Para aumentar a segurança das contas dos usuários do Google, os tokens OAuth 2.0 emitidos para acesso a determinados produtos são revogados automaticamente quando a senha de um usuário é alterada. Os apps de e-mail de terceiros, como o Apple Mail e o Mozilla Thunderbird, e outros aplicativos que usam escopos de e-mail para acessar os e-mails de um usuário, vão parar de sincronizar os dados após a redefinição de senha até que um novo token OAuth 2.0 seja concedido. Um novo token será concedido quando o usuário fizer a reautenticação com o nome de usuário e a senha da Conta do Google.
Os aplicativos de e-mail de terceiros em dispositivos móveis também estão incluídos nessa mudança de política. Por exemplo, os usuários que usam o aplicativo de e-mail nativo no iOS agora precisam fazer a reautenticação com as credenciais da Conta do Google quando a senha é alterada. Esse novo comportamento para apps de e-mail de terceiros em dispositivos móveis está alinhado ao comportamento atual do Gmail no iOS e Android, que também exige a reautenticação após a redefinição de senha.
O processo de revogação de token não inclui aplicativos criados no Apps Script, mesmo que o script acesse e-mails.
Observações:
- Se a mudança de senha for acionada em um dispositivo Android, o token OAuth da sincronização de conta usada por esse dispositivo Android não será revogado.
- As sessões IMAP do Gmail autenticadas usando o OAuth não são afetadas por uma mudança de senha, mas são limitadas ao período de validade do token de acesso (geralmente 1 hora).
Perguntas
Como essa mudança afeta os aplicativos que usam uma senha de app se a verificação em duas etapas estiver ativada?
No momento, não há impacto. Vamos anunciar as mudanças no tratamento de senhas de app quando elas ocorrerem.
Quando os tokens são revogados, após a expiração ou a mudança de senha?
Os tokens são revogados após a mudança de senha.
Uma mudança de senha invalida os tokens de acesso e de atualização?
Sim, a mudança de senha invalida os tokens de acesso e de atualização.
Temos um script personalizado que define a mesma senha para um usuário várias vezes. Isso vai acionar a revogação do token?
Se isso for feito pela atualização de usuários da API Directory e a mesma senha for criptografada pela mesma função, isso não será tratado como uma mudança de senha e, portanto, os tokens não serão revogados.
Observação: se você estiver usando uma função de hash que aceita um salt, use o mesmo salt para cada atualização. Isso garante que a atualização não seja tratada como uma mudança de senha.
Como essa mudança afeta a configuração Apps menos seguros ?
A configuração Apps menos seguros não terá impacto nos tokens revogados após a mudança de senha.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.