このドキュメントでは、ウェブサーバーアプリケーションがGoogleAPIクライアントライブラリまたはGoogleOAuth 2.0エンドポイントを使用して、GoogleAPIにアクセスするためのOAuth2.0認証を実装する方法について説明します。
OAuth 2.0を使用すると、ユーザーはユーザー名、パスワード、その他の情報を非公開にしながら、特定のデータをアプリケーションと共有できます。たとえば、アプリケーションはOAuth 2.0を使用して、ユーザーからGoogleドライブにファイルを保存する許可を取得できます。
このOAuth2.0フローは、特にユーザー認証用です。機密情報を保存し、状態を維持できるアプリケーション向けに設計されています。適切に承認されたWebサーバーアプリケーションは、ユーザーがアプリケーションを操作している間、またはユーザーがアプリケーションを離れた後にAPIにアクセスできます。
Webサーバーアプリケーションは、特にCloud APIを呼び出してユーザー固有のデータではなくプロジェクトベースのデータにアクセスする場合に、サービスアカウントを使用してAPIリクエストを承認することもよくあります。 Webサーバーアプリケーションは、ユーザー認証と組み合わせてサービスアカウントを使用できます。
クライアントライブラリ
このページの言語固有の例では、GoogleAPIクライアントライブラリを使用してOAuth2.0認証を実装しています。コードサンプルを実行するには、最初にご使用の言語のクライアントライブラリをインストールする必要があります。
GoogleAPIクライアントライブラリを使用してアプリケーションのOAuth2.0フローを処理する場合、クライアントライブラリは、アプリケーションが独自に処理する必要がある多くのアクションを実行します。たとえば、アプリケーションが保存されたアクセストークンをいつ使用または更新できるか、またいつアプリケーションが同意を再取得する必要があるかを決定します。クライアントライブラリは、正しいリダイレクトURLも生成し、アクセストークンの認証コードを交換するリダイレクトハンドラーの実装に役立ちます。
サーバーサイドアプリケーション用のGoogleAPIクライアントライブラリは、次の言語で利用できます。
前提条件
プロジェクトのAPIを有効にする
Google APIを呼び出すアプリケーションはすべて、 API ConsoleでそれらのAPIを有効にする必要があります。
プロジェクトのAPIを有効にするには:
- Open the API Library の Google API Console。
- If prompted, select a project, or create a new one.
- API Library は、利用可能なすべてのAPIを、製品ファミリーと人気別にグループ化して一覧表示します。有効にするAPIがリストに表示されていない場合は、検索を使用してAPIを見つけるか、それが属する製品ファミリーの[すべて表示]をクリックします。
- 有効にするAPIを選択し、[有効]ボタンをクリックします。
- If prompted, enable billing.
- If prompted, read and accept the API's Terms of Service.
承認資格情報を作成する
OAuth2.0を使用してGoogleAPIにアクセスするアプリケーションには、GoogleのOAuth2.0サーバーに対してアプリケーションを識別する認証資格が必要です。次の手順では、プロジェクトのクレデンシャルを作成する方法について説明します。その後、アプリケーションは資格情報を使用して、そのプロジェクトで有効にしたAPIにアクセスできます。
- Go to the Credentials page.
- [資格情報の作成]>[OAuthクライアントID]をクリックします。
- Webアプリケーションのアプリケーションタイプを選択します。
- フォームに入力して、[作成]をクリックします。 PHP、Java、Python、Ruby、.NETなどの言語とフレームワークを使用するアプリケーションは、承認されたリダイレクトURIを指定する必要があります。リダイレクトURIは、OAuth2.0サーバーが応答を送信できるエンドポイントです。これらのエンドポイントは、 Googleの検証ルールに準拠している必要があります。
テストのために、
http://localhost:8080
などのローカルマシンを参照するURIを指定できます。このことを念頭に置いて、このドキュメントのすべての例では、リダイレクトURIとしてhttp://localhost:8080
を使用していることに注意してください。アプリケーションがページ上の他のリソースに認証コードを公開しないように、アプリの認証エンドポイントを設計することをお勧めします。
クレデンシャルを作成したら、 API Consoleからclient_secret.jsonファイルをダウンロードします。アプリケーションだけがアクセスできる場所にファイルを安全に保存します。
アクセス範囲を特定する
スコープを使用すると、アプリケーションは必要なリソースへのアクセスのみを要求できると同時に、ユーザーはアプリケーションに付与するアクセスの量を制御できます。したがって、要求されたスコープの数とユーザーの同意を得る可能性の間には反比例の関係がある可能性があります。
OAuth 2.0承認の実装を開始する前に、アプリがアクセスするためにアクセス許可を必要とするスコープを特定することをお勧めします。
また、アプリケーションが増分承認プロセスを介して承認スコープへのアクセスを要求することをお勧めします。このプロセスでは、アプリケーションがコンテキスト内のユーザーデータへのアクセスを要求します。このベストプラクティスは、アプリケーションが要求しているアクセスを必要とする理由をユーザーがより簡単に理解するのに役立ちます。
OAuth 2.0 APIスコープドキュメントには、GoogleAPIへのアクセスに使用できるスコープの完全なリストが含まれています。
言語固有の要件
このドキュメントのコードサンプルを実行するには、Googleアカウント、インターネットへのアクセス、およびWebブラウザが必要です。 APIクライアントライブラリの1つを使用している場合は、以下の言語固有の要件も参照してください。
PHP
このドキュメントのPHPコードサンプルを実行するには、次のものが必要です。
- コマンドラインインターフェイス(CLI)とJSON拡張機能がインストールされたPHP5.4以降。
- Composerの依存関係管理ツール。
PHP用のGoogleAPIクライアントライブラリ:
php composer.phar require google/apiclient:^2.0
Python
このドキュメントのPythonコードサンプルを実行するには、次のものが必要です。
- Python2.6以降
- pipパッケージ管理ツール。
- Python用のGoogleAPIクライアントライブラリ:
pip install --upgrade google-api-python-client
- ユーザー認証用の
google-auth
、google-auth-oauthlib
、およびgoogle-auth-httplib2
。pip install --upgrade google-auth google-auth-oauthlib google-auth-httplib2
- FlaskPythonWebアプリケーションフレームワーク。
pip install --upgrade flask
-
requests
HTTPライブラリ。pip install --upgrade requests
ルビー
このドキュメントのRubyコードサンプルを実行するには、次のものが必要です。
- Ruby2.2.2以降
Ruby用のGoogleAPIクライアントライブラリ:
gem install google-api-client
SinatraRubyWebアプリケーションフレームワーク。
gem install sinatra
Node.js
このドキュメントのNode.jsコードサンプルを実行するには、次のものが必要です。
- メンテナンスLTS、アクティブLTS、またはNode.jsの現在のリリース。
Google API Node.jsクライアント:
npm install googleapis
HTTP / REST
OAuth 2.0エンドポイントを直接呼び出すことができるようにするために、ライブラリをインストールする必要はありません。
OAuth2.0アクセストークンの取得
次の手順は、アプリケーションがGoogleのOAuth 2.0サーバーと対話して、ユーザーに代わってAPIリクエストを実行するというユーザーの同意を取得する方法を示しています。アプリケーションは、ユーザー認証を必要とするGoogle APIリクエストを実行する前に、その同意を得る必要があります。
以下のリストは、これらのステップを簡単に要約したものです。
- アプリケーションは、必要な権限を識別します。
- アプリケーションは、要求された権限のリストとともにユーザーをGoogleにリダイレクトします。
- ユーザーは、アプリケーションにアクセス許可を付与するかどうかを決定します。
- アプリケーションは、ユーザーが何を決定したかを調べます。
- ユーザーが要求された権限を付与した場合、アプリケーションはユーザーに代わってAPIリクエストを行うために必要なトークンを取得します。
ステップ1:認証パラメータを設定する
最初のステップは、承認リクエストを作成することです。このリクエストは、アプリケーションを識別し、ユーザーがアプリケーションに付与するように求められる権限を定義するパラメーターを設定します。
- OAuth 2.0の認証と承認にGoogleクライアントライブラリを使用する場合は、これらのパラメータを定義するオブジェクトを作成して構成します。
- Google OAuth 2.0エンドポイントを直接呼び出す場合は、URLを生成し、そのURLにパラメータを設定します。
以下のタブは、Webサーバーアプリケーションでサポートされている認証パラメーターを定義します。言語固有の例は、クライアント・ライブラリーまたは許可ライブラリーを使用して、これらのパラメーターを設定するオブジェクトを構成する方法も示しています。
PHP
以下のコードスニペットは、承認リクエストのパラメータを定義するGoogle_Client()
オブジェクトを作成します。
そのオブジェクトは、 client_secret.jsonファイルの情報を使用してアプリケーションを識別します。 (そのファイルの詳細については、承認資格情報の作成を参照してください。)このオブジェクトは、アプリケーションがアクセス許可を要求しているスコープと、GoogleのOAuth2.0サーバーからの応答を処理するアプリケーションの認証エンドポイントへのURLも識別します。最後に、コードはオプションのaccess_type
パラメーターとinclude_granted_scopes
パラメーターを設定します。
たとえば、このコードは、ユーザーのGoogleドライブへの読み取り専用のオフラインアクセスを要求します。
$client = new Google_Client(); $client->setAuthConfig('client_secret.json'); $client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY); $client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'); // offline access will give you both an access and refresh token so that // your app can refresh the access token without user interaction. $client->setAccessType('offline'); // Using "consent" ensures that your application always receives a refresh token. // If you are not using offline access, you can omit this. $client->setApprovalPrompt("consent"); $client->setIncludeGrantedScopes(true); // incremental auth
リクエストは次の情報を指定します。
パラメーター | |||||||
---|---|---|---|---|---|---|---|
client_id | 必須 アプリケーションのクライアントID。この値は、 API ConsoleCredentials pageにあります。 PHPでは、 $client = new Google_Client(); $client->setAuthConfig('client_secret.json'); | ||||||
redirect_uri | 必須 ユーザーが認証フローを完了した後、APIサーバーがユーザーをリダイレクトする場所を決定します。値は、クライアントの API ConsoleCredentials page構成したOAuth2.0クライアントの許可されたリダイレクトURIの1つと正確に一致する必要があります。この値が、指定された PHPでこの値を設定するには、 $client->setRedirectUri('https://oauth2.example.com/code'); | ||||||
scope | 必須 アプリケーションがユーザーに代わってアクセスできるリソースを識別する、スペースで区切られたスコープのリスト。これらの値は、Googleがユーザーに表示する同意画面に通知します。 スコープを使用すると、アプリケーションは必要なリソースへのアクセスのみを要求できると同時に、ユーザーはアプリケーションに付与するアクセスの量を制御できます。したがって、要求されたスコープの数とユーザーの同意を得る可能性の間には反比例の関係があります。 PHPでこの値を設定するには、 $client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY); 可能な限り、アプリケーションがコンテキスト内の承認スコープへのアクセスを要求することをお勧めします。インクリメンタル認証を介してコンテキスト内のユーザーデータへのアクセスを要求することにより、アプリケーションが要求しているアクセスを必要とする理由をユーザーがより簡単に理解できるようにします。 | ||||||
access_type | おすすめされた ユーザーがブラウザにいないときに、アプリケーションがアクセストークンを更新できるかどうかを示します。有効なパラメータ値は、デフォルト値である ユーザーがブラウザーにいないときにアプリケーションがアクセストークンを更新する必要がある場合は、値を PHPでこの値を設定するには、 $client->setAccessType('offline'); | ||||||
state | おすすめされた アプリケーションが承認要求と承認サーバーの応答の間の状態を維持するために使用する文字列値を指定します。サーバーは、ユーザーがアプリケーションのアクセス要求に同意または拒否した後、 このパラメーターは、アプリケーション内の正しいリソースへのユーザーの誘導、ナンスの送信、クロスサイトリクエストフォージェリの軽減など、いくつかの目的に使用できます。 PHPでこの値を設定するには、 $client->setState($sample_passthrough_value); | ||||||
include_granted_scopes | オプション アプリケーションが増分承認を使用して、コンテキスト内の追加のスコープへのアクセスを要求できるようにします。このパラメーターの値を PHPでこの値を設定するには、 $client->setIncludeGrantedScopes(true); | ||||||
login_hint | オプション アプリケーションは、どのユーザーが認証を試みているかを知っている場合、このパラメーターを使用して、Google認証サーバーにヒントを提供できます。サーバーはヒントを使用して、サインインフォームの電子メールフィールドに事前に入力するか、適切なマルチログインセッションを選択することにより、ログインフローを簡素化します。 パラメータ値をメールアドレスまたは PHPでこの値を設定するには、 $client->setLoginHint('None'); | ||||||
prompt | オプション ユーザーに表示するプロンプトの、スペースで区切られた大文字と小文字を区別するリスト。このパラメーターを指定しない場合、プロジェクトが最初にアクセスを要求したときにのみユーザーにプロンプトが表示されます。詳細については、再同意のプロンプトを参照してください。 PHPでこの値を設定するには、 $client->setApprovalPrompt('consent'); 可能な値は次のとおりです。
|
Python
次のコードスニペットは、 google-auth-oauthlib.flow
モジュールを使用して承認リクエストを作成します。
このコードは、承認資格情報の作成後にダウンロードしたclient_secret.jsonファイルからの情報を使用してアプリケーションを識別するFlow
オブジェクトを構築します。このオブジェクトは、アプリケーションがアクセス許可を要求しているスコープと、GoogleのOAuth2.0サーバーからの応答を処理するアプリケーションの認証エンドポイントへのURLも識別します。最後に、コードはオプションのaccess_type
パラメーターとinclude_granted_scopes
パラメーターを設定します。
たとえば、このコードは、ユーザーのGoogleドライブへの読み取り専用のオフラインアクセスを要求します。
import google.oauth2.credentials import google_auth_oauthlib.flow # Use the client_secret.json file to identify the application requesting # authorization. The client ID (from that file) and access scopes are required. flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( 'client_secret.json', scopes=['https://www.googleapis.com/auth/drive.metadata.readonly']) # Indicate where the API server will redirect the user after the user completes # the authorization flow. The redirect URI is required. The value must exactly # match one of the authorized redirect URIs for the OAuth 2.0 client, which you # configured in the API Console. If this value doesn't match an authorized URI, # you will get a 'redirect_uri_mismatch' error. flow.redirect_uri = 'https://www.example.com/oauth2callback' # Generate URL for request to Google's OAuth 2.0 server. # Use kwargs to set optional request parameters. authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true')
リクエストは次の情報を指定します。
パラメーター | |||||||
---|---|---|---|---|---|---|---|
client_id | 必須 アプリケーションのクライアントID。この値は、 API ConsoleCredentials pageにあります。 Pythonでは、 flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( 'client_secret.json', scopes=['https://www.googleapis.com/auth/drive.metadata.readonly']) | ||||||
redirect_uri | 必須 ユーザーが認証フローを完了した後、APIサーバーがユーザーをリダイレクトする場所を決定します。値は、クライアントの API ConsoleCredentials page構成したOAuth2.0クライアントの許可されたリダイレクトURIの1つと正確に一致する必要があります。この値が、指定された Pythonでこの値を設定するには、 flow.redirect_uri = 'https://oauth2.example.com/code' | ||||||
scope | 必須 アプリケーションがユーザーに代わってアクセスできるリソースを識別するスコープのリスト。これらの値は、Googleがユーザーに表示する同意画面に通知します。 スコープを使用すると、アプリケーションは必要なリソースへのアクセスのみを要求できると同時に、ユーザーはアプリケーションに付与するアクセスの量を制御できます。したがって、要求されたスコープの数とユーザーの同意を得る可能性の間には反比例の関係があります。 Pythonでは、スコープのリストを指定するために flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( 'client_secret.json', scopes=['https://www.googleapis.com/auth/drive.metadata.readonly']) 可能な限り、アプリケーションがコンテキスト内の承認スコープへのアクセスを要求することをお勧めします。インクリメンタル認証を介してコンテキスト内のユーザーデータへのアクセスを要求することにより、アプリケーションが要求しているアクセスを必要とする理由をユーザーがより簡単に理解できるようにします。 | ||||||
access_type | おすすめされた ユーザーがブラウザにいないときに、アプリケーションがアクセストークンを更新できるかどうかを示します。有効なパラメータ値は、デフォルト値である ユーザーがブラウザーにいないときにアプリケーションがアクセストークンを更新する必要がある場合は、値を Pythonでは、 authorization_url, state = flow.authorization_url( access_type='offline', include_granted_scopes='true') | ||||||
state | おすすめされた アプリケーションが承認要求と承認サーバーの応答の間の状態を維持するために使用する文字列値を指定します。サーバーは、ユーザーがアプリケーションのアクセス要求に同意または拒否した後、 このパラメーターは、アプリケーション内の正しいリソースへのユーザーの誘導、ナンスの送信、クロスサイトリクエストフォージェリの軽減など、いくつかの目的に使用できます。 Pythonでは、 authorization_url, state = flow.authorization_url( access_type='offline', state=sample_passthrough_value, include_granted_scopes='true') | ||||||
include_granted_scopes | オプション アプリケーションが増分承認を使用して、コンテキスト内の追加のスコープへのアクセスを要求できるようにします。このパラメーターの値を Pythonでは、 authorization_url, state = flow.authorization_url( access_type='offline', include_granted_scopes='true') | ||||||
login_hint | オプション アプリケーションは、どのユーザーが認証を試みているかを知っている場合、このパラメーターを使用して、Google認証サーバーにヒントを提供できます。サーバーはヒントを使用して、サインインフォームの電子メールフィールドに事前に入力するか、適切なマルチログインセッションを選択することにより、ログインフローを簡素化します。 パラメータ値をメールアドレスまたは Pythonでは、 authorization_url, state = flow.authorization_url( access_type='offline', login_hint='None', include_granted_scopes='true') | ||||||
prompt | オプション ユーザーに表示するプロンプトの、スペースで区切られた大文字と小文字を区別するリスト。このパラメーターを指定しない場合、プロジェクトが最初にアクセスを要求したときにのみユーザーにプロンプトが表示されます。詳細については、再同意のプロンプトを参照してください。 Pythonでは、 authorization_url, state = flow.authorization_url( access_type='offline', prompt='consent', include_granted_scopes='true') 可能な値は次のとおりです。
|
ルビー
作成したclient_secrets.jsonファイルを使用して、アプリケーションでクライアントオブジェクトを構成します。クライアントオブジェクトを構成するときは、アプリケーションがアクセスする必要のあるスコープと、OAuth2.0サーバーからの応答を処理するアプリケーションの認証エンドポイントへのURLを指定します。
たとえば、このコードは、ユーザーのGoogleドライブへの読み取り専用のオフラインアクセスを要求します。
require 'google/apis/drive_v2' require 'google/api_client/client_secrets' client_secrets = Google::APIClient::ClientSecrets.load auth_client = client_secrets.to_authorization auth_client.update!( :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly', :redirect_uri => 'http://www.example.com/oauth2callback', :additional_parameters => { "access_type" => "offline", # offline access "include_granted_scopes" => "true" # incremental auth } )
アプリケーションはクライアントオブジェクトを使用して、承認リクエストURLの生成やHTTPリクエストへのアクセストークンの適用など、OAuth2.0操作を実行します。
Node.js
以下のコードスニペットは、承認リクエストのパラメータを定義するgoogle.auth.OAuth2
オブジェクトを作成します。
そのオブジェクトは、client_secret.jsonファイルの情報を使用してアプリケーションを識別します。アクセストークンを取得するためのアクセス許可をユーザーに要求するには、ユーザーを同意ページにリダイレクトします。同意ページのURLを作成するには:
const {google} = require('googleapis'); /** * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI * from the client_secret.json file. To get these credentials for your application, visit * https://console.cloud.google.com/apis/credentials. */ const oauth2Client = new google.auth.OAuth2( YOUR_CLIENT_ID, YOUR_CLIENT_SECRET, YOUR_REDIRECT_URL ); // Access scopes for read-only Drive activity. const scopes = [ 'https://www.googleapis.com/auth/drive.metadata.readonly' ]; // Generate a url that asks permissions for the Drive activity scope const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true });
重要な注意refresh_token
は、最初の承認でのみ返されます。詳細はこちら。
HTTP / REST
GoogleのOAuth2.0エンドポイントはhttps://accounts.google.com/o/oauth2/v2/auth
にあります。このエンドポイントには、HTTPS経由でのみアクセスできます。プレーンHTTP接続は拒否されます。
Google認証サーバーは、ウェブサーバーアプリケーションの次のクエリ文字列パラメータをサポートしています。
パラメーター | |||||||
---|---|---|---|---|---|---|---|
client_id | 必須 アプリケーションのクライアントID。この値は、 API ConsoleCredentials pageにあります。 | ||||||
redirect_uri | 必須 ユーザーが認証フローを完了した後、APIサーバーがユーザーをリダイレクトする場所を決定します。値は、クライアントの API ConsoleCredentials page構成したOAuth2.0クライアントの許可されたリダイレクトURIの1つと正確に一致する必要があります。この値が、指定された | ||||||
response_type | 必須 GoogleOAuth2.0エンドポイントが認証コードを返すかどうかを決定します。 パラメータ値をWebサーバーアプリケーションの | ||||||
scope | 必須 アプリケーションがユーザーに代わってアクセスできるリソースを識別する、スペースで区切られたスコープのリスト。これらの値は、Googleがユーザーに表示する同意画面に通知します。 スコープを使用すると、アプリケーションは必要なリソースへのアクセスのみを要求できると同時に、ユーザーはアプリケーションに付与するアクセスの量を制御できます。したがって、要求されたスコープの数とユーザーの同意を得る可能性の間には反比例の関係があります。 可能な限り、アプリケーションがコンテキスト内の承認スコープへのアクセスを要求することをお勧めします。インクリメンタル認証を介してコンテキスト内のユーザーデータへのアクセスを要求することにより、アプリケーションが要求しているアクセスを必要とする理由をユーザーがより簡単に理解できるようにします。 | ||||||
access_type | おすすめされた ユーザーがブラウザにいないときに、アプリケーションがアクセストークンを更新できるかどうかを示します。有効なパラメータ値は、デフォルト値である ユーザーがブラウザーにいないときにアプリケーションがアクセストークンを更新する必要がある場合は、値を | ||||||
state | おすすめされた アプリケーションが承認要求と承認サーバーの応答の間の状態を維持するために使用する文字列値を指定します。サーバーは、ユーザーがアプリケーションのアクセス要求に同意または拒否した後、 このパラメーターは、アプリケーション内の正しいリソースへのユーザーの誘導、ナンスの送信、クロスサイトリクエストフォージェリの軽減など、いくつかの目的に使用できます。 | ||||||
include_granted_scopes | オプション アプリケーションが増分承認を使用して、コンテキスト内の追加のスコープへのアクセスを要求できるようにします。このパラメーターの値を | ||||||
login_hint | オプション アプリケーションは、どのユーザーが認証を試みているかを知っている場合、このパラメーターを使用して、Google認証サーバーにヒントを提供できます。サーバーはヒントを使用して、サインインフォームの電子メールフィールドに事前に入力するか、適切なマルチログインセッションを選択することにより、ログインフローを簡素化します。 パラメータ値をメールアドレスまたは | ||||||
prompt | オプション ユーザーに表示するプロンプトの、スペースで区切られた大文字と小文字を区別するリスト。このパラメーターを指定しない場合、プロジェクトが最初にアクセスを要求したときにのみユーザーにプロンプトが表示されます。詳細については、再同意のプロンプトを参照してください。 可能な値は次のとおりです。
|
ステップ2:GoogleのOAuth2.0サーバーにリダイレクトする
ユーザーをGoogleのOAuth2.0サーバーにリダイレクトして、認証と承認のプロセスを開始します。通常、これは、アプリケーションが最初にユーザーのデータにアクセスする必要があるときに発生します。インクリメンタル認証の場合、このステップは、アプリケーションがまだアクセス許可を持っていない追加のリソースに最初にアクセスする必要があるときにも発生します。
PHP
- GoogleのOAuth2.0サーバーからのアクセスを要求するURLを生成します:
$auth_url = $client->createAuthUrl();
- ユーザーを
$auth_url
にリダイレクトします:header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));
Python
次の例は、FlaskWebアプリケーションフレームワークを使用してユーザーを認証URLにリダイレクトする方法を示しています。
return flask.redirect(authorization_url)
ルビー
- GoogleのOAuth2.0サーバーからのアクセスを要求するURLを生成します:
auth_uri = auth_client.authorization_uri.to_s
- ユーザーを
auth_uri
にリダイレクトします。
Node.js
- 手順1の
generateAuthUrl
メソッドから生成されたauthorizationUrl
を使用して、GoogleのOAuth2.0サーバーからのアクセスを要求します。 - ユーザーを
authorizationUrl
にリダイレクトします。res.writeHead(301, { "Location": authorizationUrl });
HTTP/REST
Sample redirect to Google's authorization server
An example URL is shown below, with line breaks and spaces for readability.
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly& access_type=offline& include_granted_scopes=true& response_type=code& state=state_parameter_passthrough_value& redirect_uri=https%3A//oauth2.example.com/code& client_id=client_id
リクエストURLを作成したら、ユーザーをそのURLにリダイレクトします。
GoogleのOAuth2.0サーバーはユーザーを認証し、アプリケーションが要求されたスコープにアクセスすることについてユーザーから同意を取得します。指定したリダイレクトURLを使用して、応答がアプリケーションに返送されます。
ステップ3:Googleはユーザーに同意を求める
このステップでは、ユーザーがアプリケーションに要求されたアクセスを許可するかどうかを決定します。この段階で、Googleは、アプリケーションの名前と、ユーザーの認証資格情報を使用してアクセスの許可を要求しているGoogle APIサービスと、許可されるアクセス範囲の概要を示す同意ウィンドウを表示します。その後、ユーザーは、アプリケーションによって要求された1つ以上のスコープへのアクセスを許可するか、要求を拒否することに同意できます。
アプリケーションは、アクセスが許可されたかどうかを示すGoogleのOAuth 2.0サーバーからの応答を待つため、この段階では何もする必要はありません。その応答については、次の手順で説明します。
エラー
GoogleのOAuth2.0承認エンドポイントへのリクエストでは、予想される認証と承認のフローではなく、ユーザー向けのエラーメッセージが表示される場合があります。一般的なエラーコードと推奨される解決策を以下に示します。
admin_policy_enforced
Google Workspace管理者のポリシーにより、Googleアカウントは要求された1つ以上のスコープを承認できません。管理者がOAuthクライアントIDに明示的にアクセスが許可されるまで、すべてのスコープまたは機密性の高い制限されたスコープへのアクセスを制限する方法の詳細については、GoogleWorkspace管理者のヘルプ記事「 GoogleWorkspaceデータにアクセスするサードパーティおよび内部アプリの制御」を参照してください。
disallowed_useragent
承認エンドポイントは、GoogleのOAuth2.0ポリシーで許可されていない埋め込みユーザーエージェント内に表示されます。
アンドロイド
Android開発者は、 android.webkit.WebView
で認証リクエストを開くときにこのエラーメッセージが表示される場合があります。開発者は、代わりに、Android用のGoogleサインインやAndroid用のOpenIDFoundationのAppAuthなどのAndroidライブラリを使用する必要があります。
Androidアプリが埋め込みユーザーエージェントで一般的なウェブリンクを開き、ユーザーがサイトからGoogleのOAuth 2.0認証エンドポイントに移動すると、ウェブ開発者がこのエラーに遭遇する可能性があります。開発者は、 AndroidAppLinksハンドラーまたはデフォルトのブラウザーアプリの両方を含むオペレーティングシステムのデフォルトのリンクハンドラーで一般的なリンクを開くことを許可する必要があります。 Androidカスタムタブライブラリもサポートされているオプションです。
iOS
iOSおよびmacOSの開発者は、 WKWebView
で承認リクエストを開くときにこのエラーが発生する可能性があります。開発者は、代わりに、iOS用のGoogleサインインやiOS用のOpenIDFoundationのAppAuthなどのiOSライブラリを使用する必要があります。
iOSまたはmacOSアプリが組み込みユーザーエージェントで一般的なWebリンクを開き、ユーザーがサイトからGoogleのOAuth 2.0認証エンドポイントに移動すると、Web開発者がこのエラーに遭遇する可能性があります。開発者は、オペレーティングシステムのデフォルトのリンクハンドラーで一般的なリンクを開くことを許可する必要があります。これには、ユニバーサルリンクハンドラーまたはデフォルトのブラウザーアプリの両方が含まれます。 SFSafariViewController
ライブラリもサポートされているオプションです。
org_internal
リクエストのOAuthクライアントIDは、特定のGoogleCloud組織のGoogleアカウントへのアクセスを制限するプロジェクトの一部です。この構成オプションの詳細については、「OAuth同意画面の設定」ヘルプ記事の「ユーザータイプ」セクションを参照してください。
redirect_uri_mismatch
承認リクエストで渡されたredirect_uri
が、OAuthクライアントIDの承認されたリダイレクトURIと一致しません。Credentials page Google API Console で許可されたリダイレクトURIを確認します。
ステップ4:OAuth2.0サーバーの応答を処理する
OAuth 2.0サーバーは、リクエストで指定されたURLを使用して、アプリケーションのアクセスリクエストに応答します。
ユーザーがアクセス要求を承認すると、応答には認証コードが含まれます。ユーザーがリクエストを承認しない場合、レスポンスにはエラーメッセージが含まれます。 The authorization code or error message that is returned to the web server appears on the query string, as shown below:
An error response:
https://oauth2.example.com/auth?error=access_denied
An authorization code response:
https://oauth2.example.com/auth?code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7
Sample OAuth 2.0 server response
You can test this flow by clicking on the following sample URL, which requests read-only access to view metadata for files in your Google Drive:
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly& access_type=offline& include_granted_scopes=true& response_type=code& state=state_parameter_passthrough_value& redirect_uri=https%3A//oauth2.example.com/code& client_id=client_id
After completing the OAuth 2.0 flow, you should be redirected to http://localhost/oauth2callback
, which will likely yield a 404 NOT FOUND
error unless your local machine serves a file at that address. The next step provides more detail about the information returned in the URI when the user is redirected back to your application.
Step 5: Exchange authorization code for refresh and access tokens
After the web server receives the authorization code, it can exchange the authorization code for an access token.
PHP
To exchange an authorization code for an access token, use the authenticate
method:
$client->authenticate($_GET['code']);
You can retrieve the access token with the getAccessToken
method:
$access_token = $client->getAccessToken();
Python
On your callback page, use the google-auth
library to verify the authorization server response. Then, use the flow.fetch_token
method to exchange the authorization code in that response for an access token:
state = flask.session['state'] flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( 'client_secret.json', scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'], state=state) flow.redirect_uri = flask.url_for('oauth2callback', _external=True) authorization_response = flask.request.url flow.fetch_token(authorization_response=authorization_response) # Store the credentials in the session. # ACTION ITEM for developers: # Store user's access and refresh tokens in your data store if # incorporating this code into your real app. credentials = flow.credentials flask.session['credentials'] = { 'token': credentials.token, 'refresh_token': credentials.refresh_token, 'token_uri': credentials.token_uri, 'client_id': credentials.client_id, 'client_secret': credentials.client_secret, 'scopes': credentials.scopes}
Ruby
To exchange an authorization code for an access token, use the fetch_access_token!
method:
auth_client.code = auth_code auth_client.fetch_access_token!
Node.js
To exchange an authorization code for an access token, use the getToken
method:
const url = require('url'); // Receive the callback from Google's OAuth 2.0 server. if (req.url.startsWith('/oauth2callback')) { // Handle the OAuth 2.0 server response let q = url.parse(req.url, true).query; // Get access and refresh tokens (if access_type is offline) let { tokens } = await oauth2Client.getToken(q.code); oauth2Client.setCredentials(tokens); }
HTTP/REST
To exchange an authorization code for an access token, call the https://oauth2.googleapis.com/token
endpoint and set the following parameters:
Fields | |
---|---|
client_id | The client ID obtained from the API ConsoleCredentials page. |
client_secret | The client secret obtained from the API ConsoleCredentials page. |
code | The authorization code returned from the initial request. |
grant_type | As defined in the OAuth 2.0 specification , this field's value must be set to authorization_code . |
redirect_uri | One of the redirect URIs listed for your project in the API ConsoleCredentials page for the given client_id . |
The following snippet shows a sample request:
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7& client_id=your_client_id& client_secret=your_client_secret& redirect_uri=https%3A//oauth2.example.com/code& grant_type=authorization_code
Google responds to this request by returning a JSON object that contains a short-lived access token and a refresh token. Note that the refresh token is only returned if your application set the access_type
parameter to offline
in the initial request to Google's authorization server .
The response contains the following fields:
Fields | |
---|---|
access_token | The token that your application sends to authorize a Google API request. |
expires_in | The remaining lifetime of the access token in seconds. |
refresh_token | A token that you can use to obtain a new access token. Refresh tokens are valid until the user revokes access. Again, this field is only present in this response if you set the access_type parameter to offline in the initial request to Google's authorization server. |
scope | The scopes of access granted by the access_token expressed as a list of space-delimited, case-sensitive strings. |
token_type | The type of token returned. At this time, this field's value is always set to Bearer . |
The following snippet shows a sample response:
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "token_type": "Bearer", "scope": "https://www.googleapis.com/auth/drive.metadata.readonly", "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI" }
Calling Google APIs
PHP
Use the access token to call Google APIs by completing the following steps:
- If you need to apply an access token to a new
Google_Client
object—for example, if you stored the access token in a user session—use thesetAccessToken
method:$client->setAccessToken($access_token);
- Build a service object for the API that you want to call. You build a service object by providing an authorized
Google_Client
object to the constructor for the API you want to call. For example, to call the Drive API:$drive = new Google_Service_Drive($client);
- Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
$files = $drive->files->listFiles(array())->getItems();
Python
After obtaining an access token, your application can use that token to authorize API requests on behalf of a given user account or service account. Use the user-specific authorization credentials to build a service object for the API that you want to call, and then use that object to make authorized API requests.
- Build a service object for the API that you want to call. You build a service object by calling the
googleapiclient.discovery
library'sbuild
method with the name and version of the API and the user credentials: For example, to call version 2 of the Drive API:from googleapiclient.discovery import build drive = build('drive', 'v2', credentials=credentials)
- Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
files = drive.files().list().execute()
Ruby
Use the auth_client
object to call Google APIs by completing the following steps:
- Build a service object for the API that you want to call. For example, to call version 2 of the Drive API:
drive = Google::Apis::DriveV2::DriveService.new
- Set the credentials on the service:
drive.authorization = auth_client
- Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
files = drive.list_files
Alternately, authorization can be provided on a per-method basis by supplying the options
parameter to a method:
files = drive.list_files(options: { authorization: auth_client })
Node.js
After obtaining an access token and setting it to the OAuth2
object, use the object to call Google APIs. Your application can use that token to authorize API requests on behalf of a given user account or service account. Build a service object for the API that you want to call.
const { google } = require('googleapis'); // Example of using Google Drive API to list filenames in user's Drive. const drive = google.drive('v3'); drive.files.list({ auth: oauth2Client, pageSize: 10, fields: 'nextPageToken, files(id, name)', }, (err1, res1) => { if (err1) return console.log('The API returned an error: ' + err1); const files = res1.data.files; if (files.length) { console.log('Files:'); files.map((file) => { console.log(`${file.name} (${file.id})`); }); } else { console.log('No files found.'); } });
HTTP/REST
After your application obtains an access token, you can use the token to make calls to a Google API on behalf of a given user account if the scope(s) of access required by the API have been granted. To do this, include the access token in a request to the API by including either an access_token
query parameter or an Authorization
HTTP header Bearer
value. When possible, the HTTP header is preferable, because query strings tend to be visible in server logs. In most cases you can use a client library to set up your calls to Google APIs (for example, when calling the Drive Files API ).
You can try out all the Google APIs and view their scopes at the OAuth 2.0 Playground .
HTTP GET examples
A call to the drive.files
endpoint (the Drive Files API) using the Authorization: Bearer
HTTP header might look like the following. Note that you need to specify your own access token:
GET /drive/v2/files HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
Here is a call to the same API for the authenticated user using the access_token
query string parameter:
GET https://www.googleapis.com/drive/v2/files?access_token=access_token
curl
examples
You can test these commands with the curl
command-line application. Here's an example that uses the HTTP header option (preferred):
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files
Or, alternatively, the query string parameter option:
curl https://www.googleapis.com/drive/v2/files?access_token=access_token
Complete example
The following example prints a JSON-formatted list of files in a user's Google Drive after the user authenticates and gives consent for the application to access the user's Drive metadata.
PHP
To run this example:
- In the API Console, add the URL of the local machine to the list of redirect URLs. For example, add
http://localhost:8080
. - Create a new directory and change to it. For example:
mkdir ~/php-oauth2-example cd ~/php-oauth2-example
- Install the Google API Client Library for PHP using Composer :
composer require google/apiclient:^2.0
- Create the files
index.php
andoauth2callback.php
with the content below. - Run the example with a web server configured to serve PHP. If you use PHP 5.4 or newer, you can use PHP's built-in test web server:
php -S localhost:8080 ~/php-oauth2-example
index.php
<?php require_once __DIR__.'/vendor/autoload.php'; session_start(); $client = new Google_Client(); $client->setAuthConfig('client_secrets.json'); $client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY); if (isset($_SESSION['access_token']) && $_SESSION['access_token']) { $client->setAccessToken($_SESSION['access_token']); $drive = new Google_Service_Drive($client); $files = $drive->files->listFiles(array())->getItems(); echo json_encode($files); } else { $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'; header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL)); }
oauth2callback.php
<?php require_once __DIR__.'/vendor/autoload.php'; session_start(); $client = new Google_Client(); $client->setAuthConfigFile('client_secrets.json'); $client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'); $client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY); if (! isset($_GET['code'])) { $auth_url = $client->createAuthUrl(); header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL)); } else { $client->authenticate($_GET['code']); $_SESSION['access_token'] = $client->getAccessToken(); $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/'; header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL)); }
Python
This example uses the Flask framework. It runs a web application at http://localhost:8080
that lets you test the OAuth 2.0 flow. If you go to that URL, you should see four links:
- Test an API request: This link points to a page that tries to execute a sample API request. If necessary, it starts the authorization flow. If successful, the page displays the API response.
- Test the auth flow directly: This link points to a page that tries to send the user through the authorization flow . The app requests permission to submit authorized API requests on the user's behalf.
- Revoke current credentials: This link points to a page that revokes permissions that the user has already granted to the application.
- Clear Flask session credentials: This link clears authorization credentials that are stored in the Flask session. This lets you see what would happen if a user who had already granted permission to your app tried to execute an API request in a new session. It also lets you see the API response your app would get if a user had revoked permissions granted to your app, and your app still tried to authorize a request with a revoked access token.
# -*- coding: utf-8 -*- import os import flask import requests import google.oauth2.credentials import google_auth_oauthlib.flow import googleapiclient.discovery # This variable specifies the name of a file that contains the OAuth 2.0 # information for this application, including its client_id and client_secret. CLIENT_SECRETS_FILE = "client_secret.json" # This OAuth 2.0 access scope allows for full read/write access to the # authenticated user's account and requires requests to use an SSL connection. SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly'] API_SERVICE_NAME = 'drive' API_VERSION = 'v2' app = flask.Flask(__name__) # Note: A secret key is included in the sample so that it works. # If you use this code in your application, replace this with a truly secret # key. See https://flask.palletsprojects.com/quickstart/#sessions. app.secret_key = 'REPLACE ME - this value is here as a placeholder.' @app.route('/') def index(): return print_index_table() @app.route('/test') def test_api_request(): if 'credentials' not in flask.session: return flask.redirect('authorize') # Load credentials from the session. credentials = google.oauth2.credentials.Credentials( **flask.session['credentials']) drive = googleapiclient.discovery.build( API_SERVICE_NAME, API_VERSION, credentials=credentials) files = drive.files().list().execute() # Save credentials back to session in case access token was refreshed. # ACTION ITEM: In a production app, you likely want to save these # credentials in a persistent database instead. flask.session['credentials'] = credentials_to_dict(credentials) return flask.jsonify(**files) @app.route('/authorize') def authorize(): # Create flow instance to manage the OAuth 2.0 Authorization Grant Flow steps. flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( CLIENT_SECRETS_FILE, scopes=SCOPES) # The URI created here must exactly match one of the authorized redirect URIs # for the OAuth 2.0 client, which you configured in the API Console. If this # value doesn't match an authorized URI, you will get a 'redirect_uri_mismatch' # error. flow.redirect_uri = flask.url_for('oauth2callback', _external=True) authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true') # Store the state so the callback can verify the auth server response. flask.session['state'] = state return flask.redirect(authorization_url) @app.route('/oauth2callback') def oauth2callback(): # Specify the state when creating the flow in the callback so that it can # verified in the authorization server response. state = flask.session['state'] flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( CLIENT_SECRETS_FILE, scopes=SCOPES, state=state) flow.redirect_uri = flask.url_for('oauth2callback', _external=True) # Use the authorization server's response to fetch the OAuth 2.0 tokens. authorization_response = flask.request.url flow.fetch_token(authorization_response=authorization_response) # Store credentials in the session. # ACTION ITEM: In a production app, you likely want to save these # credentials in a persistent database instead. credentials = flow.credentials flask.session['credentials'] = credentials_to_dict(credentials) return flask.redirect(flask.url_for('test_api_request')) @app.route('/revoke') def revoke(): if 'credentials' not in flask.session: return ('You need to <a href="/authorize">authorize</a> before ' + 'testing the code to revoke credentials.') credentials = google.oauth2.credentials.Credentials( **flask.session['credentials']) revoke = requests.post('https://oauth2.googleapis.com/revoke', params={'token': credentials.token}, headers = {'content-type': 'application/x-www-form-urlencoded'}) status_code = getattr(revoke, 'status_code') if status_code == 200: return('Credentials successfully revoked.' + print_index_table()) else: return('An error occurred.' + print_index_table()) @app.route('/clear') def clear_credentials(): if 'credentials' in flask.session: del flask.session['credentials'] return ('Credentials have been cleared.<br><br>' + print_index_table()) def credentials_to_dict(credentials): return {'token': credentials.token, 'refresh_token': credentials.refresh_token, 'token_uri': credentials.token_uri, 'client_id': credentials.client_id, 'client_secret': credentials.client_secret, 'scopes': credentials.scopes} def print_index_table(): return ('<table>' + '<tr><td><a href="/test">Test an API request</a></td>' + '<td>Submit an API request and see a formatted JSON response. ' + ' Go through the authorization flow if there are no stored ' + ' credentials for the user.</td></tr>' + '<tr><td><a href="/authorize">Test the auth flow directly</a></td>' + '<td>Go directly to the authorization flow. If there are stored ' + ' credentials, you still might not be prompted to reauthorize ' + ' the application.</td></tr>' + '<tr><td><a href="/revoke">Revoke current credentials</a></td>' + '<td>Revoke the access token associated with the current user ' + ' session. After revoking credentials, if you go to the test ' + ' page, you should see an <code>invalid_grant</code> error.' + '</td></tr>' + '<tr><td><a href="/clear">Clear Flask session credentials</a></td>' + '<td>Clear the access token currently stored in the user session. ' + ' After clearing the token, if you <a href="/test">test the ' + ' API request</a> again, you should go back to the auth flow.' + '</td></tr></table>') if __name__ == '__main__': # When running locally, disable OAuthlib's HTTPs verification. # ACTION ITEM for developers: # When running in production *do not* leave this option enabled. os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1' # Specify a hostname and port that are set as a valid redirect URI # for your API project in the Google API Console. app.run('localhost', 8080, debug=True)
Ruby
This example uses the Sinatra framework.
require 'google/apis/drive_v2' require 'google/api_client/client_secrets' require 'json' require 'sinatra' enable :sessions set :session_secret, 'setme' get '/' do unless session.has_key?(:credentials) redirect to('/oauth2callback') end client_opts = JSON.parse(session[:credentials]) auth_client = Signet::OAuth2::Client.new(client_opts) drive = Google::Apis::DriveV2::DriveService.new files = drive.list_files(options: { authorization: auth_client }) "<pre>#{JSON.pretty_generate(files.to_h)}</pre>" end get '/oauth2callback' do client_secrets = Google::APIClient::ClientSecrets.load auth_client = client_secrets.to_authorization auth_client.update!( :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly', :redirect_uri => url('/oauth2callback')) if request['code'] == nil auth_uri = auth_client.authorization_uri.to_s redirect to(auth_uri) else auth_client.code = request['code'] auth_client.fetch_access_token! auth_client.client_secret = nil session[:credentials] = auth_client.to_json redirect to('/') end end
Node.js
To run this example:
- In the API Console, add the URL of the local machine to the list of redirect URLs. For example, add
http://localhost
. - Make sure you have maintenance LTS, active LTS, or current release of Node.js installed.
- Create a new directory and change to it. For example:
mkdir ~/nodejs-oauth2-example cd ~/nodejs-oauth2-example
-
Install the
Google API Client
Library
for Node.js using npm:
npm install googleapis
- Create the files
main.js
with the content below. - Run the example:
node .\main.js
main.js
const http = require('http'); const https = require('https'); const url = require('url'); const { google } = require('googleapis'); /** * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI. * To get these credentials for your application, visit * https://console.cloud.google.com/apis/credentials. */ const oauth2Client = new google.auth.OAuth2( YOUR_CLIENT_ID, YOUR_CLIENT_SECRET, YOUR_REDIRECT_URL ); // Access scopes for read-only Drive activity. const scopes = [ 'https://www.googleapis.com/auth/drive.metadata.readonly' ]; // Generate a url that asks permissions for the Drive activity scope const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true }); /* Global variable that stores user credential in this code example. * ACTION ITEM for developers: * Store user's refresh token in your data store if * incorporating this code into your real app. * For more information on handling refresh tokens, * see https://github.com/googleapis/google-api-nodejs-client#handling-refresh-tokens */ let userCredential = null; async function main() { const server = http.createServer(async function (req, res) { // Example on redirecting user to Google's OAuth 2.0 server. if (req.url == '/') { res.writeHead(301, { "Location": authorizationUrl }); } // Receive the callback from Google's OAuth 2.0 server. if (req.url.startsWith('/oauth2callback')) { // Handle the OAuth 2.0 server response let q = url.parse(req.url, true).query; if (q.error) { // An error response e.g. error=access_denied console.log('Error:' + q.error); } else { // Get access and refresh tokens (if access_type is offline) let { tokens } = await oauth2Client.getToken(q.code); oauth2Client.setCredentials(tokens); /** Save credential to the global variable in case access token was refreshed. * ACTION ITEM: In a production app, you likely want to save the refresh token * in a secure persistent database instead. */ userCredential = tokens; // Example of using Google Drive API to list filenames in user's Drive. const drive = google.drive('v3'); drive.files.list({ auth: oauth2Client, pageSize: 10, fields: 'nextPageToken, files(id, name)', }, (err1, res1) => { if (err1) return console.log('The API returned an error: ' + err1); const files = res1.data.files; if (files.length) { console.log('Files:'); files.map((file) => { console.log(`${file.name} (${file.id})`); }); } else { console.log('No files found.'); } }); } } // Example on revoking a token if (req.url == '/revoke') { // Build the string for the POST request let postData = "token=" + userCredential.access_token; // Options for POST request to Google's OAuth 2.0 server to revoke a token let postOptions = { host: 'oauth2.googleapis.com', port: '443', path: '/revoke', method: 'POST', headers: { 'Content-Type': 'application/x-www-form-urlencoded', 'Content-Length': Buffer.byteLength(postData) } }; // Set up the request const postReq = https.request(postOptions, function (res) { res.setEncoding('utf8'); res.on('data', d => { console.log('Response: ' + d); }); }); postReq.on('error', error => { console.log(error) }); // Post the request with data postReq.write(postData); postReq.end(); } res.end(); }).listen(80); } main().catch(console.error);
HTTP/REST
This Python example uses the Flask framework and the Requests library to demonstrate the OAuth 2.0 web flow. We recommend using the Google API Client Library for Python for this flow. (The example in the Python tab does use the client library.)
import json import flask import requests app = flask.Flask(__name__) CLIENT_ID = '123456789.apps.googleusercontent.com' CLIENT_SECRET = 'abc123' # Read from a file or environmental variable in a real app SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly' REDIRECT_URI = 'http://example.com/oauth2callback' @app.route('/') def index(): if 'credentials' not in flask.session: return flask.redirect(flask.url_for('oauth2callback')) credentials = json.loads(flask.session['credentials']) if credentials['expires_in'] <= 0: return flask.redirect(flask.url_for('oauth2callback')) else: headers = {'Authorization': 'Bearer {}'.format(credentials['access_token'])} req_uri = 'https://www.googleapis.com/drive/v2/files' r = requests.get(req_uri, headers=headers) return r.text @app.route('/oauth2callback') def oauth2callback(): if 'code' not in flask.request.args: auth_uri = ('https://accounts.google.com/o/oauth2/v2/auth?response_type=code' '&client_id={}&redirect_uri={}&scope={}').format(CLIENT_ID, REDIRECT_URI, SCOPE) return flask.redirect(auth_uri) else: auth_code = flask.request.args.get('code') data = {'code': auth_code, 'client_id': CLIENT_ID, 'client_secret': CLIENT_SECRET, 'redirect_uri': REDIRECT_URI, 'grant_type': 'authorization_code'} r = requests.post('https://oauth2.googleapis.com/token', data=data) flask.session['credentials'] = r.text return flask.redirect(flask.url_for('index')) if __name__ == '__main__': import uuid app.secret_key = str(uuid.uuid4()) app.debug = False app.run()
Redirect URI validation rules
Google applies the following validation rules to redirect URIs in order to help developers keep their applications secure. Your redirect URIs must adhere to these rules. See RFC 3986 section 3 for the definition of domain, host, path, query, scheme and userinfo, mentioned below.
Validation rules | |
---|---|
Scheme | Redirect URIs must use the HTTPS scheme, not plain HTTP. Localhost URIs (including localhost IP address URIs) are exempt from this rule. |
Host | Hosts cannot be raw IP addresses. Localhost IP addresses are exempted from this rule. |
Domain | “googleusercontent.com” .goo.gl ) unless the app owns the domain. Furthermore, if an app that owns a shortener domain chooses to redirect to that domain, that redirect URI must either contain “/google-callback/” in its path or end with “/google-callback” . |
Userinfo | Redirect URIs cannot contain the userinfo subcomponent. |
Path | Redirect URIs cannot contain a path traversal (also called directory backtracking), which is represented by an |
Query | Redirect URIs cannot contain open redirects . |
Fragment | Redirect URIs cannot contain the fragment component. |
Characters | Redirect URIs cannot contain certain characters including:
|
Incremental authorization
In the OAuth 2.0 protocol, your app requests authorization to access resources, which are identified by scopes. It is considered a best user-experience practice to request authorization for resources at the time you need them. To enable that practice, Google's authorization server supports incremental authorization. This feature lets you request scopes as they are needed and, if the user grants permission for the new scope, returns an authorization code that may be exchanged for a token containing all scopes the user has granted the project.
For example, an app that lets people sample music tracks and create mixes might need very few resources at sign-in time, perhaps nothing more than the name of the person signing in. However, saving a completed mix would require access to their Google Drive. Most people would find it natural if they only were asked for access to their Google Drive at the time the app actually needed it.
In this case, at sign-in time the app might request the openid
and profile
scopes to perform basic sign-in, and then later request the https://www.googleapis.com/auth/drive.file
scope at the time of the first request to save a mix.
To implement incremental authorization, you complete the normal flow for requesting an access token but make sure that the authorization request includes previously granted scopes. This approach allows your app to avoid having to manage multiple access tokens.
The following rules apply to an access token obtained from an incremental authorization:
- The token can be used to access resources corresponding to any of the scopes rolled into the new, combined authorization.
- When you use the refresh token for the combined authorization to obtain an access token, the access token represents the combined authorization and can be used for any of the
scope
values included in the response. - The combined authorization includes all scopes that the user granted to the API project even if the grants were requested from different clients. For example, if a user granted access to one scope using an application's desktop client and then granted another scope to the same application via a mobile client, the combined authorization would include both scopes.
- If you revoke a token that represents a combined authorization, access to all of that authorization's scopes on behalf of the associated user are revoked simultaneously.
The language-specific code samples in Step 1: Set authorization parameters and the sample HTTP/REST redirect URL in Step 2: Redirect to Google's OAuth 2.0 server all use incremental authorization. The code samples below also show the code that you need to add to use incremental authorization.
PHP
$client->setIncludeGrantedScopes(true);
Python
In Python, set the include_granted_scopes
keyword argument to true
to ensure that an authorization request includes previously granted scopes. It is very possible that include_granted_scopes
will not be the only keyword argument that you set, as shown in the example below.
authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true')
Ruby
auth_client.update!( :additional_parameters => {"include_granted_scopes" => "true"} )
Node.js
const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true });
HTTP/REST
GET https://accounts.google.com/o/oauth2/v2/auth? client_id=your_client_id& response_type=code& state=state_parameter_passthrough_value& scope=https%3A//www.googleapis.com/auth/drive.file& redirect_uri=https%3A//oauth2.example.com/code& prompt=consent& include_granted_scopes=true
Refreshing an access token (offline access)
Access tokens periodically expire and become invalid credentials for a related API request. You can refresh an access token without prompting the user for permission (including when the user is not present) if you requested offline access to the scopes associated with the token.
- If you use a Google API Client Library, the client object refreshes the access token as needed as long as you configure that object for offline access.
- If you are not using a client library, you need to set the
access_type
HTTP query parameter tooffline
when redirecting the user to Google's OAuth 2.0 server . In that case, Google's authorization server returns a refresh token when you exchange an authorization code for an access token. Then, if the access token expires (or at any other time), you can use a refresh token to obtain a new access token.
Requesting offline access is a requirement for any application that needs to access a Google API when the user is not present. For example, an app that performs backup services or executes actions at predetermined times needs to be able to refresh its access token when the user is not present. The default style of access is called online
.
Server-side web applications, installed applications, and devices all obtain refresh tokens during the authorization process. Refresh tokens are not typically used in client-side (JavaScript) web applications.
PHP
If your application needs offline access to a Google API, set the API client's access type to offline
:
$client->setAccessType("offline");
After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.
Python
In Python, set the access_type
keyword argument to offline
to ensure that you will be able to refresh the access token without having to re-prompt the user for permission. It is very possible that access_type
will not be the only keyword argument that you set, as shown in the example below.
authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true')
After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.
Ruby
If your application needs offline access to a Google API, set the API client's access type to offline
:
auth_client.update!( :additional_parameters => {"access_type" => "offline"} )
After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.
Node.js
If your application needs offline access to a Google API, set the API client's access type to offline
:
const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true });
After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.
Access tokens expire. This library will automatically use a refresh token to obtain a new access token if it is about to expire. An easy way to make sure you always store the most recent tokens is to use the tokens event:
oauth2Client.on('tokens', (tokens) => { if (tokens.refresh_token) { // store the refresh_token in your secure persistent database console.log(tokens.refresh_token); } console.log(tokens.access_token); });
This tokens event only occurs in the first authorization, and you need to have set your access_type
to offline
when calling the generateAuthUrl
method to receive the refresh token. If you have already given your app the requisiste permissions without setting the appropriate constraints for receiving a refresh token, you will need to re-authorize the application to receive a fresh refresh token.
To set the refresh_token
at a later time, you can use the setCredentials
method:
oauth2Client.setCredentials({ refresh_token: `STORED_REFRESH_TOKEN` });
Once the client has a refresh token, access tokens will be acquired and refreshed automatically in the next call to the API.
HTTP/REST
To refresh an access token, your application sends an HTTPS POST
request to Google's authorization server ( https://oauth2.googleapis.com/token
) that includes the following parameters:
Fields | |
---|---|
client_id | The client ID obtained from the API Console. |
client_secret | The client secret obtained from the API Console. |
grant_type | As defined in the OAuth 2.0 specification , this field's value must be set to refresh_token . |
refresh_token | The refresh token returned from the authorization code exchange. |
The following snippet shows a sample request:
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded client_id=your_client_id& client_secret=your_client_secret& refresh_token=refresh_token& grant_type=refresh_token
As long as the user has not revoked the access granted to the application, the token server returns a JSON object that contains a new access token. The following snippet shows a sample response:
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "scope": "https://www.googleapis.com/auth/drive.metadata.readonly", "token_type": "Bearer" }
Note that there are limits on the number of refresh tokens that will be issued; one limit per client/user combination, and another per user across all clients. You should save refresh tokens in long-term storage and continue to use them as long as they remain valid. If your application requests too many refresh tokens, it may run into these limits, in which case older refresh tokens will stop working.
Revoking a token
In some cases a user may wish to revoke access given to an application. A user can revoke access by visiting Account Settings . See the Remove site or app access section of the Third-party sites & apps with access to your account support document for more information.
It is also possible for an application to programmatically revoke the access given to it. Programmatic revocation is important in instances where a user unsubscribes, removes an application, or the API resources required by an app have significantly changed. In other words, part of the removal process can include an API request to ensure the permissions previously granted to the application are removed.
PHP
To programmatically revoke a token, call revokeToken()
:
$client->revokeToken();
Python
To programmatically revoke a token, make a request to https://oauth2.googleapis.com/revoke
that includes the token as a parameter and sets the Content-Type
header:
requests.post('https://oauth2.googleapis.com/revoke', params={'token': credentials.token}, headers = {'content-type': 'application/x-www-form-urlencoded'})
Ruby
To programmatically revoke a token, make an HTTP request to the oauth2.revoke
endpoint:
uri = URI('https://oauth2.googleapis.com/revoke') response = Net::HTTP.post_form(uri, 'token' => auth_client.access_token)
The token can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.
If the revocation is successfully processed, then the status code of the response is 200
. For error conditions, a status code 400
is returned along with an error code.
Node.js
To programmatically revoke a token, make an HTTPS POST request to /revoke
endpoint:
const https = require('https'); // Build the string for the POST request let postData = "token=" + userCredential.access_token; // Options for POST request to Google's OAuth 2.0 server to revoke a token let postOptions = { host: 'oauth2.googleapis.com', port: '443', path: '/revoke', method: 'POST', headers: { 'Content-Type': 'application/x-www-form-urlencoded', 'Content-Length': Buffer.byteLength(postData) } }; // Set up the request const postReq = https.request(postOptions, function (res) { res.setEncoding('utf8'); res.on('data', d => { console.log('Response: ' + d); }); }); postReq.on('error', error => { console.log(error) }); // Post the request with data postReq.write(postData); postReq.end();
The token parameter can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.
If the revocation is successfully processed, then the status code of the response is 200
. For error conditions, a status code 400
is returned along with an error code.
HTTP/REST
To programmatically revoke a token, your application makes a request to https://oauth2.googleapis.com/revoke
and includes the token as a parameter:
curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \ https://oauth2.googleapis.com/revoke?token={token}
The token can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.
If the revocation is successfully processed, then the HTTP status code of the response is 200
. For error conditions, an HTTP status code 400
is returned along with an error code.