Japan
このブログでは、Google から開発者のみなさま向けの情報をいち早くお届けします。
OAuth 2.0 のトークン取り消しによるアカウント セキュリティの強化
2016年10月4日火曜日
この記事は Michael Winser、 Google Apps プロダクト リード、
Wesley Chun
、Google Apps デベロッパー アドボケートによる Google Apps Developer Blog の記事 "
Google Apps Developer Blog: Increased account security via OAuth 2.0 token revocation
" を元に翻訳・加筆したものです。詳しくは元記事をご覧ください。
先週(*原文公開当時)
、OAuth 2.0 から Google のユーザーデータにアクセスする際の想定事項と責任を明確化しました。本日は、ユーザーの保護を強化するため、エンタープライズ Gmail ユーザーのアカウント セキュリティを強化することをお知らせいたします。これは、
2016 年 10 月 5 日
から有効になります。現在、新しいポリシーが反映される予定になっていますが、Google Apps ドメインのユーザーが
この日以降に
パスワードを変更すると、Gmail ベースの認証スコープを使ってメールボックスにアクセスするアプリの OAuth 2.0 トークンが取り消されることになります。
ユーザーはこの日に変更が行われることを意識する必要はなく
、
アプリケーションは動作を続けます
。これ以降にユーザーがパスワードを変更した場合のみ、Gmail 関連のトークンが無効になります。
デベロッパーは、トークンが取り消されたことによる HTTP 400 または 401 エラーコードを処理するようにアプリケーションを変更し、その際、アプリが再びメールボックスにアクセスできるよう、ユーザーが再度 OAuth フローを実行してアプリを再認証することをうながす必要があります(詳細は後述)。昨年後半にも、幅広い認証スコープに影響する同じようなセキュリティ ポリシーの変更計画について
お知らせ
しました。その後、Apps ユーザーに対してはこの変更を行わないことを
決定
し、上記のような影響が少ないアップデートについて作業を進めてきました。
取り消されたトークンとは
取り消された OAuth 2.0 トークンでは、ユーザーのリソースにはアクセスできません。API 呼び出しで取り消されたトークンを使うとエラーになります。既存のトークン文字列に値はなくなり、破棄されます。Google API にアクセスするアプリケーションは、API 呼び出しの失敗に対応するように変更する必要があります。
トークンの取り消し自体は、新しい機能ではありません。今までも、ユーザーはアプリケーションへのアクセスを
アカウント情報
から取り消すことができました。また、Google Apps 管理者も管理コンソールから同じことを行うことができます。さらに、長期間使われなかったトークンも、期限切れや取り消しの対象になっています。今回のセキュリティ ポリシーの変更によって、この処理が自動的に行われるようになるため、アプリケーションが取り消されたトークンを目にする比率が高まることが考えられます。
影響を受ける API とスコープ
できるだけ管理者を困らせたりエンドユーザーを混乱させたりせずに、今回のポリシー変更によるセキュリティ的なメリットを実現するため、変更の適用範囲を
メールスコープ
のみに限定し、
Apps スクリプト
トークンは
除外
することにしました。
Google Apps Marketplace
からインストールしたアプリも、トークンの取り消しの対象にはなりません。この変更が行われると、Apple Mail や Thunderbird などのサードパーティのメールアプリや、少なくとも 1 つのメールスコープを含む複数のスコープを使用するアプリケーションは、パスワードの再設定を行ってから新しい OAuth 2.0 トークンが付与されるまで、データにアクセスできなくなります。
アプリケーションでは、このシナリオを検知し、アプリケーションからアカウント データにアクセスできなくなったことをユーザーに通知し、ユーザーに再度 OAuth 2.0 フローを行ってもらう必要があります。
モバイル メールアプリもこのポリシー変更に含まれます。たとえば、iOS のネイティブ メールアプリのユーザーは、パスワードを変更した際に Google アカウントの認証情報を使って再認証する必要があります。モバイルでのサードパーティ メールアプリの新しい動作は、iOS と Android の Gmail アプリの現在の動作と一致しています。Gmail アプリも、パスワードの再設定時に再認証が必要になります。
取り消されたトークンの判定方法
ユーザーがパスワードを変更すると、一時的なアクセス トークンと長期間のリフレッシュ トークンの両方が取り消されます。API アクセスに取り消されたトークンを使ったり、新しいアクセス トークンを生成したりすると、HTTP 400 または 401 エラーが発生します。アプリケーションで API にアクセスしたり OAuth フローを処理するライブラリを使用している場合、エラーが例外としてスローされる可能性もあります。例外をキャッチする方法については、ライブラリのドキュメントをご確認ください。注: HTTP 400 エラーはさまざまな理由で発生する可能性があります。取り消されたトークンが原因で発生する 400 エラーのペイロードは次のようになります。
{ "error_description": "Token has been revoked.", "error": "invalid_grant" }
アプリケーションでの取り消されたトークンの扱い方
この変更に関する重要な点は、トークンの取り消しはエラー シナリオではなく、通常の状態を想定すべきであるということです。アプリケーションでは、この状態を予期して検知し、トークンの復元に最適な UI を提供する必要があります。
アプリケーションが正常に動作するよう、以下を行うことを推奨いたします。
取り消されたトークンを検知する可能性がある API 呼び出しやトークンのリフレッシュ処理の周辺にエラー処理コードを追加します。
取り消されたトークンを検知した際は、ユーザーがアプリケーションを再認証するまで、Google API アクセスを利用するすべてのアプリケーション機能を無効化します。たとえば、影響を受ける可能性がある Google API とデータを同期するバックグラウンド ジョブの実行を停止します。
アクセスが取り消されたユーザーに通知し、リソースへのアクセスを再認証してもらうよう要求します。
アプリが
直接
ユーザーとインタラクションする場合は、ユーザーに再認証を要求する必要があります(ユーザーに電子メールを送信、次回アプリケーションを開いた際にアラートを表示)。
ただし、アプリがユーザーから
独立
して実行されている場合、たとえば Gmail API を利用するバックグラウンド アプリの場合は、電子メールやその他の仕組みを利用してユーザーに通知する必要があります。
再認証のアクセス用に効率的な UI を提供し、ユーザーがアプリケーションで元の設定を探し回ることがないようにします。
トークンが取り消されると、どのように取り消されたのかにはよらず、同じエラー メッセージになります。パスワード変更によってトークンが取り消されたことを前提としたメッセージにはしないでください。
アプリケーションで同じトークンに複数のスコープを一括して
段階的に認証
している場合、ユーザーが有効にしている機能やスコープをトラッキングする必要があります。最終的に、アプリが複数のスコープの認証をリクエストして取得しており、少なくともその 1 つがトークンの取り消されたメールスコープである場合、もともと付与されている
すべての
スコープを再認証するようユーザーに要求する必要があります。
多くのアプリケーションで、トークンを利用したバックグラウンドまたはサーバー対サーバーの API 呼び出しが行われています。ユーザーは、バックグラウンド動作が確実に継続することを期待しています。今回のポリシー変更は、
そのような
アプリにも影響するため、即座に再認証のリクエストを通知することがさらに重要になります。
今回の変更のタイムライン
まとめると、適切に設定されたアプリケーションには、期限切れ、存在なし、取り消しなどによる無効なトークンを通常の状態と同様に汎用的に処理することが求められます。ユーザーにできる限り最高の体験をしていただけるよう、デベロッパーの皆様には必要な変更を行うことをお勧めします。ポリシーの変更は、
2016 年 10 月 5 日
に実施される予定です。
詳細および
メールスコープ
の完全なリストについては、
ヘルプセンターのよくある質問の記事
をご覧ください。今後、このポリシーに他のスコープが追加される際には、事前にお知らせいたします。詳細は、わかり次第お伝えします。
Posted by
Eiji Kitamura - Developer Relations Team
コメントを投稿
ラベル
#DevFest16
1
#hack4jp
3
A4A
2
Action on Google
1
Addy Osmani
1
ADK
2
AdMob
26
Ads
10
Agency
1
ALPN
1
AMP
33
AMP Cache
3
Analytics
9
Andorid
10
Android
215
Android Auto
1
Android Design Support Library
1
Android Developer Story
3
Android Go
1
Android N
18
Android O
3
Android Pay
1
Android Studio
19
Android Support Library
4
Android Things
3
Android TV
9
Android Wear
23
androidmarket
3
Angular 2
2
AngularJS
2
API
23
APIExpert
45
apk
2
app engine
21
App Indexing
7
App Invites
6
AppCompat
2
Apps Script
8
aprilfool
3
ArtTech
1
Associate Android Developer Certificate
1
Audio
3
Auth Code
1
Authentication
7
AuthSub
2
Autotrack
2
Awareness API
1
Beacons
6
BigQuery
9
Billing
1
BLE
4
Blink
1
blogger
1
Brillo
1
Brotli
1
Budou
1
Calendar
1
Cardboard
4
Career
1
Case Study
1
chrome
76
Chrome Custom Tab
1
Chrome Dev Summit
1
chrome extension
4
Chrome for Android
2
Chrome for iOS
2
Chrome OS
2
Chromebook
2
Chromecast
7
chromewebstore
6
Chromium
5
CLI
1
ClientLogin
3
Closure Compiler
1
Cloud
8
Cloud Functions
2
Cloud PubSub
1
Cloud Storage
1
Cloud Test Lab
2
CocoaPods
1
codejam
5
codelab
2
compute engine
3
Context
1
Crash Reporting
1
Dart
2
DataCenter
1
Daydream
4
Deep Learning
1
Demo Party
1
Design Sprint
3
DesignBytes
1
DevArt
3
DevBytes
6
Developer
14
Developer Console
4
Developer Preview
4
Developer Relations
2
DevFest
7
DevFestX
3
devtools
3
DirectShare
1
Doodle
1
DoubleClick
4
Doze モード
1
drive
2
Dynamic Links
1
EarlGrey
1
Easter Egg
1
ECMAScript 2015
1
Eddystone
4
egypt
1
English
2
ES2015
1
ES2016
1
ES6
2
ES7
1
Firebase
67
Firebase Admin SDK
1
Firebase Analytics
9
Firebase Auth
1
Firebase Cloud Messaging
6
Firebase Database
5
Firebase Libraries
1
Firebase Notifications
1
Firebase Remote Config
4
Flash
1
font
3
G Suite
9
game
17
GDD11JP
56
GDD2010JP
23
GDE
2
GDG
12
Geo
38
Gingerbread
1
GLIDE
5
Gmail
2
Gmail API
2
Go
1
golang
4
goo.gl
1
Google
5
Google Analytics
1
Google Apps
9
Google Apps Script
3
Google Assistant
1
Google Cast
8
Google Cloud
1
Google Cloud Messaging
10
Google Cloud Platform
6
Google Code-in
1
Google Developer Experts
2
Google Developers Academy
1
Google Developers live
5
Google Developers Summit
1
Google Drive
4
Google Fit
2
Google for Mobile
1
Google for Work
1
Google I/O
1
Google Maps
44
Google Play
42
Google Play Game Services
9
Google Play Services
19
Google Plus
14
Google Search
6
Google Sheets API
3
Google Sign-In
12
Google Slides API
4
Google Summer of Code
1
Google Tag Manager
1
Google Trust Services
1
Google+
2
Googleapps
10
GoogleGames
1
GoogleI/O
28
GoogleLabs
1
GoogleTV
1
Gradle
1
gRPC
2
GTUG
5
GWT
2
hack4jp
2
hackathon
6
Hosting
2
HTML5
17
HTML5Rocks
1
HTTP/2
5
HTTPS
8
ID Token
1
Identity
13
Identity Toolkit
1
Ignite
4
IME
10
Instant Apps
1
intern
2
Invites
1
iOS
15
IoT
3
IPv6
1
Issue Tracker
2
Japanese Input
1
JavaScript
5
K-12
1
Key Transparency
1
Knowledge Graph
1
l10n
8
LINE
1
Lollipop
10
Machine Learning
5
Marshmallow
10
Material
1
Material Design
21
MDL
1
MIDI
2
Mobile
12
Mobile Bootcamp
4
Mobile Sites certification
1
Mobile Vision
3
mod_pagespeed
1
monetize
3
Mozc
14
Music
1
NativeDriver
2
NativeScript
1
ndk
2
Nearby
4
Nexus
2
Nexus S
1
NFC
1
Node.js
2
Noto CJK
1
NPAPI
2
NPN
1
oauth
9
OpenGL
4
OpenID
3
OpenID Connect
3
OpenSocial
1
opensource
16
Optimization
1
Payment
2
People API
1
Performance
8
PersonFinder
1
Physical Web
3
Place Picker
1
Player Analytics
4
Policy
3
Polymer
7
Progressive Web Apps
11
project hosting
1
Promise
1
Promo code
1
Protocol Buffers
1
PRPL
1
publicdata
1
Push API
1
Push Notification
3
QUIC
1
RAIL
1
React
1
React Native
2
Realtime Database
3
Redux
1
Remote Config
3
Remote Display API
1
Rewarded Video Ads
2
Runtime Permission
1
Sample Code
2
Santa Tracker
1
schema.org
1
security
25
Service Worker
3
SHA-1
1
sketchup
1
SmartLock for Passwords
4
social
4
SPDY
3
speak2tweet
1
Spreadsheet
3
startup
3
Storage
2
streetview
3
Study Jams
3
Swift
1
SwiftShader
1
Task
4
techtalk
12
TensorFlow
3
TensorFlow Lite
1
test
3
Test Lab
3
ToS
1
Transliteration
1
Twitter
1
Udacity
18
Unity
3
UX
1
V8
2
VP9
1
VR
8
Vulkan
2
Watch Face
2
wave
2
Weave
1
Web
9
Web Animations
1
Web Components
5
Web Manifest
1
WebAssembly
1
WebGL
1
WebMusic
4
WTM
3
Xcode
1
YouTube
15
YouTube API
1
インタビュー
1
コードサンプル
1
プライバシー
1
言論の自由
1
節電
3
東日本大震災
9
日本語入力
40
ブログ アーカイブ
2017
5
4
3
2
1
2016
12
11
10
9
8
7
6
5
4
3
2
1
2015
12
11
10
9
8
7
6
5
4
3
2
2014
12
11
10
9
8
7
6
5
4
3
2
1
2013
12
11
10
9
8
7
6
5
4
3
2
1
2012
12
11
10
9
8
7
6
5
4
3
2
1
2011
12
11
10
9
8
7
6
5
4
3
2
1
2010
12
11
Feed
Google
on
Follow @googledevjp
"プロダクトに関するご意見は
プロダクトフォーラム
にお願いします"
