为了增强 Google 用户帐号的安全性,用户密码更改后,为访问特定产品而颁发的 OAuth 2.0 令牌会被自动撤消。重置密码后,第三方邮件应用(例如 Apple 邮件和 Mozilla Thunderbird)以及其他使用 邮件权限范围 访问用户邮件的应用在获得新的 OAuth 2.0 令牌之前会停止同步数据。用户使用 Google 帐号用户名和密码重新进行身份验证后,会获得一个新令牌。
此政策变更也适用于移动设备上的第三方邮件应用。例如,如果用户使用 iOS 上的原生邮件应用,则在密码更改后,必须使用 Google 帐号凭据重新进行身份验证。移动设备上的第三方邮件应用的新行为与 iOS 和 Android 版 Gmail 的当前行为一致,后者在重置密码后也需要重新进行身份验证。
令牌撤消流程不包括基于 Apps 脚本构建的应用,即使脚本访问邮件也是如此。
注意:
- 如果密码更改是从 Android 设备触发的,则此 Android 设备使用的帐号同步的 OAuth 令牌不会被撤消。
- 使用 OAuth 进行身份验证的 Gmail IMAP 会话不受密码更改的影响,但会受到访问令牌有效期(通常为 1 小时)的限制。
问题
如果启用了两步验证,此变更对使用应用专用密码的应用有何影响?
目前没有影响。如果应用专用密码的处理方式发生任何变化,我们会及时公布。
令牌是在密码到期时还是在密码更改时被撤消?
令牌是在密码更改时被撤消。
密码更改是否会使访问令牌和刷新令牌失效?
是的,密码更改会使访问令牌和刷新令牌失效。
我们有一个自定义脚本,可多次为用户设置相同的密码。这是否会触发令牌撤消?
如果此操作是通过 Directory API 用户更新完成的,并且使用同一函数对同一密码进行哈希处理,则不会将其视为密码更改,因此令牌不应被撤消。
注意:如果您使用的哈希函数接受盐值,请确保每次更新都使用相同的盐值。这样可确保更新不会被视为密码更改。
此变更对安全性较低的应用 设置有何影响?
安全性较低的应用 设置不会影响在密码更改时撤消令牌。
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。