क्लाइंट-साइड वेब ऐप्लिकेशन के लिए OAuth 2.0

इस दस्तावेज़ में बताया गया है कि किसी JavaScript वेब ऐप्लिकेशन से Google API को ऐक्सेस करने के लिए, OAuth 2.0 की अनुमति को कैसे लागू किया जाता है. OAuth 2.0, उपयोगकर्ताओं को अपने उपयोगकर्ता नाम, पासवर्ड, और दूसरी जानकारी को निजी रखते हुए, किसी ऐप्लिकेशन के साथ खास डेटा शेयर करने की सुविधा देता है. उदाहरण के लिए, कोई ऐप्लिकेशन OAuth 2.0 का इस्तेमाल करके, उपयोगकर्ताओं से अपनी Google Drive में फ़ाइलें सेव करने की अनुमति ले सकता है.

इस OAuth 2.0 फ़्लो को इंप्लिसिट ग्रांट फ़्लो कहा जाता है. इसे उन ऐप्लिकेशन के लिए डिज़ाइन किया गया है जो एपीआई को सिर्फ़ तब ऐक्सेस करते हैं, जब उपयोगकर्ता ऐप्लिकेशन का इस्तेमाल कर रहा हो. ये ऐप्लिकेशन, गोपनीय जानकारी सेव नहीं कर सकते.

इस फ़्लो में, आपका ऐप्लिकेशन एक Google यूआरएल खोलता है जो क्वेरी पैरामीटर का इस्तेमाल करके आपके ऐप्लिकेशन और एपीआई ऐक्सेस के टाइप की पहचान करता है. यूआरएल को मौजूदा ब्राउज़र विंडो या पॉप-अप में खोला जा सकता है. उपयोगकर्ता Google से पुष्टि कर सकता है और अनुरोध की गई अनुमतियां दे सकता है. इसके बाद, Google उस व्यक्ति को आपके ऐप्लिकेशन पर रीडायरेक्ट करता है. रीडायरेक्ट में एक ऐक्सेस टोकन होता है. आपका ऐप्लिकेशन इसकी पुष्टि करता है और फिर एपीआई के अनुरोध करने के लिए इसका इस्तेमाल करता है.

Google API क्लाइंट लाइब्रेरी और Google Identity सेवाएं

अगर आपने Google को अनुमति वाले कॉल करने के लिए, JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल किया है, तो आपको OAuth 2.0 फ़्लो को हैंडल करने के लिए, Google Identity Services की JavaScript लाइब्रेरी का इस्तेमाल करना चाहिए. कृपया Google Identity Services का टोकन मॉडल देखें. यह OAuth 2.0 इंप्लिसिट ग्रांट फ़्लो पर आधारित है.

ज़रूरी शर्तें

अपने प्रोजेक्ट के लिए एपीआई चालू करें

जो ऐप्लिकेशन Google API को कॉल करता है उसे उन एपीआई को API Consoleमें चालू करना होगा.

अपने प्रोजेक्ट के लिए एपीआई चालू करने के लिए:

  1. Google API Console मेंOpen the API Library .
  2. If prompted, select a project, or create a new one.
  3. API Library में, प्रॉडक्ट फ़ैमिली और लोकप्रियता के हिसाब से, सभी उपलब्ध एपीआई की सूची होती है. आपको जिस एपीआई को चालू करना है, अगर वह सूची में नहीं दिख रहा है, तो उसे ढूंढने के लिए खोजें का इस्तेमाल करें. इसके अलावा, उस प्रॉडक्ट फ़ैमिली में सभी देखें पर क्लिक करें जिससे यह जुड़ा है.
  4. वह एपीआई चुनें जिसे आपको चालू करना है. इसके बाद, चालू करें बटन पर क्लिक करें.
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

अनुमति देने वाले क्रेडेंशियल बनाएं

Google API को ऐक्सेस करने के लिए OAuth 2.0 का इस्तेमाल करने वाले किसी भी ऐप्लिकेशन के पास ऐसे अनुमति क्रेडेंशियल होने चाहिए जो Google के OAuth 2.0 सर्वर पर ऐप्लिकेशन की पहचान कर सकें. अपने प्रोजेक्ट के लिए क्रेडेंशियल बनाने का तरीका यहां बताया गया है. इसके बाद, आपके ऐप्लिकेशन उन एपीआई को ऐक्सेस करने के लिए क्रेडेंशियल का इस्तेमाल कर सकते हैं जिन्हें आपने उस प्रोजेक्ट के लिए चालू किया है.

  1. Go to the Credentials page.
  2. क्रेडेंशियल बनाएं > OAuth क्लाइंट आईडी पर क्लिक करें.
  3. वेब ऐप्लिकेशन ऐप्लिकेशन का टाइप चुनें.
  4. फ़ॉर्म भरें. Google API के आधिकारिक अनुरोध करने के लिए, JavaScript का इस्तेमाल करने वाले ऐप्लिकेशन को अनुमति वाले JavaScript ऑरिजिन के बारे में बताना होगा. ऑरिजिन उन डोमेन की पहचान करते हैं जिनसे आपका ऐप्लिकेशन, OAuth 2.0 सर्वर को अनुरोध भेज सकता है. इन ऑरिजिन को पुष्टि करने के लिए Google के नियमों का पालन करना होगा.

ऐक्सेस के दायरे की पहचान करना

दायरे की मदद से, आपका ऐप्लिकेशन सिर्फ़ उन संसाधनों के ऐक्सेस का अनुरोध कर सकता है जिनकी उसे ज़रूरत है. साथ ही, उपयोगकर्ताओं को यह कंट्रोल करने की सुविधा भी मिलती है कि वे आपके ऐप्लिकेशन को कितने ऐक्सेस दें. इसलिए, अनुरोध किए गए दायरों की संख्या और उपयोगकर्ता की सहमति लेने की संभावना के बीच अंतर हो सकता है.

OAuth 2.0 की मदद से अनुमति देने की प्रक्रिया शुरू करने से पहले, हमारा सुझाव है कि आप ऐसे दायरों की पहचान कर लें जिन्हें ऐक्सेस करने के लिए आपके ऐप्लिकेशन को अनुमति की ज़रूरत होगी.

OAuth 2.0 API स्कोप दस्तावेज़ में उन दायरों की पूरी सूची है जिनका इस्तेमाल आप Google API को ऐक्सेस करने के लिए कर सकते हैं.

OAuth 2.0 ऐक्सेस टोकन पाना

नीचे दिए गए तरीके से पता चलता है कि उपयोगकर्ता की ओर से एपीआई अनुरोध करने के लिए, उपयोगकर्ता की सहमति लेने के लिए, आपका ऐप्लिकेशन किस तरह Google के OAuth 2.0 सर्वर के साथ इंटरैक्ट करता है. आपके ऐप्लिकेशन के पास वह सहमति होनी चाहिए, उसके बाद ही वह Google API अनुरोध पर कार्रवाई कर सकता है जिसके लिए उपयोगकर्ता की अनुमति की ज़रूरत होती है.

पहला चरण: Google के OAuth 2.0 सर्वर पर रीडायरेक्ट करना

किसी उपयोगकर्ता के डेटा को ऐक्सेस करने की अनुमति मांगने के लिए, उसे Google के OAuth 2.0 सर्वर पर रीडायरेक्ट करें.

OAuth 2.0 एंडपॉइंट

https://accounts.google.com/o/oauth2/v2/auth पर Google के OAuth 2.0 एंडपॉइंट से ऐक्सेस का अनुरोध करने के लिए, यूआरएल जनरेट करें. इस एंडपॉइंट को एचटीटीपीएस पर ऐक्सेस किया जा सकता है. सादे एचटीटीपी कनेक्शन अस्वीकार किए गए हैं.

Google का ऑथराइज़ेशन सर्वर, वेब सर्वर ऐप्लिकेशन के लिए नीचे दिए गए क्वेरी स्ट्रिंग पैरामीटर के साथ काम करता है:

पैरामीटर
client_id ज़रूरी

आपके ऐप्लिकेशन का क्लाइंट आईडी. यह वैल्यू API Console Credentials pageमें देखी जा सकती है.

redirect_uri ज़रूरी

यह तय करता है कि उपयोगकर्ता के ऑथराइज़ेशन फ़्लो को पूरा करने के बाद, एपीआई सर्वर उपयोगकर्ता को कहां रीडायरेक्ट करता है. यह वैल्यू, OAuth 2.0 क्लाइंट के लिए अनुमति वाले उस रीडायरेक्ट यूआरआई में से किसी एक से पूरी तरह मेल खानी चाहिए जिसे आपने अपने क्लाइंट के API Console Credentials pageमें कॉन्फ़िगर किया है. अगर यह वैल्यू, दिए गए client_id के लिए अनुमति वाले दूसरे वेबलिंक से मेल नहीं खाती है, तो आपको redirect_uri_mismatch गड़बड़ी मिलेगी.

ध्यान दें कि http या https स्कीम, केस, और पीछे लगने वाले स्लैश ('/') सभी मेल खाने चाहिए.

response_type ज़रूरी

JavaScript ऐप्लिकेशन को पैरामीटर की वैल्यू को token पर सेट करना होगा. यह वैल्यू, Google ऑथराइज़ेशन सर्वर को यह निर्देश देती है कि वह यूआरआई (#) के फ़्रैगमेंट आइडेंटिफ़ायर में, name=value पेयर के तौर पर ऐक्सेस टोकन लौटाए. इस पर, अनुमति देने की प्रोसेस पूरी होने के बाद, उपयोगकर्ता को रीडायरेक्ट किया जाता है.

scope ज़रूरी

स्कोप की ऐसी सूची जिन्हें अलग-अलग फ़ॉर्मैट में इस्तेमाल किया जा सकता है. इससे उन संसाधनों की पहचान होती है जिन्हें आपका ऐप्लिकेशन, उपयोगकर्ता की ओर से ऐक्सेस कर सकता है. ये वैल्यू उस स्क्रीन के बारे में जानकारी देती हैं जो Google को सहमति वाली स्क्रीन पर दिखता है.

दायरे की मदद से, आपका ऐप्लिकेशन सिर्फ़ उन संसाधनों के ऐक्सेस का अनुरोध कर सकता है जिनकी उसे ज़रूरत है. साथ ही, इससे उपयोगकर्ता यह कंट्रोल कर सकते हैं कि वे आपके ऐप्लिकेशन को कितने ऐक्सेस दें. इसलिए, अनुरोध किए गए दायरों की संख्या और उपयोगकर्ता की सहमति लेने की संभावना के बीच काफ़ी अंतर होता है.

हमारा सुझाव है कि जब भी मुमकिन हो, तब अपने ऐप्लिकेशन से अनुमति वाले दायरे के ऐक्सेस का अनुरोध करें. इंक्रीमेंटल अनुमति से, उपयोगकर्ता के डेटा का ऐक्सेस पाने के लिए अनुरोध करने से, उपयोगकर्ताओं को यह समझने में आसानी होती है कि आपके ऐप्लिकेशन को डेटा ऐक्सेस करने की अनुमति क्यों चाहिए.

state सुझाया गया

इससे ऐसी स्ट्रिंग की वैल्यू के बारे में पता चलता है जिसका इस्तेमाल आपका ऐप्लिकेशन, अनुमति देने के आपके अनुरोध और अनुमति देने वाले सर्वर के रिस्पॉन्स के बीच की स्थिति बनाए रखने के लिए करता है. सर्वर, वही वैल्यू दिखाता है जिसे redirect_uri के यूआरएल फ़्रैगमेंट आइडेंटिफ़ायर (#) में, name=value पेयर के तौर पर भेजा जाता है. ऐसा तब किया जाता है, जब उपयोगकर्ता आपके ऐप्लिकेशन के ऐक्सेस के अनुरोध के लिए सहमति देता है या अनुरोध को अस्वीकार करता है.

इस पैरामीटर का इस्तेमाल कई कामों के लिए किया जा सकता है. जैसे, उपयोगकर्ता को अपने ऐप्लिकेशन में सही संसाधन पर ले जाना, नॉन्स भेजना, और दूसरी साइट से किए जाने वाले अनुरोधों की जालसाज़ी को कम करना. आपके redirect_uri का अंदाज़ा लगाया जा सकता है. इसलिए, state वैल्यू का इस्तेमाल करने से यह भरोसा बढ़ सकता है कि कनेक्शन, पुष्टि करने के अनुरोध की वजह से ही हुआ है. अगर कोई रैंडम स्ट्रिंग जनरेट की जाती है या किसी कुकी या क्लाइंट की स्थिति को कैप्चर करने वाली किसी अन्य वैल्यू को कोड में बदला जाता है, तो रिस्पॉन्स की पुष्टि की जा सकती है. इससे यह भी पक्का किया जा सकता है कि अनुरोध और रिस्पॉन्स एक ही ब्राउज़र से आया है. साथ ही, इससे क्रॉस-साइट पर की जाने वाली धोखाधड़ी जैसे हमलों से सुरक्षा मिलती है. state टोकन बनाने और उसकी पुष्टि करने के तरीके का उदाहरण देखने के लिए, OpenID Connect दस्तावेज़ देखें.

include_granted_scopes ज़रूरी नहीं

इससे ऐप्लिकेशन को कॉन्टेक्स्ट के हिसाब से, ज़्यादा दायरे के ऐक्सेस का अनुरोध करने के लिए, इंक्रीमेंटल अनुमति का इस्तेमाल करने की सुविधा मिलती है. अगर इस पैरामीटर की वैल्यू को true पर सेट किया जाता है और अनुमति देने के अनुरोध को स्वीकार किया जाता है, तो नए ऐक्सेस टोकन में वे सभी स्कोप भी शामिल होंगे जिनके लिए उपयोगकर्ता ने पहले ऐप्लिकेशन का ऐक्सेस दिया था. उदाहरण के लिए, इंक्रीमेंटल अनुमति वाला सेक्शन देखें.

login_hint ज़रूरी नहीं

अगर आपके ऐप्लिकेशन को पता है कि कौनसा उपयोगकर्ता पुष्टि करने की कोशिश कर रहा है, तो वह Google के पुष्टि करने वाले सर्वर को संकेत देने के लिए इस पैरामीटर का इस्तेमाल कर सकता है. सर्वर, लॉगिन फ़्लो को आसान बनाने के लिए संकेत का इस्तेमाल करता है. इसके लिए, साइन-इन फ़ॉर्म में ईमेल फ़ील्ड में जानकारी पहले से भरी होती है या एक से ज़्यादा लॉगिन वाले सही सेशन को चुना जाता है.

पैरामीटर वैल्यू को ईमेल पते या sub आइडेंटिफ़ायर पर सेट करें. यह वैल्यू, उपयोगकर्ता के Google आईडी की तरह होनी चाहिए.

prompt ज़रूरी नहीं

लोगों को दिखाने के लिए, प्रॉम्प्ट की ऐसी सूची जिसमें स्पेस को अलग-अलग जगह दी गई हो और जिसमें केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) हों. अगर इस पैरामीटर का इस्तेमाल नहीं किया जाता, तो उपयोगकर्ता को सिर्फ़ पहली बार आपके प्रोजेक्ट से ऐक्सेस का अनुरोध करने पर सूचना मिलेगी. ज़्यादा जानकारी के लिए, फिर से सहमति देना देखें.

आपको ये वैल्यू दिख सकती हैं:

none पुष्टि करने या सहमति देने वाली कोई भी स्क्रीन न दिखाएं. दूसरी वैल्यू के साथ नहीं बताया जाना चाहिए.
consent उपयोगकर्ता से सहमति के लिए अनुरोध करें.
select_account उपयोगकर्ता से कोई खाता चुनने का अनुरोध करें.

Google के ऑथराइज़ेशन सर्वर पर रीडायरेक्ट करने का सैंपल

उदाहरण के तौर पर, नीचे एक यूआरएल दिया गया है. इसमें लाइन ब्रेक और खाली जगह देकर ऐसा किया गया है कि इन्हें आसानी से पढ़ा जा सके.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 include_granted_scopes=true&
 response_type=token&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

अनुरोध का यूआरएल बनाने के बाद, लोगों को उस पर रीडायरेक्ट करें.

JavaScript सैंपल कोड

नीचे दिया गया JavaScript स्निपेट दिखाता है कि JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल किए बिना, JavaScript में अनुमति देने का फ़्लो कैसे शुरू किया जाए. OAuth 2.0 एंडपॉइंट पर, क्रॉस-ऑरिजिन रिसॉर्स शेयरिंग (सीओआरएस) की सुविधा काम नहीं करती. इसलिए, स्निपेट एक ऐसा फ़ॉर्म बनाता है जो उस एंडपॉइंट पर अनुरोध खोलता है.

/*
 * Create form to request access token from Google's OAuth 2.0 server.
 */
function oauthSignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

  // Create <form> element to submit parameters to OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'GET'); // Send as a GET request.
  form.setAttribute('action', oauth2Endpoint);

  // Parameters to pass to OAuth 2.0 endpoint.
  var params = {'client_id': 'YOUR_CLIENT_ID',
                'redirect_uri': 'YOUR_REDIRECT_URI',
                'response_type': 'token',
                'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
                'include_granted_scopes': 'true',
                'state': 'pass-through value'};

  // Add form parameters as hidden input values.
  for (var p in params) {
    var input = document.createElement('input');
    input.setAttribute('type', 'hidden');
    input.setAttribute('name', p);
    input.setAttribute('value', params[p]);
    form.appendChild(input);
  }

  // Add form to page and submit it to open the OAuth 2.0 endpoint.
  document.body.appendChild(form);
  form.submit();
}

दूसरा चरण: Google, उपयोगकर्ता से सहमति के लिए अनुरोध करता है

इस चरण में, उपयोगकर्ता तय करता है कि आपके ऐप्लिकेशन को अनुरोध किया गया ऐक्सेस देना है या नहीं. इस चरण में, Google एक सहमति विंडो दिखाता है. इसमें आपके ऐप्लिकेशन और उन Google API सेवाओं का नाम दिखता है जिन्हें ऐक्सेस करने के लिए वह उपयोगकर्ता के ऑथराइज़ेशन क्रेडेंशियल की मदद से, ऐक्सेस देने का अनुरोध करता है. साथ ही, ऐक्सेस देने के दायरे की खास जानकारी भी दिखती है. इसके बाद, उपयोगकर्ता आपके ऐप्लिकेशन के अनुरोध किए गए एक या उससे ज़्यादा दायरों का ऐक्सेस देने की सहमति दे सकता है या अनुरोध को अस्वीकार कर सकता है.

इस चरण में, आपके ऐप्लिकेशन को कुछ करने की ज़रूरत नहीं होती. ऐसा इसलिए, क्योंकि यह इंतज़ार करता है कि Google के OAuth 2.0 सर्वर से रिस्पॉन्स मिले कि कोई ऐक्सेस दिया गया है या नहीं. इस जवाब के बारे में इस चरण में बताया गया है.

गड़बड़ियां

Google के OAuth 2.0 के ऑथराइज़ेशन एंडपॉइंट के अनुरोधों में, पुष्टि करने और ऑथराइज़ेशन फ़्लो के बजाय, उपयोगकर्ता को दिखने वाले गड़बड़ी के मैसेज दिख सकते हैं. आम गड़बड़ी कोड और सुझाए गए तरीकों के बारे में नीचे बताया गया है.

admin_policy_enforced

Google खाते के Google Workspace एडमिन की नीतियों की वजह से, अनुरोध किए गए एक या उससे ज़्यादा दायरे को Google खाता अनुमति नहीं दे सकता. Google Workspace एडमिन के लिए सहायता लेख पढ़ें यह तय करें कि तीसरे पक्ष और आपके डोमेन के मालिकाना हक वाले कौनसे ऐप्लिकेशन, Google Workspace का डेटा ऐक्सेस कर सकते हैं. इस बारे में ज़्यादा जानने के लिए कि एडमिन आपके OAuth क्लाइंट आईडी का ऐक्सेस साफ़ तौर पर मिलने तक, सभी स्कोप या संवेदनशील और पाबंदी वाले दायरों के ऐक्सेस पर पाबंदी कैसे लगा सकता है.

disallowed_useragent

ऑथराइज़ेशन एंडपॉइंट, एम्बेड किए गए ऐसे उपयोगकर्ता-एजेंट में दिखाया जाता है जिसे Google की OAuth 2.0 नीतियों के तहत अनुमति नहीं है.

Android

Android डेवलपर को यह गड़बड़ी का मैसेज, android.webkit.WebView में अनुमति के अनुरोध खोलते समय दिख सकता है. इसके बजाय, डेवलपर को Android लाइब्रेरी का इस्तेमाल करना चाहिए. जैसे, Android के लिए Google साइन-इन या OpenID फ़ाउंडेशन के Android के लिए AppAuth.

वेब डेवलपर को यह गड़बड़ी तब दिख सकती है, जब कोई Android ऐप्लिकेशन, एम्बेड किए गए उपयोगकर्ता-एजेंट में सामान्य वेब लिंक खोलता है और कोई उपयोगकर्ता आपकी साइट से Google के OAuth 2.0 ऑथराइज़ेशन एंडपॉइंट पर नेविगेट करता है. डेवलपर को ऑपरेटिंग सिस्टम के डिफ़ॉल्ट लिंक हैंडलर में सामान्य लिंक खोलने की अनुमति देनी चाहिए. इसमें, Android ऐप्लिकेशन के लिंक हैंडलर या डिफ़ॉल्ट ब्राउज़र ऐप्लिकेशन, दोनों शामिल हैं. Android की कस्टम टैब लाइब्रेरी भी काम करती है.

iOS

iOS और macOS डेवलपर को यह गड़बड़ी, WKWebView में अनुमति के अनुरोध खोलते समय दिख सकती है. इसके बजाय, डेवलपर को iOS लाइब्रेरी का इस्तेमाल करना चाहिए, जैसे कि iOS के लिए 'Google साइन-इन' या OpenID फ़ाउंडेशन के iOS के लिए AppAuth.

वेब डेवलपर को यह गड़बड़ी तब दिख सकती है, जब कोई iOS या macOS ऐप्लिकेशन, एम्बेड किए गए उपयोगकर्ता-एजेंट में कोई सामान्य वेब लिंक खोलता है और कोई उपयोगकर्ता आपकी साइट से, Google के OAuth 2.0 ऑथराइज़ेशन एंडपॉइंट पर नेविगेट करता है. डेवलपर को ऑपरेटिंग सिस्टम के डिफ़ॉल्ट लिंक हैंडलर में सामान्य लिंक खोलने की अनुमति देनी चाहिए. इसमें यूनिवर्सल लिंक हैंडलर या डिफ़ॉल्ट ब्राउज़र ऐप्लिकेशन, दोनों शामिल हैं. SFSafariViewController लाइब्रेरी भी काम करती है.

org_internal

अनुरोध में मौजूद OAuth क्लाइंट आईडी, एक ऐसे प्रोजेक्ट का हिस्सा है जो किसी Google Cloud संगठन में मौजूद Google खातों का ऐक्सेस सीमित करता है. इस कॉन्फ़िगरेशन के विकल्प के बारे में ज़्यादा जानकारी के लिए, OAuth के लिए सहमति वाली स्क्रीन को सेट अप करने से जुड़े सहायता लेख में, उपयोगकर्ता का टाइप सेक्शन देखें.

invalid_client

जिस ऑरिजिन से अनुरोध किया गया था उसे इस क्लाइंट के लिए अनुमति नहीं दी गई है. origin_mismatch देखें.

invalid_grant

इंक्रीमेंटल ऑथराइज़ेशन का इस्तेमाल करते समय, हो सकता है कि टोकन की समयसीमा खत्म हो गई हो या वह अमान्य हो. उपयोगकर्ता की फिर से पुष्टि करें और नए टोकन पाने के लिए, उपयोगकर्ता की सहमति मांगें. अगर आपको यह गड़बड़ी लगातार दिख रही है, तो पक्का करें कि आपका ऐप्लिकेशन सही तरीके से कॉन्फ़िगर किया गया हो. साथ ही, यह भी पक्का करें कि अनुरोध में सही टोकन और पैरामीटर का इस्तेमाल किया जा रहा हो. अगर ऐसा नहीं किया जाता है, तो हो सकता है कि उपयोगकर्ता खाता मिटा दिया गया हो या उसे बंद कर दिया गया हो.

origin_mismatch

ऐसा हो सकता है कि अनुमति के अनुरोध की शुरुआत करने वाले JavaScript की स्कीम, डोमेन, और/या पोर्ट, OAuth क्लाइंट आईडी के लिए रजिस्टर किए गए अनुमति वाले JavaScript ऑरिजिन यूआरआई से मेल न खाए. Google API Console Credentials pageमें अनुमति वाले JavaScript ऑरिजिन की समीक्षा करें.

redirect_uri_mismatch

अनुमति के अनुरोध में पास किया गया redirect_uri, OAuth क्लाइंट आईडी के लिए अनुमति वाले रीडायरेक्ट यूआरआई से मेल नहीं खाता. Google API Console Credentials page में अनुमति वाले रीडायरेक्ट यूआरआई की समीक्षा करें.

ऐसा हो सकता है कि अनुमति के अनुरोध की शुरुआत करने वाले JavaScript की स्कीम, डोमेन, और/या पोर्ट, OAuth क्लाइंट आईडी के लिए रजिस्टर किए गए अनुमति वाले JavaScript ऑरिजिन यूआरआई से मेल न खाए. Google API Console Credentials pageमें अनुमति वाले JavaScript ऑरिजिन की समीक्षा करें.

redirect_uri पैरामीटर से, OAuth आउट-ऑफ़-बैंड (OOB) फ़्लो का रेफ़रंस हो सकता है. इसे अब बंद कर दिया गया है और यह अब काम नहीं करता. अपना इंटिग्रेशन अपडेट करने के लिए, डेटा को दूसरी जगह भेजने से जुड़ी गाइड देखें.

invalid_request

आपने जो अनुरोध किया है उसमें कोई गड़बड़ी है. ऐसा कई वजहों से हो सकता है:

  • अनुरोध सही तरीके से फ़ॉर्मैट नहीं किया गया था
  • अनुरोध में ज़रूरी पैरामीटर मौजूद नहीं थे
  • अनुरोध के लिए, अनुमति देने के किसी ऐसे तरीके का इस्तेमाल किया गया है जो Google पर काम नहीं करता. पुष्टि करें कि आपका OAuth इंटिग्रेशन, सुझाए गए इंटिग्रेशन के तरीके का इस्तेमाल करता है

तीसरा चरण: OAuth 2.0 सर्वर से मिले रिस्पॉन्स को मैनेज करना

OAuth 2.0 एंडपॉइंट

OAuth 2.0 सर्वर, ऐक्सेस टोकन के आपके अनुरोध में बताए गए redirect_uri को रिस्पॉन्स भेजता है.

अगर उपयोगकर्ता अनुरोध को स्वीकार करता है, तो जवाब में ऐक्सेस टोकन शामिल होता है. अगर उपयोगकर्ता अनुरोध स्वीकार नहीं करता है, तो जवाब में गड़बड़ी का मैसेज दिखता है. ऐक्सेस टोकन या गड़बड़ी का मैसेज, रीडायरेक्ट यूआरआई के हैश फ़्रैगमेंट पर दिखाया जाता है, जैसा कि यहां दिखाया गया है:

  • ऐक्सेस टोकन से मिला रिस्पॉन्स:

    https://oauth2.example.com/callback#access_token=4/P7q7W91&token_type=Bearer&expires_in=3600

    access_token पैरामीटर के अलावा, फ़्रैगमेंट स्ट्रिंग में token_type पैरामीटर भी होता है, जो हमेशा Bearer पर सेट होता है. साथ ही, expires_in पैरामीटर भी होता है, जो सेकंड में टोकन के लाइफ़टाइम की जानकारी देता है. अगर ऐक्सेस टोकन के अनुरोध में state पैरामीटर की जानकारी दी गई थी, तो इसकी वैल्यू भी रिस्पॉन्स में शामिल की जाती है.

  • गड़बड़ी का जवाब:
    https://oauth2.example.com/callback#error=access_denied

OAuth 2.0 सर्वर के रिस्पॉन्स का उदाहरण

नीचे दिए गए सैंपल यूआरएल पर क्लिक करके, इस फ़्लो की जांच की जा सकती है. यह यूआरएल, आपकी Google Drive में मौजूद फ़ाइलों का मेटाडेटा देखने के लिए, रीड ओनली ऐक्सेस का अनुरोध करता है:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 include_granted_scopes=true&
 response_type=token&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

OAuth 2.0 फ़्लो को पूरा करने के बाद, आपको http://localhost/oauth2callback पर रीडायरेक्ट कर दिया जाएगा. अगर आपकी लोकल मशीन पर उस पते पर कोई फ़ाइल नहीं दिखाई जाती, तो यूआरएल के लिए 404 NOT FOUND गड़बड़ी दिखेगी. अगले चरण में, उपयोगकर्ता को आपके ऐप्लिकेशन पर वापस रीडायरेक्ट किए जाने पर, यूआरआई में दिखाई गई जानकारी के बारे में ज़्यादा जानकारी दी जाती है.

Google API को कॉल करना

OAuth 2.0 एंडपॉइंट

जब आपके ऐप्लिकेशन को ऐक्सेस टोकन मिल जाता है, तब दिए गए उपयोगकर्ता खाते की ओर से Google API को कॉल करने के लिए, टोकन का इस्तेमाल किया जा सकता है. ऐसा तब किया जाता है, जब एपीआई के लिए ज़रूरी ऐक्सेस के दायरे स्वीकार कर लिए गए हों. ऐसा करने के लिए, एपीआई से किए जाने वाले अनुरोध में ऐक्सेस टोकन शामिल करें. इसके लिए, access_token क्वेरी पैरामीटर या Authorization एचटीटीपी हेडर Bearer की वैल्यू शामिल करें. अगर हो सके, तो एचटीटीपी हेडर को प्राथमिकता दें, क्योंकि क्वेरी स्ट्रिंग आम तौर पर सर्वर लॉग में दिखती हैं. ज़्यादातर मामलों में, Google API पर कॉल सेट अप करने के लिए, क्लाइंट लाइब्रेरी का इस्तेमाल किया जा सकता है. उदाहरण के लिए, Drive Files API को कॉल करते समय.

OAuth 2.0 Playground पर, सभी Google API को आज़माया जा सकता है और उनके स्कोप देखे जा सकते हैं.

एचटीटीपी जीईटी के उदाहरण

Authorization: Bearer एचटीटीपी हेडर का इस्तेमाल करके, drive.files एंडपॉइंट (Drive Files API) को किया जाने वाला कॉल कुछ ऐसा दिख सकता है. ध्यान दें कि आपको अपना ऐक्सेस टोकन खुद तय करना होगा:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

यहां access_token क्वेरी स्ट्रिंग पैरामीटर का इस्तेमाल करके, पुष्टि किए गए उपयोगकर्ता के लिए उसी एपीआई को कॉल किया गया है:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl के उदाहरण

curl कमांड लाइन ऐप्लिकेशन की मदद से, इन निर्देशों की जांच की जा सकती है. यहां एचटीटीपी हेडर विकल्प का इस्तेमाल करने का एक उदाहरण दिया गया है (प्राथमिकता दी जाती है):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

या फिर, क्वेरी स्ट्रिंग पैरामीटर का विकल्प:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

JavaScript सैंपल कोड

नीचे दिए गए कोड स्निपेट से, Google API को अनुरोध भेजने के लिए, सीओआरएस (क्रॉस-ऑरिजिन रिसॉर्स शेयरिंग) का इस्तेमाल करने का तरीका पता चलता है. इस उदाहरण में JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल नहीं किया गया है. हालांकि, अगर क्लाइंट लाइब्रेरी का इस्तेमाल नहीं किया जा रहा है, तो लाइब्रेरी के दस्तावेज़ में मौजूद सीओआरएस सहायता गाइड से, इन अनुरोधों को बेहतर तरीके से समझने में मदद मिल सकती है.

इस कोड स्निपेट में, access_token वैरिएबल उस टोकन के बारे में बताता है जो आपको अनुमति वाले उपयोगकर्ता की ओर से एपीआई अनुरोध करने के लिए मिला है. इस सभी उदाहरण में, उस टोकन को ब्राउज़र के लोकल स्टोरेज में सेव करने और एपीआई अनुरोध करते समय उसे वापस पाने का तरीका बताया गया है.

var xhr = new XMLHttpRequest();
xhr.open('GET',
    'https://www.googleapis.com/drive/v3/about?fields=user&' +
    'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
  console.log(xhr.response);
};
xhr.send(null);

उदाहरण को पूरा करें

OAuth 2.0 एंडपॉइंट

यह कोड सैंपल, JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल किए बिना, JavaScript में OAuth 2.0 फ़्लो को पूरा करने का तरीका बताता है. यह कोड ऐसे एचटीएमएल पेज का होता है जिस पर एपीआई अनुरोध आज़माने के लिए, एक बटन दिखता है. बटन पर क्लिक करने पर, कोड यह जांच करता है कि पेज ने आपके ब्राउज़र के लोकल स्टोरेज में, एपीआई ऐक्सेस टोकन सेव किया है या नहीं. अगर ऐसा है, तो यह एपीआई अनुरोध को पूरा करता है. ऐसा न करने पर, यह OAuth 2.0 फ़्लो को शुरू कर देता है.

OAuth 2.0 फ़्लो के लिए, पेज पर यह तरीका अपनाया जाता है:

  1. यह उपयोगकर्ता को Google के OAuth 2.0 सर्वर पर भेजता है, जो https://www.googleapis.com/auth/drive.metadata.readonly स्कोप के ऐक्सेस का अनुरोध करता है.
  2. अनुरोध किए गए एक या उससे ज़्यादा स्कोप का ऐक्सेस देने (या अस्वीकार करने) के बाद, उपयोगकर्ता को मूल पेज पर रीडायरेक्ट किया जाता है. यह फ़्रैगमेंट आइडेंटिफ़ायर स्ट्रिंग से ऐक्सेस टोकन को पार्स करता है.
  3. यह पेज, सैंपल एपीआई अनुरोध करने के लिए, ऐक्सेस टोकन का इस्तेमाल करता है.

    एपीआई अनुरोध, Drive API के about.get तरीके को कॉल करता है, ताकि अनुमति पा चुके उपयोगकर्ता के Google Drive खाते के बारे में जानकारी हासिल की जा सके.

  4. अनुरोध पूरा होने पर, एपीआई के रिस्पॉन्स को ब्राउज़र के डीबगिंग कंसोल में लॉग कर दिया जाता है.

अपने Google खाते के लिए अनुमतियां पेज पर जाकर, ऐप्लिकेशन का ऐक्सेस रद्द किया जा सकता है. इस ऐप्लिकेशन को Google API Docs के लिए OAuth 2.0 Demo के तौर पर सूची में शामिल किया जाएगा.

इस कोड को स्थानीय तौर पर चलाने के लिए, आपको YOUR_CLIENT_ID और YOUR_REDIRECT_URI वैरिएबल के लिए ऐसी वैल्यू सेट करनी होंगी जो आपके अनुमति क्रेडेंशियल से मेल खाते हों. YOUR_REDIRECT_URI वैरिएबल को उसी यूआरएल पर सेट किया जाना चाहिए जहां पेज दिखाया जा रहा है. यह वैल्यू, OAuth 2.0 क्लाइंट के लिए, अनुमति वाले किसी ऐसे रीडायरेक्ट यूआरआई से पूरी तरह मेल खानी चाहिए जिसे आपने API Console Credentials pageमें कॉन्फ़िगर किया है. अगर यह वैल्यू, अनुमति वाले यूआरएल से मेल नहीं खाती है, तो आपको redirect_uri_mismatch गड़बड़ी दिखेगी. आपके प्रोजेक्ट में इस अनुरोध के लिए, सही एपीआई चालू करना भी ज़रूरी है.

<html><head></head><body>
<script>
  var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
  var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';
  var fragmentString = location.hash.substring(1);

  // Parse query string to see if page request is coming from OAuth 2.0 server.
  var params = {};
  var regex = /([^&=]+)=([^&]*)/g, m;
  while (m = regex.exec(fragmentString)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }
  if (Object.keys(params).length > 0) {
    localStorage.setItem('oauth2-test-params', JSON.stringify(params) );
    if (params['state'] && params['state'] == 'try_sample_request') {
      trySampleRequest();
    }
  }

  // If there's an access token, try an API request.
  // Otherwise, start OAuth 2.0 flow.
  function trySampleRequest() {
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    if (params && params['access_token']) {
      var xhr = new XMLHttpRequest();
      xhr.open('GET',
          'https://www.googleapis.com/drive/v3/about?fields=user&' +
          'access_token=' + params['access_token']);
      xhr.onreadystatechange = function (e) {
        if (xhr.readyState === 4 && xhr.status === 200) {
          console.log(xhr.response);
        } else if (xhr.readyState === 4 && xhr.status === 401) {
          // Token invalid, so prompt for user permission.
          oauth2SignIn();
        }
      };
      xhr.send(null);
    } else {
      oauth2SignIn();
    }
  }

  /*
   * Create form to request access token from Google's OAuth 2.0 server.
   */
  function oauth2SignIn() {
    // Google's OAuth 2.0 endpoint for requesting an access token
    var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

    // Create element to open OAuth 2.0 endpoint in new window.
    var form = document.createElement('form');
    form.setAttribute('method', 'GET'); // Send as a GET request.
    form.setAttribute('action', oauth2Endpoint);

    // Parameters to pass to OAuth 2.0 endpoint.
    var params = {'client_id': YOUR_CLIENT_ID,
                  'redirect_uri': YOUR_REDIRECT_URI,
                  'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
                  'state': 'try_sample_request',
                  'include_granted_scopes': 'true',
                  'response_type': 'token'};

    // Add form parameters as hidden input values.
    for (var p in params) {
      var input = document.createElement('input');
      input.setAttribute('type', 'hidden');
      input.setAttribute('name', p);
      input.setAttribute('value', params[p]);
      form.appendChild(input);
    }

    // Add form to page and submit it to open the OAuth 2.0 endpoint.
    document.body.appendChild(form);
    form.submit();
  }
</script>

<button onclick="trySampleRequest();">Try sample request</button>
</body></html>

JavaScript ऑरिजिन की पुष्टि करने के नियम

Google, JavaScript के ऑरिजिन पर पुष्टि करने के इन नियमों को लागू करता है, ताकि डेवलपर अपने ऐप्लिकेशन को सुरक्षित रख सकें. आपके JavaScript ऑरिजिन को इन नियमों का पालन करना होगा. डोमेन, होस्ट, और स्कीम की परिभाषा जानने के लिए, नीचे आरएफ़सी 3986 का सेक्शन 3 देखें.

सत्यापन नियम
स्कीम

JavaScript ऑरिजिन को सामान्य एचटीटीपी के बजाय, एचटीटीपीएस स्कीम का इस्तेमाल करना चाहिए. लोकलहोस्ट यूआरआई (लोकलहोस्ट आईपी पते के यूआरआई सहित) पर यह नियम लागू नहीं होगा.

होस्ट

होस्ट, रॉ आईपी पते नहीं हो सकते. लोकलहोस्ट के आईपी पतों को यह नियम लागू करने की ज़रूरत नहीं है.

डोमेन
  • होस्ट टीएलडी (टॉप लेवल डोमेन) सभी सफ़िक्स सूची से जुड़े होने चाहिए.
  • होस्ट डोमेन “googleusercontent.com” नहीं हो सकते.
  • अगर ऐप्लिकेशन के पास डोमेन का मालिकाना हक न हो, तो JavaScript के ऑरिजिन में यूआरएल छोटा करने वाले डोमेन (जैसे कि goo.gl) शामिल नहीं हो सकते.
  • उपयोगकर्ता की जानकारी

    JavaScript ऑरिजिन में, userinfo सबकॉम्पोनेंट नहीं हो सकता.

    पाथ

    JavaScript के ऑरिजिन में, पाथ कॉम्पोनेंट शामिल नहीं किया जा सकता.

    क्वेरी

    JavaScript के ऑरिजिन में क्वेरी कॉम्पोनेंट शामिल नहीं हो सकता.

    फ़्रैगमेंट

    JavaScript के ऑरिजिन में, फ़्रैगमेंट कॉम्पोनेंट शामिल नहीं हो सकता.

    वर्ण JavaScript के ऑरिजिन में कुछ वर्ण नहीं हो सकते. जैसे:
    • वाइल्डकार्ड वर्ण ('*')
    • प्रिंट न किए जा सकने वाले ASCII वर्ण
    • प्रतिशत एन्कोडिंग अमान्य है (कोई भी प्रतिशत एन्कोडिंग जो प्रतिशत के निशान के तौर पर, यूआरएल को कोड में बदलने के तरीके के मुताबिक नहीं होती है. इसके बाद, दो हेक्साडेसिमल अंक होते हैं)
    • शून्य वर्ण (कोड में बदला गया NULL वर्ण, उदाहरण, %00, %C0%80)

    इंक्रीमेंटल अनुमति

    OAuth 2.0 प्रोटोकॉल में, आपका ऐप्लिकेशन उन संसाधनों को ऐक्सेस करने के लिए अनुमति का अनुरोध करता है जिनकी पहचान स्कोप से की जाती है. जब आपको संसाधनों की ज़रूरत हो, तब इनके लिए अनुमति का अनुरोध करना, इसे उपयोगकर्ता के लिए सबसे सही तरीका माना जाता है. इस तरीके को चालू करने के लिए, Google का ऑथराइज़ेशन सर्वर, अतिरिक्त अनुमति देने की सुविधा देता है. इस सुविधा की मदद से, ज़रूरत पड़ने पर स्कोप के लिए अनुरोध किया जा सकता है. साथ ही, अगर उपयोगकर्ता नए दायरे के लिए अनुमति देता है, तो यह एक ऑथराइज़ेशन कोड दिखाता है. इसे किसी ऐसे टोकन से बदला जा सकता है जिसमें उपयोगकर्ता ने प्रोजेक्ट को दिए गए सभी दायरे हों.

    उदाहरण के लिए, अगर किसी ऐप्लिकेशन में लोगों को म्यूज़िक ट्रैक का सैंपल बनाने और मिक्स बनाने की सुविधा मिलती है, तो हो सकता है कि साइन इन करते समय बहुत कम संसाधनों की ज़रूरत पड़े. ऐसा हो सकता है कि साइन इन करने वाले व्यक्ति के नाम के अलावा उसे कुछ और संसाधन की ज़रूरत न पड़े. हालांकि, पूरे हो चुके मिक्स को सेव करने के लिए, आपके Google Drive को ऐक्सेस करना होगा. ज़्यादातर लोगों को यह स्वाभाविक लगता है कि ऐप्लिकेशन को उस समय सिर्फ़ तब Google Drive का ऐक्सेस मांगा जाए जब ऐप्लिकेशन को इसकी ज़रूरत हो.

    इस मामले में, साइन इन के समय ऐप्लिकेशन, बुनियादी साइन इन करने के लिए openid और profile दायरे का अनुरोध कर सकता है. इसके बाद, बाद में मिक्स को सेव करने के पहले अनुरोध पर, https://www.googleapis.com/auth/drive.file दायरे का अनुरोध कर सकता है.

    बढ़ी हुई अनुमति से मिलने वाले ऐक्सेस टोकन पर ये नियम लागू होते हैं:

    • इस टोकन का इस्तेमाल, अनुमति देने की नई और मिली-जुली अनुमति में रोल किए गए किसी भी स्कोप से जुड़े संसाधनों को ऐक्सेस करने के लिए किया जा सकता है.
    • जब ऐक्सेस टोकन पाने के लिए, मिली-जुली अनुमति के लिए रीफ़्रेश टोकन का इस्तेमाल किया जाता है, तो ऐक्सेस टोकन कंबाइंड ऑथराइज़ेशन को दिखाता है. इसका इस्तेमाल रिस्पॉन्स में शामिल किसी भी scope वैल्यू के लिए किया जा सकता है.
    • मिले-जुले अनुमति में वे सभी दायरे शामिल होते हैं जिन्हें उपयोगकर्ता ने एपीआई प्रोजेक्ट को दिया था. भले ही, अलग-अलग क्लाइंट से अनुमतियों का अनुरोध किया गया हो. उदाहरण के लिए, अगर किसी उपयोगकर्ता ने किसी ऐप्लिकेशन के डेस्कटॉप क्लाइंट का इस्तेमाल करके एक दायरे का ऐक्सेस दिया और फिर किसी मोबाइल क्लाइंट के ज़रिए उसी ऐप्लिकेशन को दूसरा स्कोप दिया, तो मिले-जुले अनुमति में दोनों स्कोप शामिल होंगे.
    • अगर किसी ऐसे टोकन को रद्द किया जाता है जो मिली-जुली अनुमति को दिखाता है, तो जोड़े गए उपयोगकर्ता की ओर से उस अनुमति के सभी दायरों का ऐक्सेस, एक साथ रद्द कर दिया जाता है.

    नीचे दिए गए कोड सैंपल, मौजूदा ऐक्सेस टोकन में स्कोप जोड़ने का तरीका दिखाते हैं. इस तरीके से, आपका ऐप्लिकेशन कई ऐक्सेस टोकन मैनेज करने से बच सकता है.

    OAuth 2.0 एंडपॉइंट

    किसी मौजूदा ऐक्सेस टोकन में स्कोप जोड़ने के लिए, Google के OAuth 2.0 सर्वर पर अनुरोध में include_granted_scopes पैरामीटर शामिल करें.

    ऐसा करने का तरीका, यहां दिए गए कोड स्निपेट में बताया गया है. स्निपेट यह मानता है कि आपने उन स्कोप को सेव किया है जिनके लिए आपका ऐक्सेस टोकन, ब्राउज़र के लोकल स्टोरेज में मान्य है. (सभी उदाहरण में दिए गए कोड में, उन स्कोप की एक सूची सेव की गई है जिनके लिए ऐक्सेस टोकन मान्य है. इसके लिए, ब्राउज़र के लोकल स्टोरेज में oauth2-test-params.scope प्रॉपर्टी को सेट करना होगा.)

    स्निपेट, उन दायरों की तुलना करता है जिनके लिए ऐक्सेस टोकन मान्य है. इसकी तुलना, किसी खास क्वेरी के लिए इस्तेमाल किए जाने वाले दायरे से की जाती है. अगर ऐक्सेस टोकन में यह स्कोप शामिल नहीं है, तो OAuth 2.0 फ़्लो शुरू हो जाता है. यहां, oauth2SignIn फ़ंक्शन वही है जो दूसरे चरण में दिया गया था (यह आगे दिए गए सभी उदाहरण में दिया गया है).

    var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly';
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    
    var current_scope_granted = false;
    if (params.hasOwnProperty('scope')) {
      var scopes = params['scope'].split(' ');
      for (var s = 0; s < scopes.length; s++) {
        if (SCOPE == scopes[s]) {
          current_scope_granted = true;
        }
      }
    }
    
    if (!current_scope_granted) {
      oauth2SignIn(); // This function is defined elsewhere in this document.
    } else {
      // Since you already have access, you can proceed with the API request.
    }

    टोकन को रद्द करना

    कुछ स्थितियों में उपयोगकर्ता किसी ऐप्लिकेशन को दिया गया ऐक्सेस वापस लेना चाह सकता है. उपयोगकर्ता खाता सेटिंग पर जाकर, ऐक्सेस वापस ले सकता है. ज़्यादा जानकारी के लिए, तीसरे पक्ष की उन साइटों और ऐप्लिकेशन का साइट या ऐप्लिकेशन ऐक्सेस हटाएं जिनके पास आपके खाते का ऐक्सेस है सहायता दस्तावेज़ देखें.

    किसी ऐप्लिकेशन को दिए गए ऐक्सेस को प्रोग्राम के हिसाब से रद्द कर पाना भी संभव है. प्रोग्राम के हिसाब से अपने-आप होने वाली प्रोसेस को रद्द करना तब ज़रूरी है, जब कोई उपयोगकर्ता सदस्यता छोड़ता है, किसी ऐप्लिकेशन को हटाता है या किसी ऐप्लिकेशन के लिए ज़रूरी एपीआई के संसाधनों में काफ़ी बदलाव होता है. इसका मतलब है कि कॉन्टेंट हटाने की प्रोसेस में, एपीआई अनुरोध भी शामिल हो सकता है. ऐसा करके, यह पक्का किया जाता है कि ऐप्लिकेशन को पहले दी गई अनुमतियां हटा दी गई हों.

    OAuth 2.0 एंडपॉइंट

    प्रोग्राम के ज़रिए किसी टोकन को रद्द करने के लिए, आपका ऐप्लिकेशन https://oauth2.googleapis.com/revoke को अनुरोध करता है और टोकन को पैरामीटर के तौर पर शामिल करता है:

    curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
            https://oauth2.googleapis.com/revoke?token={token}

    यह टोकन, ऐक्सेस टोकन या रीफ़्रेश टोकन हो सकता है. अगर टोकन कोई ऐक्सेस टोकन है और उससे जुड़ा रीफ़्रेश टोकन मौजूद है, तो रीफ़्रेश टोकन भी वापस ले लिया जाएगा.

    अगर सहमति रद्द हो जाती है, तो रिस्पॉन्स का एचटीटीपी स्टेटस कोड 200 होगा. गड़बड़ी की स्थितियों के लिए, एक एचटीटीपी स्टेटस कोड 400, गड़बड़ी कोड के साथ दिखाया जाता है.

    नीचे दिए गए JavaScript स्निपेट में बताया गया है कि JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल किए बिना, JavaScript में किसी टोकन को कैसे वापस लिया जा सकता है. टोकन रद्द करने के लिए, Google का OAuth 2.0 एंडपॉइंट, क्रॉस-ऑरिजिन रिसॉर्स शेयरिंग (सीओआरएस) के साथ काम नहीं करता. इसलिए, कोड एक फ़ॉर्म बनाता है और अनुरोध को पोस्ट करने के लिए, XMLHttpRequest() तरीके का इस्तेमाल करने के बजाय, फ़ॉर्म को एंडपॉइंट पर सबमिट करता है.

    function revokeAccess(accessToken) {
      // Google's OAuth 2.0 endpoint for revoking access tokens.
      var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke';
    
      // Create <form> element to use to POST data to the OAuth 2.0 endpoint.
      var form = document.createElement('form');
      form.setAttribute('method', 'post');
      form.setAttribute('action', revokeTokenEndpoint);
    
      // Add access token to the form so it is set as value of 'token' parameter.
      // This corresponds to the sample curl request, where the URL is:
      //      https://oauth2.googleapis.com/revoke?token={token}
      var tokenField = document.createElement('input');
      tokenField.setAttribute('type', 'hidden');
      tokenField.setAttribute('name', 'token');
      tokenField.setAttribute('value', accessToken);
      form.appendChild(tokenField);
    
      // Add form to page and submit it to actually revoke the token.
      document.body.appendChild(form);
      form.submit();
    }