Google-Apps-Entwickler müssen ab Oktober mit widerrufenen OAuth-2-Tokens rechnen
Wenn Enterprise-Gmail-Nutzer ihr Passwort ändern, werden ab dem 5. Oktober alle OAuth-2.0-Tokens ungültig. Entwickler von Apps, die auf den E-Mail-Dienst zugreifen, müssen eine erneute Autorisierung anfordern.
Ab dem 5. Oktober will Google die Sicherheit der Enterprise-Gmail-Konten bei der Zusammenarbeit mit Drittanwendungen erhöhen. Dazu widerruft das System OAuth-2.0-Tokens, wenn Nutzer ihr Passwort ändern. Google-Apps-Entwickler, die OAuth 2.0 zur Kommunikation mit den E-Mail-Diensten verwenden, müssen daher auf die Fehlermeldungen HTTP 400 (Bad Request = fehlerhafte Anfrage) beziehungsweise HTTP 401 (Unauthorized = fehlende gültige Authentifizierung) vorbereitet sein. Sie sollten sie nicht als unerwarteten Fehler behandeln, sondern als Zeichen verstehen, dass der Nutzer den Autorisierungsprozess für die entsprechende Anwendung erneut durchführen muss, damit die App weiter auf das Konto zugreifen kann.
Die Maßnahme ist eine von mehreren, mit denen Google die Sicherheit und Kontrolle der Kunden gegenüber Webanwendungen erhöhen will. So kündigte das Unternehmen im April an, ebenfalls ab Oktober vollständig vom Autorisierungsprotokoll OAuth 1.0 auf die aktuelle Version 2.0 zu wechseln. OAuth ist ein offenes Internetprotokoll, mit dem Endanwender Webanwendungen die Erlaubnis erteilen können, in ihrem Namen auf Dienste zuzugreifen, ohne dafür die tatsächlichen Log-in-Daten an die Anwendungen übermitteln zu müssen.
Von der Änderung sind zunächst lediglich Anwendungen betroffen, die Gmail-Scopes ansprechen. Mobile Anwendungen müssen ebenfalls bei Passwortänderungen eine neue Autorisierung anfordern. Weitere Details stehen im Blogbeitrag. (rme)
