Para aumentar a segurança das contas dos usuários do Google, os tokens OAuth 2.0 gerados para o acesso a determinados produtos são revogados automaticamente quando a senha de um usuário é alterada. Os apps de e-mail de terceiros, como o Apple Mail e o Mozilla Thunderbird, e outros aplicativos que usam escopos de e-mail para acessar os e-mails dos usuários, deixarão de sincronizar os dados após a redefinição de senha até que um novo token OAuth 2.0 seja concedido. Um novo token será concedido quando o usuário fizer a autenticação novamente com o nome de usuário e a senha da Conta do Google.
Os aplicativos de e-mail de terceiros também estão incluídos nesta alteração de política. Por exemplo, os usuários que usam o aplicativo de e-mail nativo no iOS agora precisam fazer a autenticação novamente com as credenciais da Conta do Google quando a senha é alterada. Esse novo comportamento para apps de e-mail de terceiros no dispositivo móvel está alinhado ao comportamento atual do Gmail no iOS e no Android, que também exige a autenticação novamente após a redefinição de senha.
O processo de revogação de token não inclui aplicativos criados no Apps Script, mesmo que o script acesse e-mails.
Observações:
- Se a mudança de senha for acionada em um dispositivo Android, o token OAuth da sincronização de conta usada por esse dispositivo Android não será revogado.
- As sessões IMAP do Gmail autenticadas usando o OAuth não são afetadas por uma mudança de senha, mas são limitadas ao período de validade do token de acesso (geralmente 1 hora).
Dúvidas
Como essa alteração impacta os aplicativos que usam senha de app se a verificação em duas etapas estiver ativada?
Atualmente, não há impacto. Anunciaremos as alterações no tratamento de senhas de app quando elas ocorrerem.
Os tokens são revogados depois que a senha expira ou depois que a senha é alterada?
Os tokens são revogados depois da alteração da senha.
Uma alteração da senha invalida os tokens de acesso e os tokens de atualização?
Sim, a alteração da senha invalida os tokens de acesso e os de atualização.
Temos um script personalizado que define a mesma senha para um usuário várias vezes. Isso causará a revogação do token?
Se isso for feito por meio da atualização dos usuários da Directory API, e a mesma senha for embaralhada pela mesma função, a ação não será tratada como uma mudança de senha, e os tokens não serão revogados.
Observação: se você estiver usando uma função de hash que aceita um salt, use o mesmo salt para cada atualização. Isso garante que a atualização não seja tratada como uma mudança de senha.
Como essa alteração afeta a configuração Aplicativos menos seguros?
A configuração Aplicativos menos seguros não afeta os tokens revogados após a alteração da senha.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais estão associados.