связывания.

Срок действия токена

Чтобы обеспечить удобство работы пользователей и избежать перебоев в обслуживании, Google пытается обновить токены обновления ближе к концу их срока службы. В некоторых сценариях может потребоваться согласие пользователя для повторного связывания учетных записей, когда действительный токен обновления недоступен.

Разработка вашей платформы для поддержки нескольких не истекших токенов доступа и обновления может минимизировать условия гонки, присутствующие при обмене клиент-сервер между кластерными средами, избежать прерывания работы пользователя и минимизировать сложные сценарии синхронизации и обработки ошибок. Несмотря на то, что в конечном итоге согласованы, как предыдущие, так и вновь выпущенные неистекшие токены могут использоваться в течение короткого периода времени во время обновления токенов клиент-сервер и до синхронизации кластера. Например, запрос Google к вашей службе, который использует предыдущий токен доступа с не истекшим сроком действия, происходит сразу после того, как вы выдаете новый токен доступа, но до того, как в Google произойдет получение и синхронизация кластера. Рекомендуются альтернативные меры безопасности для обновления ротации токенов .

Другие события

Связь между учетными записями может быть отменена по разным причинам, например, из-за бездействия, приостановки, злонамеренного поведения и т. Д. В таких сценариях ваша платформа и Google могут лучше всего управлять учетными записями пользователей и повторно устанавливать связь, уведомляя друг друга об изменениях в учетной записи и состоянии связи.

Реализуйте конечную точку отзыва токенов, которую Google будет вызывать, и уведомлять Google о событиях отзыва токенов с помощью RISC, чтобы гарантировать, что ваша платформа и Google поддерживают согласованное состояние связи учетной записи пользователя.

Конечная точка отзыва токена

Если вы поддерживаете конечную точку отзыва токенов OAuth 2.0, ваша платформа может получать уведомления от Google. Это позволяет вам информировать пользователей об изменениях состояния ссылки, аннулировать токен и очищать учетные данные безопасности и разрешения на авторизацию.

Запрос имеет следующую форму:

POST /revoke HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&token=TOKEN&token_type_hint=refresh_token

Конечная точка отзыва токена должна поддерживать следующие параметры:

Параметры конечной точки отзыва
client_id Строка, определяющая источник запроса как Google. Эта строка должна быть зарегистрирована в вашей системе как уникальный идентификатор Google.
client_secret Секретная строка, которую вы зарегистрировали в Google для своей службы.
token Токен, который нужно отозвать.
token_type_hint (Необязательно) Тип access_token refresh_token access_token или refresh_token . Если не указано, по умолчанию используется access_token .

Вернуть ответ, если токен удален или недействителен. См. Следующий пример:

HTTP/1.1 200 Success
Content-Type: application/json;charset=UTF-8

Если токен не может быть удален по какой-либо причине, верните код ответа 503, как показано в следующем примере:

HTTP/1.1 503 Service Unavailable
Content-Type: application/json;charset=UTF-8
Retry-After: HTTP-date / delay-seconds

Google повторяет запрос позже или по запросу Retry-After .

Межаккаунтная защита (RISC)

Если вы поддерживаете защиту перекрестных учетных записей, ваша платформа может уведомлять Google об отзыве токенов доступа или обновления. Это позволяет Google информировать пользователей об изменениях состояния ссылки, аннулировать токен, учетные данные для очистки и разрешения на авторизацию.

Межаккаунтная защита основана на стандарте RISC, разработанном OpenID Foundation.

Токен события безопасности используется для уведомления Google об отзыве токена.

После декодирования событие отзыва токена выглядит следующим образом:

{
  "iss":"http://risc.example.com",
  "iat":1521068887,
  "aud":"google_account_linking",
  "jti":"101942095",
  "toe": "1508184602",
  "events": {
    "https://schemas.openid.net/secevent/oauth/event-type/token-revoked":{
      "subject_type": "oauth_token",
      "token_type": "refresh_token",
      "token_identifier_alg": "hash_SHA512_double",
      "token": "double SHA-512 hash value of token"
    }
  }
}

Токены событий безопасности, которые вы используете для уведомления Google о событиях отзыва токенов, должны соответствовать требованиям, приведенным в следующей таблице:

События отзыва токена
iss Заявление эмитента: это URL-адрес, который вы размещаете и который передается Google во время регистрации.
aud Заявление аудитории: это определяет Google как получателя JWT. Он должен быть установлен на google_account_linking .
jti Заявление об идентификаторе JWT: это уникальный идентификатор, который вы создаете для каждого токена события безопасности.
iat Выпущено по NumericDate : это значение NumericDate которое представляет время, когда был создан этот токен события безопасности.
toe Заявление о времени события: это необязательное значение NumericDate которое представляет время, когда токен был отозван.
exp Заявление о сроке действия: не включайте это поле, так как событие, приведшее к этому уведомлению, уже произошло.
events
Заявление о событиях безопасности: это объект JSON, который должен включать только одно событие отзыва токена.
subject_type Это должно быть установлено на oauth_token .
token_type Это тип аннулируемого access_token или refresh_token .
token_identifier_alg Это алгоритм, используемый для кодирования токена, и он должен быть hash_SHA512_double .
token Это идентификатор отозванного токена.

Дополнительные сведения о типах и форматах полей см. В разделе JSON Web Token (JWT) .