为了增强 Google 用户账号的安全性,用户密码更改后,为访问特定产品而颁发的 OAuth 2.0 令牌会被自动撤消。第三方邮件应用(例如 Apple 邮件和 Mozilla Thunderbird)以及其他使用邮件权限范围访问用户邮件的应用在重设密码后会停止同步数据,直到获得新的 OAuth 2.0 令牌为止。用户使用 Google 账号用户名和密码重新进行身份验证时,系统会授予新令牌。
移动设备上的第三方邮件应用也包含在此政策变更中。 例如,如果用户在 iOS 上使用原生邮件应用,那么在密码更改后,他们必须使用自己的 Google 账号凭据重新进行身份验证。移动设备上的第三方邮件应用的新行为与 iOS 和 Android 设备上 Gmail 的当前行为一致,后者在重设密码后也需要重新进行身份验证。
令牌撤消流程不包括基于 Apps 脚本构建的应用,即使脚本可以访问邮件也是如此。
注意:
- 如果密码更改是从 Android 设备触发的,则不会撤消此 Android 设备使用的账号同步的 OAuth 令牌。
- 使用 OAuth 进行身份验证的 Gmail IMAP 会话不受密码更改的影响,但会受到访问令牌有效期(通常为 1 小时)的限制。
问题
在启用两步验证的情况下,此更改对使用应用密码的应用有何影响?
目前没有任何影响。如果我们处理应用密码的方式有任何更改,我们会及时公布。
系统何时会撤消令牌,是密码到期时还是密码更改时?
系统会在密码更改时撤消令牌。
除访问令牌之外,更改密码是否也会导致刷新令牌失效?
是的,更改密码会导致访问令牌和刷新令牌都失效。
我们有相应的自定义脚本,可多次为用户设置相同的密码。这样会导致令牌撤消吗?
如果此操作是在 Directory API 用户更新过程中完成的,并且相同的密码通过同一函数进行哈希处理,则系统将不会将此操作视为更改密码从而撤消令牌。
注意:如果您使用的哈希函数接受 salt,请务必在每次更新时使用相同的 salt。这样可以确保系统不会将更新视为密码更改。
此更改会给安全性较低的应用设置带来怎样的影响?
安全性较低的应用设置不会对因更改密码而遭到撤消的令牌造成任何影响。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。