google账号 简单三步，轻松保障用户账号安全

作者亚当·道斯

我们一直在寻找提高用户安全性的方法，以确保用户能够在谷歌平台和应用上享受高级别的安全保护。为此，我们投入了大量的研发精力，推出了Google Sign In功能，让用户可以将Google账号上的所有安全功能扩展到你的应用。

过去所有的单点登录方案都有一个致命的缺点:在极少数情况下，攻击者可以在入侵用户的Google账户后，通过Google Sign In获得并持有对应用程序的访问权限。为了帮助开发人员解决这个问题，我们在谷歌登录中添加了一个名为“CAP，跨帐户保护”的新功能。

CAP是一个简单的安全协议，允许两个应用程序发送和接收关于同一用户的安全通知。协议支持的安全事件类型包括:(1)账户劫持；(2)账号禁用；(3) Google终止所有用户会话；(4)锁定账户，强制用户更改密码。此外，当我们检测到一个账户可能导致您的系统被滥用时，我们也会发出相应的信号。

我们与OpenID基金会和互联网工程任务组(IETF)共同制定了《网络风险与安全事件和安全事件的共享与对策》等几项新的网络标准，并基于这些标准开发了CAP功能。这意味着您只需要构建一个实现来接收来自多个身份提供者的信号。

《网络风险和安全事件的共享及对策》 https://bitbucket.org/openid/risc/src/5fb03c6c9ab75f3dbf0da943b7e40b328b45161e/oauth-event-types-1_0.txt?at=master&fileviewer=file-view-default《安全事件》 https://datatracker.ietf.org/doc/rfc8417/

如果用户通过谷歌登录登录了您的应用程序，谷歌将向该应用程序发送安全事件通知。如果您已经将谷歌登录集成到您的服务中，您可以通过三个简单的步骤开始接收信号:

1.打开添加了谷歌登录功能的项目，启用RISC应用编程接口，并创建一个服务帐户。如果在多个项目中配置Web、Android、iOS上的客户信息，请在所有项目中依次重复以上步骤。

启用 RISC API https://console.developers.google.com/apis/library/risc.googleapis.com?pli=1创建一个服务账号 https://console.developers.google.com/projectselector2/apis/credentials?supportedpurview=project

2.创建一个RISC接受终端:请在你的服务中启用REST API，Google会以POST请求的形式向终端发送安全事件令牌。收到这些事件后，你需要验证它们是否真的来自Google，并采取相应的措施，比如结束当前用户会话、禁用账户、选择另一种登录方案，或者检查用户账户是否有其他可疑活动。

3.使用服务帐户为Google pubsub配置您的API的位置。完成这一步后，您可以开始接收信号，并开始测试和释放CAP安全功能。

如果您已经开始使用谷歌登录，请阅读官方文档了解更多技术细节。如果您还没有启用此功能，您可能希望尝试它，并使用CAP为用户创建更好的安全环境。此外，我们还在Firebase认证和Google云认证(客户和合作伙伴版本)中自动集成了CAP功能，因此如果应用程序使用这两种服务，您无需做任何事情就可以直接体验到CAP带来的强大安全保护。最后，也欢迎您使用堆栈溢出网站上的#SecEvent标记提问。

官方文档 https://developers.google.cn/identity/riscFirebase 身份认证 https://firebase.google.cn/products/auth/Google 云端身份认证 (客户及合作伙伴版) https://cloud.google.com/identity-cp/

|阅读原文|了解更多关于P & amp；相关产品内容