Revogação automática de token OAuth 2.0 após alteração da senha

Para aumentar a segurança da conta para os usuários do Google, os tokens OAuth 2.0 emitidos para acessar determinados produtos são revogados automaticamente quando a senha de um usuário é alterada. Apps de e-mails de terceiros como Apple® Mail® e Mozilla® Thunderbird®, além de outros apps que usam escopos de e-mail para acessar o e-mail de um usuário, não sincronizarão mais os dados após a redefinição da senha até que um novo token OAuth 2.0 seja concedido. Isso acontecerá quando o usuário fizer uma nova autenticação com o nome de usuário e a senha da Conta do Google.

Os apps de e-mails de terceiros também estão incluídos nesta alteração de política. Por exemplo, agora os usuários do app de e-mailsnativo no iOS precisarão fazer uma nova autenticação usando as credenciais da Conta do Google quando a senha tiver sido alterada. Esse novo comportamento para aplicativos de e-mail de terceiros em dispositivos móveis está de acordo com o comportamento atual do Gmail no iOS e no Android, que também exigem uma nova autenticação após a redefinição da senha.

O processo de revogação do token não inclui aplicativos que usam o Apps Script, mesmo se o script acessar o e-mail.

Observação: se a mudança da senha for acionada de um dispositivo Android, o token OAuth de sincronização da conta usado pelo dispositivo Android não será revogado.

Dúvidas

Como essa alteração impacta os aplicativos que usam senha de app se a verificação em duas etapas estiver ativada?

Atualmente, não há impacto. Anunciaremos as alterações no tratamento de senhas de app quando elas ocorrerem.

Os tokens são revogados depois que a senha expira ou depois que a senha é alterada?

Os tokens são revogados depois da alteração da senha.

Uma alteração da senha invalida os tokens de acesso e os tokens de atualização?

Sim, a alteração da senha invalida os tokens de acesso e os de atualização.

Temos um script personalizado que define a mesma senha para um usuário várias vezes. Isso causará a revogação do token?

Se isso for feito por meio da atualização dos usuários da Directory API, e a mesma senha for embaralhada pela mesma função, a ação não será tratada como uma mudança de senha, e os tokens não serão revogados.

Observação: se você estiver usando uma função de hash que aceita "salt", use o mesmo "salt" em todas as atualizações. Isso garante que a atualização não seja tratada como uma mudança de senha.

Como essa alteração afeta a configuração Aplicativos menos seguros?

A configuração Aplicativos menos seguros não afeta os tokens revogados após a alteração da senha.

Isso foi útil?
Como podemos melhorá-lo?