Google 사용자의 계정 보안을 높이기 위해 사용자 비밀번호를 변경하면 특정 제품에 액세스하기 위해 발행된 OAuth 2.0 토큰이 자동으로 취소됩니다. Apple Mail 및 Mozilla Thunderbird 등의 서드 파티 메일 앱과 메일 범위를 사용하여 사용자 메일에 액세스하는 기타 애플리케이션은 비밀번호 재설정 시 새 OAuth 2.0 토큰이 부여될 때까지 데이터 동기화를 중지합니다. 사용자가 Google 계정의 사용자 이름과 비밀번호로 다시 인증하면 새 토큰이 부여됩니다.
모바일의 서드 파티 메일 애플리케이션도 이 정책 변경사항에 포함됩니다. 예를 들어 iOS에서 기본 메일 애플리케이션을 사용하는 사용자는 비밀번호가 변경되면 Google 계정 사용자 인증 정보로 다시 인증해야 합니다. 모바일의 서드 파티 메일 앱에 적용되는 이 새로운 동작은 비밀번호 재설정 시 재인증이 필요한 iOS 및 Android의 Gmail에 적용되는 현재 동작과 일치합니다.
스크립트가 메일에 액세스하는 경우에도 토큰 취소 프로세스에는 Apps Script로 빌드된 애플리케이션이 포함되지 않습니다.
참고:
- Android 기기에서 비밀번호 변경이 트리거되면 이 Android 기기에서 사용하는 계정 동기화의 OAuth 토큰이 취소되지 않습니다.
- OAuth를 사용하여 인증된 Gmail IMAP 세션은 비밀번호 변경의 영향을 받지 않지만 액세스 토큰의 유효 기간 (일반적으로 1시간)으로 제한됩니다.
질문
2단계 인증이 사용 설정된 경우 이 변경사항이 앱 비밀번호를 사용하는 애플리케이션에 미치는 영향은 무엇인가요?
현재는 영향이 없습니다. 앱 비밀번호 처리 방식에 변경사항이 있으면 공지사항을 통해 알려드리겠습니다.
토큰은 비밀번호 만료 시점인가요, 아니면 비밀번호 변경 시점인가요?
비밀번호가 변경되면 토큰이 취소됩니다.
비밀번호를 변경하면 액세스 토큰과 갱신 토큰도 무효화되나요?
예, 비밀번호를 변경하면 액세스 토큰과 갱신 토큰이 모두 무효화됩니다.
사용자의 비밀번호를 여러 번 동일하게 설정하는 맞춤 스크립트가 있습니다. 이로 인해 토큰 취소가 트리거되나요?
디렉터리 API 사용자 업데이트를 통해 이 작업이 실행되고 동일한 함수를 통해 동일한 비밀번호가 해싱되면 비밀번호 변경으로 간주되지 않으므로 토큰이 취소되지 않습니다.
참고: 솔트를 허용하는 해싱 함수를 사용하는 경우 업데이트마다 동일한 솔트를 사용해야 합니다. 이렇게 하면 업데이트가 비밀번호 변경으로 처리되지 않습니다.
이 변경사항은 보안 수준이 낮은 앱 설정에 어떤 영향을 미치나요?
보안 수준이 낮은 앱 설정은 비밀번호 변경 시 토큰이 취소되는 데 영향을 미치지 않습니다.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.