Para aumentar a segurança da conta dos usuários do Google, os tokens OAuth 2.0 emitidos para acesso a determinados produtos são revogados automaticamente quando a senha de um usuário é alterada. Apps de e-mail de terceiros, como o Apple Mail e o Mozilla Thunderbird, e outros aplicativos que usam escopos de e-mail para acessar o e-mail de um usuário vão parar de sincronizar os dados após a redefinição de senha até que um novo token OAuth 2.0 seja concedido. Um novo token será concedido quando o usuário fizer a autenticação novamente com o nome de usuário e a senha da Conta do Google.
Essa mudança na política também inclui aplicativos de e-mail de terceiros em dispositivos móveis. Por exemplo, os usuários que usam o aplicativo de e-mail nativo no iOS agora precisam fazer a autenticação novamente com as credenciais da Conta do Google quando a senha é alterada. Esse novo comportamento para apps de e-mail de terceiros em dispositivos móveis está alinhado ao comportamento atual do Gmail no iOS e no Android, que também exige a autenticação novamente após a redefinição da senha.
O processo de revogação de token não inclui aplicativos criados no Apps Script, mesmo que o script acesse e-mails.
Observações:
- Se a mudança de senha for acionada em um dispositivo Android, o token OAuth para a sincronização de conta usada por esse dispositivo Android não será revogado.
- As sessões IMAP do Gmail autenticadas usando OAuth não são afetadas por uma mudança de senha, mas são limitadas ao período de validade do token de acesso (geralmente uma hora).
Perguntas
Como essa mudança afeta os aplicativos que usam uma senha de app se a verificação em duas etapas estiver ativada?
No momento, não há impacto. Vamos anunciar qualquer mudança no tratamento das senhas de app quando elas ocorrerem.
Quando os tokens são revogados, após o vencimento ou a mudança da senha?
Os tokens são revogados quando a senha é alterada.
Uma mudança de senha também invalida os tokens de acesso e de atualização?
Sim, a mudança de senha invalida os tokens de acesso e de atualização.
Temos um script personalizado que define a mesma senha para um usuário várias vezes. Isso vai acionar a revogação do token?
Se isso for feito usando a atualização de usuários da API Directory e a mesma senha for hashizada pela mesma função, isso não será tratado como uma mudança de senha e, portanto, os tokens não serão revogados.
Observação: se você estiver usando uma função de hash que aceita um salt, use o mesmo salt em todas as atualizações. Isso garante que a atualização não seja tratada como uma mudança de senha.
Como essa mudança afeta a configuração Apps menos seguros?
A configuração Apps menos seguros não afeta a revogação de tokens quando a senha é alterada.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.