Para aumentar la seguridad de las cuentas de los usuarios de Google, los tokens de OAuth 2.0 emitidos para acceder a ciertos productos se revocan automáticamente cuando un usuario cambia su contraseña. Las apps de correo de terceros, como Apple Mail y Mozilla Thunderbird, así como otras aplicaciones que usan permisos de correo para acceder al correo de un usuario, dejarán de sincronizar datos cuando se restablezca la contraseña hasta que se otorgue un nuevo token de OAuth 2.0. Se otorgará un token nuevo cuando el usuario vuelva a autenticarse con su nombre de usuario y contraseña de la Cuenta de Google.
Las aplicaciones de correo de terceros para dispositivos móviles también se incluyen en este cambio de política. Por ejemplo, los usuarios que usan la aplicación de correo nativa en iOS ahora deberán volver a autenticarse con sus credenciales de la Cuenta de Google cuando se cambie su contraseña. Este nuevo comportamiento para las apps de correo de terceros en dispositivos móviles se alinea con el comportamiento actual de Gmail en iOS y Android, que también requiere volver a autenticarse cuando se restablece la contraseña.
El proceso de revocación de tokens no incluye las aplicaciones compiladas en Apps Script, incluso si la secuencia de comandos accede al correo.
Notas:
- Si el cambio de contraseña se activa desde un dispositivo Android, no se revoca el token de OAuth para la sincronización de la cuenta que usa este dispositivo Android.
- Las sesiones de IMAP de Gmail autenticadas con OAuth no se ven afectadas por un cambio de contraseña, pero se limitan al período de validez del token de acceso (por lo general, 1 hora).
Preguntas
¿Cómo afecta este cambio a las aplicaciones que usan una contraseña de la aplicación si la verificación en dos pasos está habilitada?
Actualmente, no hay ningún impacto. Anunciaremos cualquier cambio en el tratamiento de las contraseñas de la aplicación cuando se produzca.
¿Cuándo se revocan los tokens, cuando vence la contraseña o cuando se cambia?
Los tokens se revocan cuando se cambia la contraseña.
¿Un cambio de contraseña invalida los tokens de acceso y los tokens de actualización?
Sí, el cambio de contraseña invalida los tokens de acceso y los tokens de actualización.
Tenemos una secuencia de comandos personalizada que establece la misma contraseña para un usuario varias veces. ¿Esto activará la revocación del token?
Si esto se hace a través de la actualización de usuarios de la API de Directory y la misma contraseña se codifica con la misma función, no se tratará como un cambio de contraseña y, por lo tanto, no se deben revocar los tokens.
Nota: Si usas una función de hash que acepta un salt, asegúrate de usar el mismo salt para cada actualización. Esto garantiza que la actualización no se trate como un cambio de contraseña.
¿Cómo afecta este cambio a la configuración de Apps menos seguras?
La configuración de Apps menos seguras no tendrá ningún impacto en la revocación de tokens cuando se cambie la contraseña.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.