密码更改后,OAuth 2.0 令牌自动撤消

为了增强 Google 用户帐号的安全性,用户密码更改后,为访问特定产品而颁发的 OAuth 2.0 令牌会自动撤消。重置密码后,第三方邮件应用(例如 Apple Mail 和 Mozilla Thunderbird)以及其他使用邮件范围访问用户邮件的应用在获得新的 OAuth 2.0 令牌之前会停止同步数据。用户使用自己的 Google 帐号用户名和密码重新验证身份后,就会获得一个新令牌。

此次政策变化也适用于移动设备上的第三方邮件应用。例如,一旦密码更改,在 iOS 设备上使用原生邮件应用的用户现在也必须使用自己的 Google 帐号凭据重新验证身份。这一新措施不仅适用于移动设备上的第三方邮件应用,同时也是 iOS 版和 Android 版 Gmail 的现行措施:只要重置了密码,就必须重新验证身份。

令牌撤消程序不涵盖通过 Apps 脚本创建的应用(即便相应脚本会访问邮件)。

注意:如果密码更改是在 Android 设备中执行的,则相应 Android 设备用来进行帐号同步的 OAuth 令牌会被撤消。

问题

在启用两步验证的情况下,此更改对使用应用密码的应用有何影响?

目前没有任何影响。如果我们处理应用密码的方式有任何更改,我们会及时公布。

除访问令牌之外,更改密码是否也会导致刷新令牌失效?

是的,更改密码会导致访问令牌和刷新令牌都失效。

我们有相应的自定义脚本,可多次为用户设置相同的密码。这样会导致令牌撤消吗?

如果此操作是在 Directory API 用户更新过程中完成的,并且相同的密码通过同一函数进行哈希处理,则系统将不会将此操作视为更改密码从而撤消令牌。

注意:如果您使用的是接受加盐字符串的哈希函数,请确保每次更新都使用相同的加盐字符串。这样可以确保系统不会将更新视为密码更改。

此更改会给安全性较低的应用设置带来怎样的影响?

安全性较低的应用设置不会对因更改密码而遭到撤消的令牌造成任何影响。



“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单