Revocare automaticamente il token OAuth 2.0 in seguito alla modifica della password

Per aumentare la sicurezza degli account per gli utenti Google, i token OAuth 2.0 emessi per accedere a determinati prodotti vengono revocati automaticamente in seguito alla modifica della password dell'utente. In caso di reimpostazione della password, le app di posta di terze parti, ad esempio Apple Mail e Mozilla Thunderbird (così come altre applicazioni che utilizzano ambiti di autorizzazione per accedere alla posta degli utenti) interromperanno la sincronizzazione dei dati fino all'assegnazione di un nuovo token OAuth 2.0. Il nuovo token verrà emesso quando l'utente eseguirà una nuova autenticazione con il nome utente e la password del proprio account Google.

La modifica di questa norma interessa anche le app di posta di terze parti sui dispositivi mobili. Ad esempio, in seguito alla modifica della password, gli utenti che utilizzano l'app di posta nativa su iOS ora dovranno autenticarsi di nuovo con le credenziali del proprio account Google. Questo nuovo comportamento per le app di posta di terze parti sui dispositivi mobili si allinea al comportamento attuale di Gmail su iOS e Android, che richiede una nuova autenticazione in seguito alla reimpostazione della password.

Il processo di revoca del token non riguarda le app basate su Apps Script, anche se lo script accede alla posta.

Nota: se la modifica della password è attivata da un dispositivo Android, il token OAuth per la sincronizzazione dell'account utilizzato da tale dispositivo non viene revocato.

Domande

Qual è l'impatto di questa modifica sulle applicazioni che utilizzano una password per l'app se la verifica in due passaggi è attivata?

Attualmente non vi è alcun impatto. Annunceremo le eventuali modifiche alla gestione delle password per le app nel momento in cui saranno introdotte.

I token vengono revocati in seguito alla scadenza o alla modifica della password?

I token vengono revocati in seguito alla modifica della password.

La modifica della password invalida sia i token di accesso che i token di aggiornamento?

Sì, la modifica della password invalida i token di accesso e i token di aggiornamento.

Abbiamo uno script personalizzato che imposta più volte la stessa password per l'utente. L'implementazione del nostro script può attivare la revoca del token?

Se questa operazione viene effettuata tramite l'aggiornamento degli utenti dell'API Directory e la stessa password viene segmentata utilizzando la stessa funzione, non verrà gestita come una modifica della password e quindi i token non dovrebbero essere revocati.

Nota: se utilizzi una funzione di hashing che accetta un valore salt, assicurati di utilizzare lo stesso valore salt per ogni aggiornamento. In questo modo avrai la certezza che gli aggiornamenti non siano considerati come modifiche della password.

Qual è l'impatto di questa modifica sull'impostazione Applicazioni meno sicure?

L'impostazione Applicazioni meno sicure non avrà alcun impatto sui token revocati in seguito alla modifica della password.



Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
8786664526843159330
true