모바일 및 데스크톱 앱용 OAuth 2.0

이 문서에서는 휴대전화, 태블릿, 컴퓨터와 같은 기기에 설치된 애플리케이션이 Google의 OAuth 2.0 엔드포인트를 사용하여 Google API에 대한 액세스를 승인하는 방법을 설명합니다.

OAuth 2.0을 사용하면 사용자가 사용자 이름, 비밀번호 및 기타 정보를 비공개로 유지하면서 특정 데이터를 애플리케이션과 공유할 수 있습니다. 예를 들어 애플리케이션은 OAuth 2.0을 사용하여 사용자의 Google 드라이브에 파일을 저장할 수 있는 권한을 얻을 수 있습니다.

설치된 앱은 개별 장치에 배포되며 이러한 앱은 비밀을 유지할 수 없다고 가정합니다. 사용자가 앱에 있는 동안 또는 앱이 백그라운드에서 실행 중일 때 Google API에 액세스할 수 있습니다.

이 인증 흐름에 사용되는 것과 유사 웹 서버 응용 프로그램 . 주요 차이점은 설치된 앱이 시스템 브라우저를 열고 Google 인증 서버의 응답을 처리하기 위해 로컬 리디렉션 URI를 제공해야 한다는 것입니다.

대안

모바일 앱의 경우에에 로그인 - 구글 사용하는 것이 좋습니다 안드로이드아이폰 OS . Google 로그인 클라이언트 라이브러리는 인증 및 사용자 권한 부여를 처리하며 여기에 설명된 하위 수준 프로토콜보다 구현이 더 간단할 수 있습니다.

시스템 브라우저를 지원하지 않는 장치에서 실행중인 앱 들어, 텔레비전, 게임 콘솔, 카메라 또는 프린터와 같은 입력 기능을 제한 참조 텔레비전 및 장치에 대한 OAuth는 2.0 또는 구글 로그인 장치에 대한 .

라이브러리 및 샘플

이 문서에 설명된 OAuth 2.0 흐름을 구현하는 데 도움이 되는 다음 라이브러리 및 샘플을 권장합니다.

전제 조건

프로젝트에 API 활성화

구글 API를 호출하는 응용 프로그램은에서와 API를 활성화 할 필요가 API Console.

프로젝트에 API를 사용 설정하려면 다음 안내를 따르세요.

  1. Open the API Library 에서 Google API Console.
  2. If prompted, select a project, or create a new one.
  3. API Library 제품군과 인기로 그룹화 목록을 사용할 수있는 모든 API를. 사용하려는 API가 목록에 표시되지 않으면 사용 검색을 찾거나이 속한 제품군에서 모두보기를 클릭합니다.
  4. 사용하려는 API를 선택한 후이 버튼을 사용을 클릭합니다.
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

인증 자격 증명 만들기

OAuth 2.0을 사용하여 Google API에 액세스하는 모든 애플리케이션에는 Google의 OAuth 2.0 서버에 대한 애플리케이션을 식별하는 인증 자격 증명이 있어야 합니다. 다음 단계에서는 프로젝트에 대한 자격 증명을 만드는 방법을 설명합니다. 그러면 애플리케이션에서 자격 증명을 사용하여 해당 프로젝트에 대해 활성화한 API에 액세스할 수 있습니다.

  1. Go to the Credentials page.
  2. > OAuth 클라이언트 ID를 자격 증명 만들기를 클릭합니다.
  3. 아래 섹션에서는 Google의 인증 서버가 지원하는 클라이언트 유형 및 리디렉션 방법에 대해 설명합니다. 애플리케이션에 권장되는 클라이언트 유형을 선택하고 OAuth 클라이언트의 이름을 지정하고 양식의 다른 필드를 적절하게 설정합니다.

사용자 지정 URI 체계(Android, iOS, UWP)

Android 앱, iOS 앱 및 UWP(유니버설 Windows 플랫폼) 앱에는 사용자 지정 URI 체계가 권장됩니다.

기계적 인조 인간
  1. 안드로이드 응용 프로그램 유형을 선택합니다.
  2. OAuth 클라이언트의 이름을 입력합니다. 이 이름은 프로젝트의에 표시됩니다 Credentials page 클라이언트를 식별합니다.
  3. Android 앱의 패키지 이름을 입력합니다. 이 값은에 정의 된package 의 속성 <manifest> 요소 앱의 매니페스트 파일입니다.
  4. 앱 배포의 SHA-1 서명 인증서 지문을 입력합니다.
    • 앱 사용이 경우 구글 플레이에 의해 서명 앱 관련 , 재생 콘솔의 응용 프로그램 서명 페이지에서 SHA-1 지문을 복사합니다.
    • 당신이 당신의 자신의 키 스토어 및 서명 키를 관리하는 경우, 사람이 읽을 수있는 형식으로 인증서 정보를 인쇄 자바에 포함 된 keytool 유틸리티를 사용합니다. 복사 SHA1 에 값을 Certificate fingerprints 키 도구 출력의 섹션을 참조하십시오. 참조 귀하의 클라이언트 인증 자세한 내용은 안드로이드 문서에 대한 구글의 API에 있습니다.
  5. 만들기를 클릭합니다.
iOS
  1. 아이폰 OS 응용 프로그램 유형을 선택합니다.
  2. OAuth 클라이언트의 이름을 입력합니다. 이 이름은 프로젝트의에 표시됩니다 Credentials page 클라이언트를 식별합니다.
  3. 앱의 번들 식별자를 입력합니다. 번들 ID는의 값입니다 CFBundleIdentifier의 앱의 정보 속성 목록 리소스 파일 (의 Info.plist)에 키를 누릅니다. 값은 Xcode 프로젝트 편집기의 일반 창 또는 서명 및 기능 창에 가장 일반적으로 표시됩니다. 번들 ID도에 앱의 앱 정보 페이지의 일반 정보 섹션에 표시되는 애플의 앱 스토어에 연결 사이트 .
  4. (선택 과목)

    앱이 Apple의 App Store에 게시된 경우 앱의 App Store ID를 입력합니다. Store ID는 모든 Apple App Store URL에 포함된 숫자 문자열입니다.

    1. 오픈 애플 앱 스토어 앱을 사용자의 iOS 또는 iPadOS 장치.
    2. 앱을 검색합니다.
    3. 공유 버튼(정사각형 및 위쪽 화살표 기호)을 선택합니다.
    4. 링크 복사를 선택합니다.
    5. 링크를 텍스트 편집기에 붙여넣습니다. App Store ID는 URL의 마지막 부분입니다.

      예 : https://apps.apple.com/app/google/id 284815942

  5. (선택 과목)

    팀 ID를 입력합니다. 보기 당신의 팀 ID를 찾습니다 자세한 내용은 애플 개발자 계정 설명서에.

  6. 만들기를 클릭합니다.
UWP
  1. 유니버설 윈도우 플랫폼 응용 프로그램 유형을 선택합니다.
  2. OAuth 클라이언트의 이름을 입력합니다. 이 이름은 프로젝트의에 표시됩니다 Credentials page 클라이언트를 식별합니다.
  3. 앱의 12자 Microsoft Store ID를 입력합니다. 당신은이 값 찾을 수 있습니다 마이크로 소프트 파트너 센터앱 신원 앱 관리 섹션에서 페이지.
  4. 만들기를 클릭합니다.

UWP 앱의 경우 사용자 지정 URI 체계는 39자를 초과할 수 없습니다.

루프백 IP 주소(macOS, Linux, Windows 데스크탑)

이 URL을 사용하여 인증 코드를 받으려면 애플리케이션이 로컬 웹 서버에서 수신 대기 중이어야 합니다. 모든 플랫폼은 아니지만 많은 플랫폼에서 가능합니다. 그러나 플랫폼에서 지원하는 경우 인증 코드를 얻는 데 권장되는 메커니즘입니다.

앱이 승인 응답을 받으면 최상의 사용성을 위해 사용자에게 브라우저를 닫고 앱으로 돌아가도록 지시하는 HTML 페이지를 표시하여 응답해야 합니다.

권장 사용법 macOS, Linux 및 Windows 데스크톱(유니버설 Windows 플랫폼 제외) 앱
양식 값 데스크톱 응용 프로그램에 응용 프로그램 유형을 설정합니다.

수동 복사/붙여넣기

액세스 범위 식별

범위를 사용하면 애플리케이션이 필요한 리소스에 대한 액세스만 요청할 수 있고 사용자가 애플리케이션에 부여하는 액세스 권한의 양을 제어할 수 있습니다. 따라서 요청된 범위의 수와 사용자 동의를 얻을 가능성 사이에는 반비례 관계가 있을 수 있습니다.

OAuth 2.0 인증 구현을 시작하기 전에 앱에 액세스 권한이 필요한 범위를 식별하는 것이 좋습니다.

의 OAuth 2.0 API 스코프의 문서는 액세스 구글의 API에 사용할 수있는 범위의 전체 목록이 포함되어 있습니다.

OAuth 2.0 액세스 토큰 얻기

다음 단계는 애플리케이션이 Google의 OAuth 2.0 서버와 상호작용하여 사용자를 대신하여 API 요청을 수행하기 위해 사용자의 동의를 얻는 방법을 보여줍니다. 애플리케이션에서 사용자 승인이 필요한 Google API 요청을 실행하려면 먼저 해당 동의가 있어야 합니다.

1단계: 코드 검증기 생성 및 챌린지

구글은 지원 코드 교류 증명 키 설치된 응용 프로그램의 흐름을보다 안전하게하기 (PKCE) 프로토콜을. 모든 인증 요청에 대해 고유한 코드 검증자가 생성되고 "code_challenge"라는 변환된 값이 인증 서버로 전송되어 인증 코드를 얻습니다.

코드 검증기 생성

code_verifier 예약되지 않은 문자 [AZ]을 사용하여 높은 엔트로피 암호화 임의의 문자열입니다 / [AZ] / [0-9] / "-" "."/ / "_" / "~", 최소 길이는 43자, 최대 길이는 128자입니다.

코드 검증자는 값을 추측하는 것이 비실용적이도록 충분한 엔트로피를 가져야 합니다.

코드 챌린지 만들기

코드 챌린지를 만드는 두 가지 방법이 지원됩니다.

코드 챌린지 생성 방법
S256(권장) 코드 챌린지는 코드 검증자의 Base64URL(패딩 없음)으로 인코딩된 SHA256 해시입니다.
code_challenge = BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))
솔직한 코드 챌린지는 위에서 생성한 코드 검증기와 동일한 값입니다.
code_challenge = code_verifier

2단계: Google의 OAuth 2.0 서버에 요청 보내기

사용자 인증을 얻으려면, 구글의 인증 서버에 요청을 보내 https://accounts.google.com/o/oauth2/v2/auth . 이 끝점은 활성 세션 조회를 처리하고 사용자를 인증하며 사용자 동의를 얻습니다. 끝점은 SSL을 통해서만 액세스할 수 있으며 HTTP(비 SSL) 연결을 거부합니다.

인증 서버는 설치된 애플리케이션에 대해 다음 쿼리 문자열 매개변수를 지원합니다.

매개변수
client_id 필수의

애플리케이션의 클라이언트 ID입니다. 당신은이 값 찾을 수 있습니다 API ConsoleCredentials page.

redirect_uri 필수의

Google의 인증 서버가 앱에 응답을 보내는 방법을 결정합니다. 이 설치된 앱에 사용할 수있는 여러 가지 리디렉션 옵션이 있습니다, 당신은 당신의 설정 한 것입니다 인증 자격 증명을 염두에 특정 리디렉션 방법.

값은 정확하게 고객의에 구성하여 OAuth 2.0 클라이언트에 대한 인증 된 리디렉션 리디렉션 된 URI 중 하나와 일치해야합니다 API ConsoleCredentials page. 이 값이 인증 된 URI와 일치하지 않는 경우, 당신은 얻을 것이다 redirect_uri_mismatch 오류입니다.

보여주는 아래 표 적절한 redirect_uri 각 방법에 대한 파라미터 값 :

redirect_uri
사용자 정의 URI 체계 com.example.app : redirect_uri_path

또는

com.googleusercontent.apps.123 : redirect_uri_path
  • com.example.app 당신의 통제하에 도메인의 역 DNS 표기법입니다. 사용자 정의 구성표에는 유효 기간이 포함되어야 합니다.
  • com.googleusercontent.apps.123 클라이언트 ID의 역 DNS 표기법입니다.
  • redirect_uri_path 같은 선택적인 경로 구성 요소입니다 /oauth2redirect . 경로는 일반 HTTP URL과 다른 단일 슬래시로 시작해야 합니다.
루프백 IP 주소 http://127.0.0.1: port 또는 http://[::1]: port

관련 루프백 IP 주소에 대해 플랫폼을 쿼리하고 사용 가능한 임의의 포트에서 HTTP 수신기를 시작합니다. 대체 port 실제 포트 번호와 함께 앱에서 수신합니다.

수동 복사/붙여넣기 urn:ietf:wg:oauth:2.0:oob
프로그래밍 방식 추출 urn:ietf:wg:oauth:2.0:oob:auto
response_type 필수의

Google OAuth 2.0 엔드포인트가 인증 코드를 반환하는지 여부를 결정합니다.

매개 변수 값 설정 code 설치 한 응용 프로그램을.

scope 필수의

애플리케이션이 사용자를 대신하여 액세스할 수 있는 리소스를 식별하는 공백으로 구분된 범위 목록입니다. 이 값은 Google이 사용자에게 표시하는 동의 화면을 알려줍니다.

범위를 사용하면 애플리케이션이 필요한 리소스에 대한 액세스만 요청할 수 있으며 사용자가 애플리케이션에 부여하는 액세스 권한의 양을 제어할 수 있습니다. 따라서 요청된 범위의 수와 사용자 동의를 얻을 가능성 사이에는 반비례 관계가 있습니다.

code_challenge 추천

지정하는 부호화 code_verifier 인증 코드 교환시 서버 측 챌린지로서 사용될 것이다. 이 매개 변수는 함께 사용해야합니다 code_challenge 위에서 설명한 매개 변수입니다. 참조 코드 요청 생성 자세한 내용은 위의 섹션을 참조하십시오.

code_challenge_method 추천

어떤 방법 지정은 인코딩에 사용 된 code_verifier 인증 코드 교환시 사용됩니다. 이 매개 변수는 함께 사용해야합니다 code_challenge 매개 변수입니다. 의 값 code_challenge_method 디폴트 plain 포함 요청에 존재하지 않는 경우 code_challenge . 이 매개 변수에 지원되는 유일한 값은 S256 또는 plain .

state 추천

애플리케이션이 권한 부여 요청과 권한 부여 서버의 응답 사이의 상태를 유지하기 위해 사용하는 문자열 값을 지정합니다. 서버는 당신이로 보내 정확한 값 반환 name=value 의 URL 조각 식별자 쌍 ( # 의) redirect_uri 에 사용자의 동의 후 또는 응용 프로그램의 액세스 요청을 거부합니다.

이 매개변수는 사용자를 애플리케이션의 올바른 리소스로 안내하고, nonce를 전송하고, 사이트 간 요청 위조를 완화하는 것과 같은 여러 목적으로 사용할 수 있습니다. 하여 이후 redirect_uri 추측 할 수있다하는 사용 state 값은 인입 접속 인증 요청의 결과인지하여 확신을 높일 수있다. 임의의 문자열을 생성하거나 쿠키의 해시 또는 클라이언트의 상태를 캡처하는 다른 값을 인코딩하는 경우 응답을 검증하여 요청과 응답이 동일한 브라우저에서 시작되었는지 추가로 확인하여 교차 사이트와 같은 공격으로부터 보호할 수 있습니다. 위조요청. 참고 항목 오픈 ID 연결 작성하고 확인하는 방법의 예를 들어 문서를 state 토큰을.

login_hint 선택 과목

애플리케이션이 인증하려는 사용자를 알고 있는 경우 이 매개변수를 사용하여 Google 인증 서버에 힌트를 제공할 수 있습니다. 서버는 로그인 양식에서 이메일 필드를 미리 채우거나 적절한 다중 로그인 세션을 선택하여 로그인 흐름을 단순화하기 위해 힌트를 사용합니다.

이메일 주소 또는 매개 변수 값을 설정 sub 사용자의 Google ID에 해당 식별자.

샘플 승인 URL

아래 탭은 다양한 리디렉션 URI 옵션에 대한 샘플 인증 URL을 보여줍니다.

URL은 값을 제외하고 동일 redirect_uri 파라미터. URL은 또한 필요한 포함 response_typeclient_id 매개 변수뿐만 아니라 옵션 state 매개 변수를. 각 URL에는 가독성을 위해 줄 바꿈과 공백이 포함되어 있습니다.

사용자 정의 URI 체계

https://accounts.google.com/o/oauth2/v2/auth?
 scope=email%20profile&
 response_type=code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken&
 redirect_uri=com.example.app%3A/oauth2redirect&
 client_id=client_id

루프백 IP 주소

https://accounts.google.com/o/oauth2/v2/auth?
 scope=email%20profile&
 response_type=code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken&
 redirect_uri=http%3A//127.0.0.1%3A9004&
 client_id=client_id

복사 붙여 넣기

https://accounts.google.com/o/oauth2/v2/auth?
 scope=email%20profile&
 response_type=code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken&
 redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob&
 client_id=client_id

프로그래밍 방식 추출

https://accounts.google.com/o/oauth2/v2/auth?
 scope=email%20profile&
 response_type=code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken&
 redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob%3Aauto&
 client_id=client_id

3단계: Google에서 사용자에게 동의를 요청합니다.

이 단계에서 사용자는 요청된 액세스 권한을 애플리케이션에 부여할지 여부를 결정합니다. 이 단계에서 Google은 사용자의 인증 자격 증명으로 액세스 권한을 요청하는 애플리케이션 및 Google API 서비스의 이름과 부여할 액세스 범위의 요약을 보여주는 동의 창을 표시합니다. 그런 다음 사용자는 애플리케이션에서 요청한 하나 이상의 범위에 대한 액세스 권한 부여에 동의하거나 요청을 거부할 수 있습니다.

애플리케이션은 액세스가 부여되었는지 여부를 나타내는 Google OAuth 2.0 서버의 응답을 기다리기 때문에 이 단계에서 아무 것도 할 필요가 없습니다. 그 응답은 다음 단계에서 설명됩니다.

오류

Google의 OAuth 2.0 권한 부여 엔드포인트에 대한 요청은 예상되는 인증 및 권한 부여 흐름 대신 사용자에게 표시되는 오류 메시지를 표시할 수 있습니다. 일반적인 오류 코드 및 제안된 해결 방법은 아래에 나열되어 있습니다.

admin_policy_enforced

Google 계정은 Google Workspace 관리자의 정책으로 인해 요청된 하나 이상의 범위를 승인할 수 없습니다. 구글 작업 공간 관리자 도움말을 참조하십시오 타사 및 내부 애플리케이션은 구글 작업 공간 데이터에 액세스 제어 액세스가 명시 적으로 OAuth 클라이언트 ID에 부여 될 때까지 관리자가 모든 범위 또는 민감하고 제한된 범위에 대한 액세스를 제한 할 수있는 방법에 대한 자세한 정보를.

disallowed_useragent

권한 부여 엔드 포인트는 구글에 의해 허용되지 임베디드 사용자 에이전트 내부에 표시됩니다 의 OAuth 2.0 정책 .

기계적 인조 인간

에 승인 요청을 열 때 안드로이드 개발자는이 오류 메시지가 발생할 수 있습니다android.webkit.WebView . 개발자는 대신 같은 안드로이드 라이브러리를 사용한다 구글 안드로이드에 대한 로그인 또는 오픈 ID 재단의 안드로이드에 대한 AppAuth을 .

웹 개발자는 Android 앱이 포함된 사용자 에이전트에서 일반 웹 링크를 열고 사용자가 사이트에서 Google의 OAuth 2.0 인증 끝점으로 이동할 때 이 오류가 발생할 수 있습니다. 개발자는 일반적으로 링크가 모두 포함하는 운영 체제의 기본 링크 처리기에서 열 수 있어야 안드로이드 앱 링크 핸들러 또는 기본 브라우저 응용 프로그램을. 안드로이드 사용자 정의 탭의 라이브러리는 지원되는 옵션입니다.

iOS

에 승인 요청을 열 때 iOS 및 맥 OS 개발자는이 오류가 발생할 수 있습니다WKWebView . 개발자는 대신 같은 아이폰 OS 라이브러리를 사용한다 구글 iOS 용 로그인 또는 오픈 ID 재단의 iOS 용 AppAuth .

iOS 또는 macOS 앱이 포함된 사용자 에이전트에서 일반 웹 링크를 열고 사용자가 사이트에서 Google의 OAuth 2.0 인증 엔드포인트로 이동할 때 웹 개발자에게 이 오류가 발생할 수 있습니다. 개발자는 일반적으로 링크가 모두 포함하는 운영 체제의 기본 링크 처리기에서 열 수 있도록해야 유니버설 링크 핸들러 또는 기본 브라우저 응용 프로그램을.SFSafariViewController 라이브러리는 지원되는 옵션입니다.

org_internal

요청의 OAuth 클라이언트 ID는 특정 구글 계정에 대한 액세스 제한 프로젝트의 일부입니다 Google 클라우드 조직 . 이 구성 옵션에 대한 자세한 내용은 참조 사용자 유형의 당신의 OAuth 동의 화면 도움말까지 설정 섹션을.

redirect_uri_mismatch

redirect_uri 승인 요청 전달은 OAuth 클라이언트 ID에 대한 권한이 부여 된 리디렉션 URI와 일치하지 않습니다. 평가는 현재의 리디렉션 URI를 허가 Google API Console Credentials page.

건네 redirect_uri 클라이언트 유형에 대해 유효하지 않을 수 있습니다.

4단계: OAuth 2.0 서버 응답 처리

응용 프로그램이 인증 응답을 수신하는 방식이에 따라 리디렉션 URI 방식 이 사용. 에 관계없이 제도의 응답이 중 인증 코드 (포함 code ) 또는 오류 ( error ). 예를 들어, error=access_denied 사용자가 요청을 거부 것을 나타낸다.

사용자가 애플리케이션에 대한 액세스 권한을 부여하면 다음 단계에 설명된 대로 인증 코드를 액세스 토큰 및 새로 고침 토큰으로 교환할 수 있습니다.

5단계: 갱신 및 액세스 토큰에 대한 인증 코드 교환

액세스 토큰 인증 코드를 교환하기 위해 호출 https://oauth2.googleapis.com/token 엔드 포인트와 다음 매개 변수를 설정 :

필드
client_id 클라이언트 ID가로부터 얻어 API ConsoleCredentials page.
client_secret 로부터 얻어진 클라이언트 비밀 API ConsoleCredentials page.
code 초기 요청에서 반환된 인증 코드입니다.
code_verifier 당신 검증 코드에서 생성 된 1 단계 .
grant_type 의 OAuth 2.0 스펙에 정의 된 바와 같이 ,이 필드의 값으로 설정해야합니다 authorization_code .
redirect_uri 에서 프로젝트에 대해 나열된 리디렉션 된 URI 중 하나 API ConsoleCredentials page 주어진에 대한 client_id .

다음 스니펫은 샘플 요청을 보여줍니다.

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your_client_id&
client_secret=your_client_secret&
redirect_uri=urn%3Aietf%3Awg%3Aoauth%3A2.0%3Aoob%3Aauto&
grant_type=authorization_code

Google은 단기 액세스 토큰과 새로 고침 토큰이 포함된 JSON 개체를 반환하여 이 요청에 응답합니다.

응답에는 다음 필드가 포함됩니다.

필드
access_token 애플리케이션이 Google API 요청을 승인하기 위해 보내는 토큰입니다.
expires_in 액세스 토큰의 남은 수명(초)입니다.
id_token 참고 : 귀하의 요청과 같은 신원 범위 포함 된 경우이 속성은 반환 openid , profile , 또는 email . 값은 사용자에 대한 디지털 서명된 ID 정보가 포함된 JWT(JSON Web Token)입니다.
refresh_token 새 액세스 토큰을 얻는 데 사용할 수 있는 토큰입니다. 새로 고침 토큰은 사용자가 액세스 권한을 취소할 때까지 유효합니다. 새로 고침 토큰은 설치된 응용 프로그램에 대해 항상 반환됩니다.
scope 액세스의 범위가 부여 access_token 공간 구분 대소 문자 스트링의리스트로 표시.
token_type 반환된 토큰의 유형입니다. 이 때,이 필드의 값은 항상로 설정되어 Bearer .

다음 스니펫은 샘플 응답을 보여줍니다.

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "token_type": "Bearer",
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

Google API 호출

애플리케이션이 액세스 토큰을 얻은 후 API에 필요한 액세스 범위가 부여된 경우 토큰을 사용하여 지정된 사용자 계정을 대신하여 Google API를 호출할 수 있습니다. 이렇게하려면 중 하나를 포함하여 API에 요청에 액세스 토큰이 포함 access_token 쿼리 매개 변수 또는 Authorization HTTP 헤더 Bearer 값입니다. 쿼리 문자열은 서버 로그에 표시되는 경향이 있기 때문에 가능하면 HTTP 헤더를 사용하는 것이 좋습니다. 대부분의 경우 구글 API에 통화를 설정하는 클라이언트 라이브러리를 사용할 수 있습니다 (예를 들어, 드라이브 파일 API를 호출 ).

당신은 모든 구글 API를 시도하고 그들의 범위를 볼 수 OAuth는 2.0 놀이터 .

HTTP GET 예제

받는 호출 drive.files 엔드 포인트 (드라이브 파일 API)를 사용하여 Authorization: Bearer HTTP 헤더는 다음과 같이 보일 수 있습니다. 고유한 액세스 토큰을 지정해야 합니다.

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

여기에 사용하여 인증 된 사용자에 대해 동일한 API를 호출입니다 access_token 쿼리 문자열 매개 변수 :

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl

당신은 이러한 명령을 테스트 할 수 있습니다 curl 명령 줄 응용 프로그램을. 다음은 HTTP 헤더 옵션(선호)을 사용하는 예입니다.

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

또는 쿼리 문자열 매개변수 옵션:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

액세스 토큰 새로 고침

액세스 토큰은 주기적으로 만료되어 관련 API 요청에 대해 유효하지 않은 자격 증명이 됩니다. 토큰과 연결된 범위에 대한 오프라인 액세스를 요청한 경우 사용자에게 권한을 요청하지 않고(사용자가 없는 경우 포함) 액세스 토큰을 새로 고칠 수 있습니다.

액세스 토큰을 새로 고치려면 응용 프로그램은 HTTPS 전송 POST 구글의 인증 서버에 요청 ( https://oauth2.googleapis.com/token 다음 매개 변수를 포함) :

필드
client_id 클라이언트 ID가로부터 얻어 API Console.
client_secret 로부터 얻어진 클라이언트 비밀 API Console. 합니다 ( client_secret 안드로이드, 아이폰 OS, 또는 크롬 응용 프로그램으로 등록 된 클라이언트의 요청에 적용되지 않습니다.)
grant_type 으로 의 OAuth 2.0 사양에 정의 된 ,이 필드의 값을 설정해야합니다 refresh_token .
refresh_token 인증 코드 교환에서 반환된 새로 고침 토큰입니다.

다음 스니펫은 샘플 요청을 보여줍니다.

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

client_id=your_client_id&
client_secret=your_client_secret&
refresh_token=refresh_token&
grant_type=refresh_token

사용자가 애플리케이션에 부여된 액세스 권한을 취소하지 않는 한 토큰 서버는 새 액세스 토큰이 포함된 JSON 객체를 반환합니다. 다음 스니펫은 샘플 응답을 보여줍니다.

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "token_type": "Bearer"
}

발행될 갱신 토큰 수에는 제한이 있습니다. 클라이언트/사용자 조합당 하나의 제한과 모든 클라이언트에서 사용자당 하나의 제한. 갱신 토큰은 장기 보관에 저장하고 유효 기간 동안 계속 사용해야 합니다. 애플리케이션이 너무 많은 새로 고침 토큰을 요청하면 이러한 제한에 도달할 수 있으며, 이 경우 이전 새로 고침 토큰이 작동을 멈춥니다.

토큰 취소

어떤 경우에는 사용자가 애플리케이션에 부여된 액세스 권한을 취소하기를 원할 수 있습니다. 사용자가 방문하여 액세스를 취소 할 수 있습니다 계정 설정 . 참고 항목 계정에 대한 액세스 권한이있는 타사 사이트 및 앱의 제거 사이트 또는 앱 액세스 섹션 자세한 내용은 지원 문서.

응용 프로그램이 부여된 액세스 권한을 프로그래밍 방식으로 취소할 수도 있습니다. 사용자가 구독을 취소하거나 애플리케이션을 제거하거나 앱에 필요한 API 리소스가 크게 변경된 경우 프로그래밍 방식 해지가 중요합니다. 즉, 제거 프로세스의 일부에는 이전에 애플리케이션에 부여된 권한이 제거되었는지 확인하기 위한 API 요청이 포함될 수 있습니다.

프로그램 토큰을 취소하려면 응용 프로그램에 요청을 https://oauth2.googleapis.com/revoke 및 매개 변수로 토큰을 포함합니다 :

curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
        https://oauth2.googleapis.com/revoke?token={token}

토큰은 액세스 토큰 또는 새로 고침 토큰일 수 있습니다. 토큰이 액세스 토큰이고 해당하는 새로 고침 토큰이 있는 경우 새로 고침 토큰도 취소됩니다.

취소가 성공적으로 처리되면, 응답의 HTTP 상태 코드이다 200 . 오류 상태를 들어, HTTP 상태 코드 400 오류 코드와 함께 반환됩니다.

추가 읽기

IETF에서 제일 현재 연습 네이티브 앱을위한 OAuth는 2.0 여기에 설명 된 우수 사례의 대부분을 설정합니다.