Con el objetivo de aumentar la seguridad de la cuenta de los usuarios de Google, cuando se cambia la contraseña de un usuario, se revocan automáticamente los tokens de OAuth 2.0 emitidos para acceder a determinados productos. Al cambiar la contraseña de las aplicaciones de correo de terceros, como Apple Mail y Mozilla Thunderbird, así como de otras aplicaciones que utilicen alcances de correo para acceder a uno, estas dejan de sincronizar datos hasta que se asigne un nuevo token de OAuth 2.0. Este token se asignará cuando el usuario se vuelva a autenticar con el nombre de usuario y la contraseña de su cuenta de Google.
Las aplicaciones de correo electrónico para móviles de terceros también están incluidas en este cambio de la política. Por ejemplo, los usuarios que utilizan la aplicación nativa de correo electrónico en iOS tendrán que volver a autenticarse con las credenciales de su cuenta de Google cuando su contraseña cambie. Este nuevo comportamiento de las aplicaciones de correo electrónico para móviles de terceros coincide con el comportamiento actual de Gmail en iOS y Android, que también requieren volver a autenticarse al restablecer la contraseña.
El proceso de revocación del token no incluye las aplicaciones creadas en Apps Script, incluso aunque una secuencia de comandos acceda al correo.
Nota: Si un dispositivo Android solicita un cambio de contraseña, no se revoca el token de OAuth que ha utilizado dicho dispositivo para sincronizar la cuenta.
Preguntas
Actualmente, no tiene ningún efecto. Comunicaremos cualquier cambio relativo al tratamiento de las contraseñas de aplicación en cuanto se produzca.
Los tokens se revocan al cambiar la contraseña.
Sí, el cambio de la contraseña invalida tanto los tokens de acceso como los de actualización.
Si esta operación se realiza a través de la actualización de usuarios de la API de Directory, y se hashea esa contraseña usando la misma función, no se considerará que se haya cambiado la contraseña, por lo que no se deberían revocar los tokens.
Nota: Al usar una función de tecnología hash que permita añadir salt a las contraseñas, debes utilizar el mismo valor de salt en todas las actualizaciones. De esta forma, una actualización no se considera un cambio de contraseña.
El ajuste Aplicaciones menos seguras no afectará a los tokens que se estén revocando al cambiar la contraseña.
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.
