تلتزم Google بتعزيز المساواة العرقية في المجتمعات السوداء. أنظر كيف.
ترجمت واجهة Cloud Translation API‏ هذه الصفحة.
Switch to English

استخدام OAuth 2.0 لتطبيقات خادم الويب

يوضح هذا المستند كيفية استخدام تطبيقات خادم الويب مكتبات عميل واجهة برمجة تطبيقات Google أو نقاط نهاية Google OAuth 2.0 لتنفيذ ترخيص OAuth 2.0 للوصول إلى Google APIs.

يسمح OAuth 2.0 للمستخدمين بمشاركة بيانات محددة مع تطبيق مع الاحتفاظ بخصوصية أسماء المستخدمين وكلمات المرور والمعلومات الأخرى. على سبيل المثال ، يمكن للتطبيق استخدام OAuth 2.0 للحصول على إذن من المستخدمين لتخزين الملفات في محركات Google الخاصة بهم.

إن تدفق OAuth 2.0 هذا مخصص خصيصًا لتفويض المستخدم. إنه مصمم للتطبيقات التي يمكنها تخزين المعلومات السرية والحفاظ على الحالة. يمكن لتطبيق خادم الويب المرخص بشكل صحيح الوصول إلى واجهة برمجة التطبيقات أثناء تفاعل المستخدم مع التطبيق أو بعد مغادرة المستخدم للتطبيق.

كثيرًا ما تستخدم تطبيقات خادم الويب أيضًا حسابات الخدمة لتفويض طلبات واجهة برمجة التطبيقات ، خاصة عند استدعاء Cloud APIs للوصول إلى البيانات القائمة على المشروع بدلاً من البيانات الخاصة بالمستخدم. يمكن لتطبيقات خادم الويب استخدام حسابات الخدمة جنبًا إلى جنب مع ترخيص المستخدم.

مكتبات العملاء

تستخدم الأمثلة الخاصة باللغة الموجودة في هذه الصفحة مكتبات عميل واجهة برمجة تطبيقات Google لتنفيذ ترخيص OAuth 2.0. لتشغيل نماذج التعليمات البرمجية ، يجب أولاً تثبيت مكتبة العميل للغتك.

عند استخدام مكتبة Google API Client للتعامل مع تدفق OAuth 2.0 لتطبيقك ، تقوم مكتبة العميل بالعديد من الإجراءات التي قد يحتاج التطبيق إلى معالجتها بنفسه. على سبيل المثال ، يحدد متى يمكن للتطبيق استخدام أو تحديث رموز الوصول المخزنة وكذلك متى يجب على التطبيق إعادة الحصول على الموافقة. تنشئ مكتبة العميل أيضًا عناوين URL صحيحة لإعادة التوجيه وتساعد على تنفيذ معالجات إعادة التوجيه التي تتبادل رموز التفويض لرموز الوصول.

مكتبات العملاء متاحة باللغات التالية:

المتطلبات الأساسية

تمكين واجهات برمجة التطبيقات لمشروعك

يحتاج أي تطبيق يستدعي Google APIs إلى تمكين واجهات برمجة التطبيقات هذه في API Console.

لتمكين واجهة برمجة التطبيقات لمشروعك:

  1. Open the API Library في Google API Console.
  2. If prompted, select a project, or create a new one.
  3. يسرد API Library جميع واجهات برمجة التطبيقات المتاحة ، مجمعة حسب عائلة المنتج والشعبية. إذا كانت واجهة برمجة التطبيقات التي تريد تمكينها غير مرئية في القائمة ، فاستخدم البحث للعثور عليها ، أو انقر فوق عرض الكل في مجموعة المنتجات التي تنتمي إليها.
  4. حدد واجهة برمجة التطبيقات التي تريد تمكينها ، ثم انقر فوق الزر تمكين .
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

إنشاء بيانات اعتماد التفويض

يجب أن يكون لدى أي تطبيق يستخدم OAuth 2.0 للوصول إلى Google APIs بيانات اعتماد تفويض تحدد التطبيق لخادم OAuth 2.0 من Google. توضح الخطوات التالية كيفية إنشاء بيانات اعتماد لمشروعك. يمكن لتطبيقاتك بعد ذلك استخدام بيانات الاعتماد للوصول إلى واجهات برمجة التطبيقات التي قمت بتمكينها لهذا المشروع.

  1. Go to the Credentials page.
  2. انقر على إنشاء بيانات اعتماد> معرّف عميل OAuth .
  3. حدد نوع تطبيق الويب .
  4. املأ النموذج وانقر فوق إنشاء . يجب أن تحدد التطبيقات التي تستخدم لغات وأطر عمل ، مثل PHP و Java و Python و Ruby و .NET ، عناوين URI المعتمدة لإعادة التوجيه . تعد معرّفات URI لإعادة التوجيه نقاط النهاية التي يمكن لخادم OAuth 2.0 إرسال ردود إليها. يجب أن تلتزم نقاط النهاية هذه بقواعد التحقق من صحة Google .

    للاختبار ، يمكنك تحديد URIs التي تشير إلى الجهاز المحلي ، مثل http://localhost:8080 . مع أخذ ذلك في الاعتبار ، يرجى ملاحظة أن جميع الأمثلة الواردة في هذا المستند تستخدم http://localhost:8080 URI لإعادة التوجيه.

    نوصي بتصميم نقاط نهاية مصادقة التطبيق الخاص بك بحيث لا يعرض تطبيقك رموز التفويض لمصادر أخرى على الصفحة.

بعد إنشاء بيانات الاعتماد الخاصة بك ، قم بتنزيل ملف client_secret.json من API Console. قم بتخزين الملف بأمان في مكان لا يمكن الوصول إليه إلا لتطبيقك.

تحديد نطاقات الوصول

تعمل النطاقات على تمكين التطبيق الخاص بك من طلب الوصول فقط إلى الموارد التي يحتاجها مع تمكين المستخدمين أيضًا من التحكم في مقدار الوصول الذي يمنحونه لتطبيقك. وبالتالي ، قد تكون هناك علاقة عكسية بين عدد النطاقات المطلوبة واحتمال الحصول على موافقة المستخدم.

قبل البدء في تنفيذ ترخيص OAuth 2.0 ، نوصيك بتحديد النطاقات التي سيحتاج تطبيقك إلى إذن للوصول إليها.

نوصي أيضًا بأن يطلب تطبيقك الوصول إلى نطاقات التفويض عبر عملية تفويض متزايدة ، حيث يطلب التطبيق الخاص بك الوصول إلى بيانات المستخدم في السياق. تساعد أفضل الممارسات هذه المستخدمين على فهم سبب احتياج تطبيقك إلى الوصول الذي يطلبه بسهولة أكبر.

يحتوي مستند نطاقات واجهة برمجة تطبيقات OAuth 2.0 على قائمة كاملة بالنطاقات التي قد تستخدمها للوصول إلى Google APIs.

المتطلبات الخاصة باللغة

لتشغيل أي من نماذج التعليمات البرمجية في هذا المستند ، ستحتاج إلى حساب Google والوصول إلى الإنترنت ومتصفح الويب. إذا كنت تستخدم إحدى مكتبات عميل API ، فراجع أيضًا المتطلبات الخاصة باللغة أدناه.

بي أتش بي

لتشغيل نماذج أكواد PHP في هذا المستند ، ستحتاج إلى:

  • PHP 5.4 أو أحدث مع تثبيت واجهة سطر الأوامر (CLI) وامتداد JSON.
  • أداة إدارة تبعية الملحن .
  • مكتبة عميل Google APIs لـ PHP:

    php composer.phar require google/apiclient:^2.0

بايثون

لتشغيل نماذج تعليمات Python البرمجية في هذا المستند ، ستحتاج إلى:

  • Python 2.6 أو أحدث
  • أداة إدارة حزمة النقطة .
  • مكتبة عميل Google APIs لـ Python:
    pip install --upgrade google-api-python-client
  • google-auth و google-auth-oauthlib و google-auth-httplib2 لترخيص المستخدم.
    pip install --upgrade google-auth google-auth-oauthlib google-auth-httplib2
  • إطار عمل تطبيق الويب Flask Python.
    pip install --upgrade flask
  • مكتبة requests HTTP.
    pip install --upgrade requests

روبي

لتشغيل نماذج تعليمات Ruby البرمجية في هذا المستند ، ستحتاج إلى:

  • Ruby 2.2.2 أو أعلى
  • مكتبة عميل Google APIs لـ Ruby:

    gem install google-api-client
  • إطار عمل تطبيق الويب Sinatra Ruby.

    gem install sinatra

HTTP / REST

لا تحتاج إلى تثبيت أي مكتبات لتتمكن من الاتصال مباشرة بنقاط نهاية OAuth 2.0.

الحصول على رموز وصول OAuth 2.0

توضح الخطوات التالية كيفية تفاعل تطبيقك مع خادم OAuth 2.0 من Google للحصول على موافقة المستخدم لتنفيذ طلب واجهة برمجة التطبيقات نيابةً عن المستخدم. يجب أن يحصل تطبيقك على هذه الموافقة قبل أن يتمكن من تنفيذ طلب Google API الذي يتطلب إذن المستخدم.

تلخص القائمة أدناه هذه الخطوات بسرعة:

  1. يحدد التطبيق الخاص بك الأذونات التي يحتاجها.
  2. يقوم تطبيقك بإعادة توجيه المستخدم إلى Google مع قائمة الأذونات المطلوبة.
  3. يقرر المستخدم ما إذا كان يمنح الأذونات للتطبيق الخاص بك.
  4. يكتشف تطبيقك ما قرره المستخدم.
  5. إذا منح المستخدم الأذونات المطلوبة ، فسيقوم تطبيقك باسترداد الرموز المميزة اللازمة لتقديم طلبات واجهة برمجة التطبيقات نيابةً عن المستخدم.

الخطوة 1: تعيين معلمات التفويض

خطوتك الأولى هي إنشاء طلب التفويض. يحدد هذا الطلب المعلمات التي تحدد تطبيقك وتحدد الأذونات التي سيُطلب من المستخدم منحها لتطبيقك.

  • إذا كنت تستخدم مكتبة عميل Google للمصادقة والتفويض OAuth 2.0 ، يمكنك إنشاء وتهيئة كائن يحدد هذه المعلمات.
  • إذا اتصلت بنقطة نهاية Google OAuth 2.0 مباشرةً ، فسوف تقوم بإنشاء عنوان URL وتعيين المعلمات على عنوان URL هذا.

تحدد علامات التبويب أدناه معلمات التفويض المدعومة لتطبيقات خادم الويب. توضح الأمثلة الخاصة باللغة أيضًا كيفية استخدام مكتبة العميل أو مكتبة التخويل لتكوين كائن يقوم بتعيين هذه المعلمات.

بي أتش بي

يُنشئ مقتطف الشفرة أدناه كائن Google_Client() ، والذي يحدد المعلمات في طلب التفويض.

يستخدم هذا الكائن معلومات من ملف client_secret.json لتحديد تطبيقك. (راجع إنشاء بيانات اعتماد التفويض لمزيد من المعلومات حول هذا الملف.) يحدد الكائن أيضًا النطاقات التي يطلب تطبيقك الإذن بالوصول إليها وعنوان URL لنقطة نهاية مصادقة التطبيق ، والتي ستتعامل مع الاستجابة من خادم OAuth 2.0 من Google. أخيرًا ، تحدد الكود معلمات نوع access_type الاختيارية و include_granted_scopes .

على سبيل المثال ، يطلب هذا الرمز الوصول للقراءة فقط وغير متصل إلى Google Drive للمستخدم:

$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
// offline access will give you both an access and refresh token so that
// your app can refresh the access token without user interaction.
$client->setAccessType('offline');
// Using "consent" ensures that your application always receives a refresh token.
// If you are not using offline access, you can omit this.
$client->setApprovalPrompt("consent");
$client->setIncludeGrantedScopes(true);   // incremental auth

يحدد الطلب المعلومات التالية:

المعلمات
client_id مطلوب

معرّف العميل للتطبيق الخاص بك. يمكنك العثور على هذه القيمة في API Console Credentials page.

في PHP ، setAuthConfig الدالة setAuthConfig لتحميل بيانات اعتماد التفويض من ملف client_secret.json .

$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
redirect_uri مطلوب

يحدد المكان الذي يعيد فيه خادم واجهة برمجة التطبيقات توجيه المستخدم بعد أن يكمل المستخدم تدفق التفويض. يجب أن تتطابق القيمة تمامًا مع أحد عناوين URI المعتمدة لإعادة التوجيه لعميل OAuth 2.0 ، والذي قمت بتكوينه في API Console Credentials page لعميلك. إذا لم تتطابق هذه القيمة مع عنوان URI المرخص لإعادة التوجيه الخاص بـ client_id المقدم ، client_id خطأ redirect_uri_mismatch .

لاحظ أن مخطط http أو https والحالة والشرطة المائلة اللاحقة (" / ") يجب أن تتطابق جميعها.

لتعيين هذه القيمة في PHP ، setRedirectUri الدالة setRedirectUri . لاحظ أنه يجب عليك تحديد عنوان URI صالح لإعادة التوجيه من أجل client_id المقدم.

$client->setRedirectUri('https://oauth2.example.com/code');
scope مطلوب

قائمة نطاقات محددة بمسافات تحدد الموارد التي يمكن لتطبيقك الوصول إليها نيابة عن المستخدم. تبلغ هذه القيم شاشة الموافقة التي تعرضها Google للمستخدم.

تعمل النطاقات على تمكين التطبيق الخاص بك من طلب الوصول فقط إلى الموارد التي يحتاجها مع تمكين المستخدمين أيضًا من التحكم في مقدار الوصول الذي يمنحونه لتطبيقك. وبالتالي ، هناك علاقة عكسية بين عدد النطاقات المطلوبة واحتمال الحصول على موافقة المستخدم.

لتعيين هذه القيمة في PHP ، اتصل بوظيفة addScope :

$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

نوصي بأن يطلب تطبيقك الوصول إلى نطاقات التفويض في السياق كلما أمكن ذلك. من خلال طلب الوصول إلى بيانات المستخدم في السياق ، من خلال التفويض المتزايد ، فإنك تساعد المستخدمين على فهم سبب احتياج تطبيقك إلى الوصول الذي يطلبه بسهولة أكبر.

access_type موصى به

يشير إلى ما إذا كان التطبيق الخاص بك يمكنه تحديث رموز الوصول عندما لا يكون المستخدم موجودًا في المتصفح. قيم المعلمات الصالحة هي online ، والتي هي القيمة الافتراضية، و offline .

عيّن القيمة إلى وضع offline إذا كان التطبيق الخاص بك يحتاج إلى تحديث رموز الوصول عندما لا يكون المستخدم موجودًا في المتصفح. هذه هي طريقة تحديث رموز الوصول الموضحة لاحقًا في هذا المستند. هذه القيمة يرشد خادم تفويض Google لإرجاع التحديث رمزية وصول رمز المرة الأولى التي التبادل طلبك رمز التفويض الرموز.

لتعيين هذه القيمة في PHP ، setAccessType الدالة setAccessType :

$client->setAccessType('offline');
state موصى به

تحدد أي قيمة سلسلة يستخدمها تطبيقك للحفاظ على الحالة بين طلب التفويض واستجابة خادم التفويض. يعرض الخادم القيمة الدقيقة التي ترسلها كزوج name=value في مكون استعلام URL ( ? ) من redirect_uri بعد موافقة المستخدم على طلب الوصول الخاص بالتطبيق أو رفضه.

يمكنك استخدام هذه المعلمة لعدة أغراض ، مثل توجيه المستخدم إلى المورد الصحيح في تطبيقك ، وإرسال الرموز غير الرسمية ، وتخفيف تزوير الطلبات عبر المواقع. نظرًا لأنه يمكن تخمين redirect_uri الخاص بك ، فإن استخدام قيمة state يمكن أن يزيد من ضمانك بأن الاتصال الوارد هو نتيجة لطلب المصادقة. إذا قمت بإنشاء سلسلة عشوائية أو قمت بتشفير تجزئة ملف تعريف ارتباط أو قيمة أخرى تلتقط حالة العميل ، فيمكنك التحقق من صحة الاستجابة لضمان بالإضافة إلى ذلك أن الطلب والاستجابة نشأت في نفس المتصفح ، مما يوفر الحماية ضد الهجمات مثل المواقع المشتركة طلب التزوير. راجع وثائق OpenID Connect للحصول على مثال لكيفية إنشاء رمز state وتأكيده.

لتعيين هذه القيمة في PHP ، اتصل بوظيفة setState :

$client->setState($sample_passthrough_value);
include_granted_scopes اختياري

يمكّن التطبيقات من استخدام التفويض المتزايد لطلب الوصول إلى نطاقات إضافية في السياق. إذا قمت بتعيين قيمة هذه المعلمة على true وتم منح طلب التفويض ، فسيغطي رمز الوصول الجديد أيضًا أي نطاقات منحها المستخدم مسبقًا حق الوصول إلى التطبيق. راجع قسم التفويض المتزايد للحصول على أمثلة.

لتعيين هذه القيمة في PHP ، setIncludeGrantedScopes الدالة setIncludeGrantedScopes :

$client->setIncludeGrantedScopes(true);
login_hint اختياري

إذا كان تطبيقك يعرف المستخدم الذي يحاول المصادقة ، فيمكنه استخدام هذه المعلمة لتقديم تلميح إلى خادم مصادقة Google. يستخدم الخادم التلميح لتبسيط تدفق تسجيل الدخول إما عن طريق ملء حقل البريد الإلكتروني مسبقًا في نموذج تسجيل الدخول أو عن طريق تحديد جلسة تسجيل الدخول المتعددة المناسبة.

عيّن قيمة المعلمة إلى عنوان بريد إلكتروني أو معرّف sub ، وهو ما يعادل معرف Google للمستخدم.

لتعيين هذه القيمة في PHP ، اتصل بوظيفة setLoginHint :

$client->setLoginHint('None');
prompt اختياري

قائمة بالمطالبات مفصولة بمسافات وحساسة لحالة الأحرف لتقديم المستخدم. إذا لم تحدد هذه المعلمة ، فسيتم مطالبة المستخدم فقط في المرة الأولى التي يطلب فيها مشروعك الوصول. راجع المطالبة بإعادة الموافقة للحصول على مزيد من المعلومات.

لتعيين هذه القيمة في PHP ، setApprovalPrompt الدالة setApprovalPrompt :

$client->setApprovalPrompt('consent');

القيم الممكنة هي:

none لا تعرض أي شاشات المصادقة أو الموافقة. يجب ألا يتم تحديده بقيم أخرى.
consent مطالبة المستخدم بالموافقة.
select_account مطالبة المستخدم بتحديد حساب.

بايثون

يستخدم مقتطف الشفرة التالي وحدة google-auth-oauthlib.flow طلب التفويض.

تنشئ الشفرة كائن Flow ، الذي يعرّف تطبيقك باستخدام معلومات من ملف client_secret.json الذي قمت بتنزيله بعد إنشاء بيانات اعتماد التفويض . يحدد هذا الكائن أيضًا النطاقات التي يطلب تطبيقك الإذن بالوصول إليها وعنوان URL لنقطة نهاية المصادقة الخاصة بتطبيقك ، والتي ستتعامل مع الاستجابة من خادم OAuth 2.0 من Google. أخيرًا ، تحدد الكود معلمات نوع access_type الاختيارية و include_granted_scopes .

على سبيل المثال ، يطلب هذا الرمز الوصول للقراءة فقط وغير متصل إلى Google Drive للمستخدم:

import google.oauth2.credentials
import google_auth_oauthlib.flow

# Use the client_secret.json file to identify the application requesting
# authorization. The client ID (from that file) and access scopes are required.
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

# Indicate where the API server will redirect the user after the user completes
# the authorization flow. The redirect URI is required. The value must exactly
# match one of the authorized redirect URIs for the OAuth 2.0 client, which you
# configured in the API Console. If this value doesn't match an authorized URI,
# you will get a 'redirect_uri_mismatch' error.
flow.redirect_uri = 'https://www.example.com/oauth2callback'

# Generate URL for request to Google's OAuth 2.0 server.
# Use kwargs to set optional request parameters.
authorization_url, state = flow.authorization_url(
    # Enable offline access so that you can refresh an access token without
    # re-prompting the user for permission. Recommended for web server apps.
    access_type='offline',
    # Enable incremental authorization. Recommended as a best practice.
    include_granted_scopes='true')

يحدد الطلب المعلومات التالية:

المعلمات
client_id مطلوب

معرّف العميل للتطبيق الخاص بك. يمكنك العثور على هذه القيمة في API Console Credentials page.

في Python ، قم باستدعاء التابع from_client_secrets_file لاسترداد معرف العميل من ملف client_secret.json . (يمكنك أيضًا استخدام طريقة from_client_config ، والتي تمرر تكوين العميل كما ظهر في الأصل في ملف أسرار العميل ولكنه لا يصل إلى الملف نفسه.)

flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])
redirect_uri مطلوب

يحدد المكان الذي يعيد فيه خادم واجهة برمجة التطبيقات توجيه المستخدم بعد أن يكمل المستخدم تدفق التفويض. يجب أن تتطابق القيمة تمامًا مع أحد عناوين URI المعتمدة لإعادة التوجيه لعميل OAuth 2.0 ، والذي قمت بتكوينه في API Console Credentials page لعميلك. إذا لم تتطابق هذه القيمة مع عنوان URI المرخص لإعادة التوجيه الخاص بـ client_id المقدم ، client_id خطأ redirect_uri_mismatch .

لاحظ أن مخطط http أو https والحالة والشرطة المائلة اللاحقة (" / ") يجب أن تتطابق جميعها.

لتعيين هذه القيمة في Python ، قم بتعيين خاصية redirect_uri لكائن flow :

flow.redirect_uri = 'https://oauth2.example.com/code'
scope مطلوب

قائمة بالنطاقات التي تحدد الموارد التي يمكن لتطبيقك الوصول إليها نيابة عن المستخدم. تبلغ هذه القيم شاشة الموافقة التي تعرضها Google للمستخدم.

تعمل النطاقات على تمكين التطبيق الخاص بك من طلب الوصول فقط إلى الموارد التي يحتاجها مع تمكين المستخدمين أيضًا من التحكم في مقدار الوصول الذي يمنحونه لتطبيقك. وبالتالي ، هناك علاقة عكسية بين عدد النطاقات المطلوبة واحتمال الحصول على موافقة المستخدم.

في Python ، استخدم نفس الطريقة التي تستخدمها لتعيين client_id لتحديد قائمة النطاقات.

flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

نوصي بأن يطلب تطبيقك الوصول إلى نطاقات التفويض في السياق كلما أمكن ذلك. من خلال طلب الوصول إلى بيانات المستخدم في السياق ، من خلال التفويض المتزايد ، فإنك تساعد المستخدمين على فهم سبب احتياج تطبيقك إلى الوصول الذي يطلبه بسهولة أكبر.

access_type موصى به

يشير إلى ما إذا كان التطبيق الخاص بك يمكنه تحديث رموز الوصول عندما لا يكون المستخدم موجودًا في المتصفح. قيم المعلمات الصالحة هي online ، والتي هي القيمة الافتراضية، و offline .

عيّن القيمة إلى وضع offline إذا كان التطبيق الخاص بك يحتاج إلى تحديث رموز الوصول عندما لا يكون المستخدم موجودًا في المتصفح. هذه هي طريقة تحديث رموز الوصول الموضحة لاحقًا في هذا المستند. هذه القيمة يرشد خادم تفويض Google لإرجاع التحديث رمزية وصول رمز المرة الأولى التي التبادل طلبك رمز التفويض الرموز.

في Python ، قم بتعيين معلمة access_type عن طريق تحديد نوع access_type كوسيطة كلمة رئيسية عند استدعاء طريقة flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    include_granted_scopes='true')
state موصى به

تحدد أي قيمة سلسلة يستخدمها تطبيقك للحفاظ على الحالة بين طلب التفويض واستجابة خادم التفويض. يعرض الخادم القيمة الدقيقة التي ترسلها كزوج name=value في مكون استعلام URL ( ? ) من redirect_uri بعد موافقة المستخدم أو رفض طلب الوصول للتطبيق الخاص بك.

يمكنك استخدام هذه المعلمة لعدة أغراض ، مثل توجيه المستخدم إلى المورد الصحيح في التطبيق الخاص بك ، وإرسال الرموز غير الرسمية ، وتخفيف تزوير الطلبات عبر المواقع. نظرًا لأنه يمكن تخمين redirect_uri الخاص بك ، فإن استخدام قيمة state يمكن أن يزيد من ضمانك بأن الاتصال الوارد هو نتيجة لطلب المصادقة. إذا قمت بإنشاء سلسلة عشوائية أو قمت بتشفير تجزئة ملف تعريف ارتباط أو قيمة أخرى تلتقط حالة العميل ، فيمكنك التحقق من صحة الاستجابة لضمان بالإضافة إلى ذلك أن الطلب والاستجابة نشأت في نفس المتصفح ، مما يوفر الحماية ضد الهجمات مثل المواقع المشتركة طلب التزوير. راجع وثائق OpenID Connect للحصول على مثال لكيفية إنشاء رمز state وتأكيده.

في Python ، flow.authorization_url معلمة state عن طريق تحديد state كوسيطة كلمة أساسية عند استدعاء طريقة flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    state=sample_passthrough_value,
    include_granted_scopes='true')
include_granted_scopes اختياري

يمكّن التطبيقات من استخدام التفويض المتزايد لطلب الوصول إلى نطاقات إضافية في السياق. إذا قمت بتعيين قيمة هذه المعلمة على " true وتم منح طلب التفويض ، فسيغطي رمز الوصول الجديد أيضًا أي نطاقات منحها المستخدم مسبقًا حق الوصول إلى التطبيق. راجع قسم التفويض المتزايد للحصول على أمثلة.

في Python ، include_granted_scopes المعلمة include_granted_scopes عن طريق تحديد include_granted_scopes flow.authorization_url كلمة رئيسية عند استدعاء طريقة flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    include_granted_scopes='true')
login_hint اختياري

إذا كان تطبيقك يعرف المستخدم الذي يحاول المصادقة ، فيمكنه استخدام هذه المعلمة لتقديم تلميح إلى خادم مصادقة Google. يستخدم الخادم التلميح لتبسيط تدفق تسجيل الدخول إما عن طريق ملء حقل البريد الإلكتروني مسبقًا في نموذج تسجيل الدخول أو عن طريق تحديد جلسة تسجيل الدخول المتعددة المناسبة.

عيّن قيمة المعلمة إلى عنوان بريد إلكتروني أو معرّف sub ، وهو ما يعادل معرف Google للمستخدم.

في Python ، قم بتعيين المعامل login_hint عن طريق تحديد login_hint كوسيطة الكلمة الأساسية عند استدعاء طريقة flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    login_hint='None',
    include_granted_scopes='true')
prompt اختياري

قائمة بالمطالبات مفصولة بمسافات وحساسة لحالة الأحرف لتقديم المستخدم. إذا لم تحدد هذه المعلمة ، فسيتم مطالبة المستخدم فقط في المرة الأولى التي يطلب فيها مشروعك الوصول. راجع المطالبة بإعادة الموافقة للحصول على مزيد من المعلومات.

في Python ، flow.authorization_url المعامل prompt عن طريق تحديد prompt باعتباره وسيطة كلمة أساسية عند استدعاء طريقة flow.authorization_url :

authorization_url, state = flow.authorization_url(
      access_type='offline',
      prompt='consent',
      include_granted_scopes='true')

القيم الممكنة هي:

none لا تعرض أي شاشات المصادقة أو الموافقة. يجب ألا يتم تحديده بقيم أخرى.
consent مطالبة المستخدم بالموافقة.
select_account مطالبة المستخدم بتحديد حساب.

روبي

استخدم ملف client_secrets.json الذي قمت بإنشائه لتكوين كائن عميل في التطبيق الخاص بك. عند تكوين كائن عميل ، فإنك تحدد النطاقات التي يحتاج التطبيق الخاص بك للوصول إليها ، بالإضافة إلى عنوان URL لنقطة نهاية المصادقة الخاصة بالتطبيق ، والتي ستتعامل مع الاستجابة من خادم OAuth 2.0.

على سبيل المثال ، يطلب هذا الرمز الوصول للقراءة فقط وغير متصل إلى Google Drive للمستخدم:

require 'google/apis/drive_v2'
require 'google/api_client/client_secrets'

client_secrets = Google::APIClient::ClientSecrets.load
auth_client = client_secrets.to_authorization
auth_client.update!(
  :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly',
  :redirect_uri => 'http://www.example.com/oauth2callback',
  :additional_parameters => {
    "access_type" => "offline",         # offline access
    "include_granted_scopes" => "true"  # incremental auth
  }
)

يستخدم تطبيقك كائن العميل لإجراء عمليات OAuth 2.0 ، مثل إنشاء عناوين URL لطلب التفويض وتطبيق رموز الوصول على طلبات HTTP.

HTTP / REST

توجد نقطة نهاية OAuth 2.0 من Google على https://accounts.google.com/o/oauth2/v2/auth . لا يمكن الوصول إلى نقطة النهاية هذه إلا عبر HTTPS. تم رفض اتصالات HTTP العادية.

يدعم خادم تفويض Google معلمات سلسلة طلب البحث التالية لتطبيقات خادم الويب:

المعلمات
client_id مطلوب

معرّف العميل للتطبيق الخاص بك. يمكنك العثور على هذه القيمة في API Console Credentials page.

redirect_uri مطلوب

يحدد المكان الذي يعيد فيه خادم واجهة برمجة التطبيقات توجيه المستخدم بعد أن يكمل المستخدم تدفق التفويض. يجب أن تتطابق القيمة تمامًا مع أحد عناوين URI المعتمدة لإعادة التوجيه لعميل OAuth 2.0 ، والذي قمت بتكوينه في API Console Credentials page لعميلك. إذا لم تتطابق هذه القيمة مع عنوان URI المرخص لإعادة التوجيه الخاص بـ client_id المقدم ، client_id خطأ redirect_uri_mismatch .

لاحظ أن مخطط http أو https والحالة والشرطة المائلة اللاحقة (" / ") يجب أن تتطابق جميعها.

response_type مطلوب

يحدِّد ما إذا كانت نقطة نهاية Google OAuth 2.0 تعرض رمز تفويض أم لا.

اضبط قيمة المعلمة على code لتطبيقات خادم الويب.

scope مطلوب

قائمة نطاقات محددة بمسافات تحدد الموارد التي يمكن لتطبيقك الوصول إليها نيابة عن المستخدم. تبلغ هذه القيم شاشة الموافقة التي تعرضها Google للمستخدم.

تعمل النطاقات على تمكين التطبيق الخاص بك من طلب الوصول فقط إلى الموارد التي يحتاجها مع تمكين المستخدمين أيضًا من التحكم في مقدار الوصول الذي يمنحونه لتطبيقك. وبالتالي ، هناك علاقة عكسية بين عدد النطاقات المطلوبة واحتمال الحصول على موافقة المستخدم.

نوصي بأن يطلب تطبيقك الوصول إلى نطاقات التفويض في السياق كلما أمكن ذلك. من خلال طلب الوصول إلى بيانات المستخدم في السياق ، من خلال التفويض المتزايد ، فإنك تساعد المستخدمين على فهم سبب احتياج تطبيقك إلى الوصول الذي يطلبه بسهولة أكبر.

access_type موصى به

يشير إلى ما إذا كان التطبيق الخاص بك يمكنه تحديث رموز الوصول عندما لا يكون المستخدم موجودًا في المتصفح. قيم المعلمات الصالحة هي online ، والتي هي القيمة الافتراضية، و offline .

عيّن القيمة إلى وضع offline إذا كان التطبيق الخاص بك يحتاج إلى تحديث رموز الوصول عندما لا يكون المستخدم موجودًا في المتصفح. هذه هي طريقة تحديث رموز الوصول الموضحة لاحقًا في هذا المستند. هذه القيمة يرشد خادم تفويض Google لإرجاع التحديث رمزية وصول رمز المرة الأولى التي التبادل طلبك رمز التفويض الرموز.

state موصى به

تحدد أي قيمة سلسلة يستخدمها تطبيقك للحفاظ على الحالة بين طلب التفويض واستجابة خادم التفويض. يعرض الخادم القيمة الدقيقة التي ترسلها كزوج name=value في مكون استعلام URL ( ? ) من redirect_uri بعد موافقة المستخدم أو رفض طلب الوصول للتطبيق الخاص بك.

يمكنك استخدام هذه المعلمة لعدة أغراض ، مثل توجيه المستخدم إلى المورد الصحيح في التطبيق الخاص بك ، وإرسال الرموز غير الرسمية ، وتخفيف تزوير الطلبات عبر المواقع. نظرًا لأنه يمكن تخمين redirect_uri الخاص بك ، فإن استخدام قيمة state يمكن أن يزيد من ضمانك بأن الاتصال الوارد هو نتيجة لطلب المصادقة. إذا قمت بإنشاء سلسلة عشوائية أو قمت بتشفير تجزئة ملف تعريف ارتباط أو قيمة أخرى تلتقط حالة العميل ، فيمكنك التحقق من صحة الاستجابة لضمان بالإضافة إلى ذلك أن الطلب والاستجابة نشأت في نفس المتصفح ، مما يوفر الحماية ضد الهجمات مثل المواقع المشتركة طلب التزوير. راجع وثائق OpenID Connect للحصول على مثال لكيفية إنشاء رمز state وتأكيده.

include_granted_scopes اختياري

يمكّن التطبيقات من استخدام التفويض المتزايد لطلب الوصول إلى نطاقات إضافية في السياق. إذا قمت بتعيين قيمة هذه المعلمة على " true وتم منح طلب التفويض ، فسيغطي رمز الوصول الجديد أيضًا أي نطاقات منحها المستخدم مسبقًا حق الوصول إلى التطبيق. راجع قسم التفويض المتزايد للحصول على أمثلة.

login_hint اختياري

إذا كان تطبيقك يعرف المستخدم الذي يحاول المصادقة ، فيمكنه استخدام هذه المعلمة لتقديم تلميح إلى خادم مصادقة Google. يستخدم الخادم التلميح لتبسيط تدفق تسجيل الدخول إما عن طريق ملء حقل البريد الإلكتروني مسبقًا في نموذج تسجيل الدخول أو عن طريق تحديد جلسة تسجيل الدخول المتعددة المناسبة.

عيّن قيمة المعلمة إلى عنوان بريد إلكتروني أو معرّف sub ، وهو ما يعادل معرف Google للمستخدم.

prompt اختياري

قائمة بالمطالبات مفصولة بمسافات وحساسة لحالة الأحرف لتقديم المستخدم. إذا لم تحدد هذه المعلمة ، فسيتم مطالبة المستخدم فقط في المرة الأولى التي يطلب فيها مشروعك الوصول. راجع المطالبة بإعادة الموافقة للحصول على مزيد من المعلومات.

القيم الممكنة هي:

none لا تعرض أي شاشات المصادقة أو الموافقة. يجب ألا يتم تحديده بقيم أخرى.
consent مطالبة المستخدم بالموافقة.
select_account مطالبة المستخدم بتحديد حساب.

الخطوة 2: إعادة التوجيه إلى خادم OAuth 2.0 من Google

أعد توجيه المستخدم إلى خادم OAuth 2.0 من Google لبدء عملية المصادقة والتفويض. عادةً ما يحدث هذا عندما يحتاج التطبيق الخاص بك أولاً إلى الوصول إلى بيانات المستخدم. في حالة التفويض المتزايد ، تحدث هذه الخطوة أيضًا عندما يحتاج التطبيق الخاص بك أولاً إلى الوصول إلى موارد إضافية ليس لديه إذن بالوصول إليها حتى الآن.

بي أتش بي

  1. أنشئ عنوان URL لطلب الوصول من خادم OAuth 2.0 الخاص بـ Google:
    $auth_url = $client->createAuthUrl();
  2. $auth_url توجيه المستخدم إلى $auth_url :
    header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));

بايثون

يوضح هذا المثال كيفية إعادة توجيه المستخدم إلى عنوان URL للترخيص باستخدام إطار عمل تطبيق الويب Flask:

03 سي ايه 85020

روبي

  1. أنشئ عنوان URL لطلب الوصول من خادم OAuth 2.0 الخاص بـ Google:
    auth_uri = auth_client.authorization_uri.to_s
  2. auth_uri توجيه المستخدم إلى auth_uri .

HTTP / REST

نموذج لإعادة التوجيه إلى خادم تفويض Google

يظهر أدناه مثال لعنوان URL ، مع فواصل أسطر ومسافات لسهولة القراءة.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

بعد إنشاء عنوان URL للطلب ، أعد توجيه المستخدم إليه.

يصادق خادم OAuth 2.0 من Google المستخدم ويحصل على موافقة من المستخدم لتطبيقك للوصول إلى النطاقات المطلوبة. يتم إرسال الرد مرة أخرى إلى التطبيق الخاص بك باستخدام عنوان URL لإعادة التوجيه الذي حددته.

الخطوة 3: تطالب Google المستخدم بالموافقة

في هذه الخطوة ، يقرر المستخدم ما إذا كان يمنح تطبيقك حق الوصول المطلوب. في هذه المرحلة ، تعرض Google نافذة موافقة تعرض اسم التطبيق الخاص بك وخدمات Google API التي تطلب إذنًا للوصول إليها باستخدام بيانات اعتماد المستخدم وملخصًا لنطاقات الوصول التي سيتم منحها. يمكن للمستخدم بعد ذلك الموافقة على منح حق الوصول إلى واحد أو أكثر من النطاقات التي يطلبها التطبيق الخاص بك أو رفض الطلب.

لا يحتاج تطبيقك إلى القيام بأي شيء في هذه المرحلة لأنه ينتظر الاستجابة من خادم OAuth 2.0 من Google للإشارة إلى ما إذا كان قد تم منح أي وصول أم لا. تم شرح هذا الرد في الخطوة التالية.

الخطوة 4: معالجة استجابة خادم OAuth 2.0

يستجيب خادم OAuth 2.0 لطلب الوصول الخاص بتطبيقك باستخدام عنوان URL المحدد في الطلب.

إذا وافق المستخدم على طلب الوصول ، فستحتوي الاستجابة على رمز تفويض. إذا لم يوافق المستخدم على الطلب ، فستحتوي الاستجابة على رسالة خطأ. يظهر رمز التفويض أو رسالة الخطأ التي يتم إرجاعها إلى خادم الويب في سلسلة الاستعلام ، كما هو موضح أدناه:

استجابة خطأ:

https://oauth2.example.com/auth?error=access_denied

استجابة رمز التفويض:

https://oauth2.example.com/auth?code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7

نموذج لاستجابة خادم OAuth 2.0

يمكنك اختبار هذا التدفق من خلال النقر على نموذج عنوان URL التالي ، والذي يطلب حق الوصول للقراءة فقط لعرض البيانات الوصفية للملفات في Google Drive:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

بعد إكمال تدفق OAuth 2.0 ، يجب إعادة توجيهك إلى http://localhost/oauth2callback ، والذي من المحتمل أن ينتج عنه خطأ 404 NOT FOUND ما لم يقدم جهازك المحلي ملفًا على هذا العنوان. توفر الخطوة التالية مزيدًا من التفاصيل حول المعلومات التي يتم إرجاعها في URI عند إعادة توجيه المستخدم مرة أخرى إلى التطبيق الخاص بك.

الخطوة 5: رمز تفويض الصرف للتحديث والوصول إلى الرموز المميزة

بعد أن يتلقى خادم الويب رمز التفويض ، يمكنه استبدال رمز التفويض لرمز الوصول.

بي أتش بي

لتبادل رمز تفويض لرمز وصول ، استخدم طريقة authenticate :

$client->authenticate($_GET['code']);

يمكنك استرداد رمز الوصول باستخدام طريقة getAccessToken :

$access_token = $client->getAccessToken();

بايثون

في صفحة رد الاتصال الخاصة بك ، استخدم مكتبة google-auth للتحقق من استجابة خادم التفويض. بعد ذلك ، استخدم التابع flow.fetch_token لتبادل كود التفويض في تلك الاستجابة لرمز وصول:

state = flask.session['state']
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'],
    state=state)
flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

authorization_response = flask.request.url
flow.fetch_token(authorization_response=authorization_response)

# Store the credentials in the session.
# ACTION ITEM for developers:
#     Store user's access and refresh tokens in your data store if
#     incorporating this code into your real app.
credentials = flow.credentials
flask.session['credentials'] = {
    'token': credentials.token,
    'refresh_token': credentials.refresh_token,
    'token_uri': credentials.token_uri,
    'client_id': credentials.client_id,
    'client_secret': credentials.client_secret,
    'scopes': credentials.scopes}

روبي

لتبادل رمز التفويض لرمز الوصول ، استخدم fetch_access_token! طريقة:

auth_client.code = auth_code
auth_client.fetch_access_token!

HTTP / REST

لتبادل رمز التفويض لرمز وصول ، اتصل بـ https://oauth2.googleapis.com/token endpoint وقم بتعيين المعلمات التالية:

مجالات
client_id معرف العميل الذي تم الحصول عليه من API Console Credentials page.
client_secret تم الحصول على سر العميل من API Console Credentials page.
code تم إرجاع رمز التفويض من الطلب الأولي.
grant_type كما هو محدد في مواصفات OAuth 2.0 ، يجب تعيين قيمة هذا الحقل على authorization_code .
redirect_uri واحدة من محددات إعادة توجيه المدرجة للمشروع الخاص بك في API Console Credentials page لإعطاء client_id .

يُظهر المقتطف التالي نموذج طلب:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your_client_id&
client_secret=your_client_secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

تستجيب Google لهذا الطلب من خلال إعادة كائن JSON الذي يحتوي على رمز وصول قصير العمر ورمز تحديث مميز. لاحظ أنه لا يتم إرجاع رمز التحديث المميز إلا إذا قام تطبيقك بتعيين معلمة access_type إلى وضع offline في الطلب الأولي لخادم تفويض Google .

يحتوي الرد على الحقول التالية:

مجالات
access_token الرمز الذي يرسله تطبيقك لتفويض طلب Google API.
expires_in العمر المتبقي لرمز الوصول بالثواني.
refresh_token رمز مميز يمكنك استخدامه للحصول على رمز وصول جديد. رموز التحديث صالحة حتى يقوم المستخدم بإلغاء الوصول. مرة أخرى، هذا الحقل موجود فقط في هذا الرد إذا قمت بتعيين access_type المعلمة إلى offline في الطلب الأولي إلى خادم ترخيص جوجل.
scope نطاقات الوصول الممنوحة بواسطة access_token التعبير عنها access_token سلاسل مفصولة بمسافات وحساسة لحالة الأحرف.
token_type تم إرجاع نوع الرمز المميز. في هذا الوقت ، يتم دائمًا تعيين قيمة هذا الحقل على Bearer .

يُظهر المقتطف التالي نموذجًا للرد:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "token_type": "Bearer",
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

استدعاء Google APIs

بي أتش بي

استخدم رمز الوصول للاتصال بواجهات برمجة تطبيقات Google من خلال إكمال الخطوات التالية:

  1. إذا كنت بحاجة إلى تطبيق الوصول إلى رمزية جديدة Google_Client الكائن، على سبيل المثال، إذا كنت تخزين الوصول رمزية في الدورة المستخدم استخدام setAccessToken الأسلوب:
    $client->setAccessToken($access_token);
  2. إنشاء كائن خدمة لواجهة برمجة التطبيقات التي تريد الاتصال بها. يمكنك إنشاء كائن خدمة من خلال توفير كائن Google_Client مرخص له Google_Client واجهة برمجة التطبيقات التي تريد الاتصال بها. على سبيل المثال ، لاستدعاء Drive API:
    $drive = new Google_Service_Drive($client);
  3. قم بإجراء طلبات إلى خدمة API باستخدام الواجهة التي يوفرها كائن الخدمة . على سبيل المثال ، لسرد الملفات في Google Drive للمستخدم المصادق عليه:
    $files = $drive->files->listFiles(array())->getItems();

بايثون

بعد الحصول على رمز وصول ، يمكن لتطبيقك استخدام هذا الرمز المميز لتفويض طلبات واجهة برمجة التطبيقات نيابة عن حساب مستخدم معين أو حساب خدمة. استخدم بيانات اعتماد التفويض الخاصة بالمستخدم لإنشاء كائن خدمة لواجهة برمجة التطبيقات التي تريد الاتصال بها ، ثم استخدم هذا الكائن لتقديم طلبات API المعتمدة.

  1. إنشاء كائن خدمة لواجهة برمجة التطبيقات التي تريد الاتصال بها. يمكنك إنشاء كائن خدمة عن طريق استدعاء أسلوب build مكتبة googleapiclient.discovery باسم وإصدار واجهة برمجة التطبيقات وبيانات اعتماد المستخدم: على سبيل المثال ، لاستدعاء الإصدار 2 من Drive API:
    from googleapiclient.discovery import build
    
    drive = build('drive', 'v2', credentials=credentials)
  2. قم بإجراء طلبات إلى خدمة API باستخدام الواجهة التي يوفرها كائن الخدمة . على سبيل المثال ، لسرد الملفات في Google Drive للمستخدم المصادق عليه:
    files = drive.files().list().execute()

روبي

استخدم كائن auth_client لاستدعاء واجهات برمجة تطبيقات Google من خلال استكمال الخطوات التالية:

  1. إنشاء كائن خدمة لواجهة برمجة التطبيقات التي تريد الاتصال بها. على سبيل المثال ، لاستدعاء الإصدار 2 من Drive API:
    drive = Google::Apis::DriveV2::DriveService.new
  2. قم بتعيين بيانات الاعتماد على الخدمة:
    drive.authorization = auth_client
  3. قم بإجراء طلبات إلى خدمة API باستخدام الواجهة التي يوفرها كائن الخدمة . على سبيل المثال ، لسرد الملفات في Google Drive للمستخدم المصادق عليه:
    files = drive.list_files

بالتناوب ، يمكن تقديم التفويض على أساس كل طريقة من خلال توفير معلمة options لطريقة:

files = drive.list_files(options: { authorization: auth_client })

HTTP / REST

بعد حصول تطبيقك على رمز وصول ، يمكنك استخدام الرمز المميز لإجراء مكالمات إلى Google API نيابة عن حساب مستخدم معين إذا تم منح نطاق (نطاقات) الوصول المطلوبة بواسطة API. للقيام بذلك، وتشمل الوصول رمزية في طلب إلى API من قبل بما في ذلك إما access_token المعلمة الاستعلام أو Authorization HTTP رأس Bearer القيمة. عندما يكون ذلك ممكنًا ، يُفضل رأس HTTP ، لأن سلاسل الاستعلام تميل إلى أن تكون مرئية في سجلات الخادم. في معظم الحالات ، يمكنك استخدام مكتبة العميل لإعداد مكالماتك إلى Google APIs (على سبيل المثال ، عند استدعاء Drive Files API ).

يمكنك تجربة جميع واجهات برمجة تطبيقات Google وعرض نطاقاتها في ملعب OAuth 2.0 .

أمثلة HTTP GET

استدعاء drive.files نهاية drive.files (واجهة برمجة تطبيقات Drive Files) باستخدام Authorization: Bearer قد يبدو رأس Authorization: Bearer HTTP كما يلي. لاحظ أنك تحتاج إلى تحديد رمز الوصول الخاص بك:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

فيما يلي استدعاء لنفس واجهة برمجة التطبيقات للمستخدم المصادق عليه باستخدام معلمة سلسلة الاستعلام access_token :

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

أمثلة curl

يمكنك اختبار هذه الأوامر باستخدام تطبيق سطر الأوامر curl . إليك مثال يستخدم خيار رأس HTTP (مفضل):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

أو ، بدلاً من ذلك ، خيار معلمة سلسلة الاستعلام:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

مثال كامل

يطبع المثال التالي قائمة ملفات بتنسيق JSON في Google Drive للمستخدم بعد أن يصادق المستخدم ويعطي موافقته للتطبيق للوصول إلى بيانات Drive الوصفية للمستخدم.

بي أتش بي

لتشغيل هذا المثال:

  1. في API Console ، أضف عنوان URL الخاص بالجهاز المحلي إلى قائمة عناوين URL لإعادة التوجيه. على سبيل المثال ، أضف http://localhost:8080 .
  2. قم بإنشاء دليل جديد وقم بالتغيير إليه. على سبيل المثال:
    mkdir ~/php-oauth2-example
    cd ~/php-oauth2-example
  3. قم بتثبيت مكتبة عميل Google API لـ PHP باستخدام Composer :
    composer require google/apiclient:^2.0
  4. أنشئ oauth2callback.php index.php و oauth2callback.php بالمحتوى أدناه.
  5. قم بتشغيل المثال باستخدام خادم ويب مهيأ لخدمة PHP. إذا كنت تستخدم PHP 5.4 أو أحدث ، فيمكنك استخدام خادم الويب التجريبي المدمج في PHP:
    php -S localhost:8080 ~/php-oauth2-example

index.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google_Client();
$client->setAuthConfig('client_secrets.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

if (isset($_SESSION['access_token']) && $_SESSION['access_token']) {
  $client->setAccessToken($_SESSION['access_token']);
  $drive = new Google_Service_Drive($client);
  $files = $drive->files->listFiles(array())->getItems();
  echo json_encode($files);
} else {
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

oauth2callback.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google_Client();
$client->setAuthConfigFile('client_secrets.json');
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

if (! isset($_GET['code'])) {
  $auth_url = $client->createAuthUrl();
  header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));
} else {
  $client->authenticate($_GET['code']);
  $_SESSION['access_token'] = $client->getAccessToken();
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

بايثون

يستخدم هذا المثال إطار عمل Flask . يقوم بتشغيل تطبيق ويب على http://localhost:8080 يتيح لك اختبار تدفق OAuth 2.0. إذا انتقلت إلى عنوان URL هذا ، فسترى أربعة روابط:

  • اختبار طلب واجهة برمجة التطبيقات: يشير هذا الرابط إلى صفحة تحاول تنفيذ نموذج طلب واجهة برمجة تطبيقات. إذا لزم الأمر ، يبدأ تدفق التفويض. إذا نجحت ، تعرض الصفحة استجابة API.
  • اختبر تدفق المصادقة مباشرةً: يشير هذا الرابط إلى صفحة تحاول إرسال المستخدم عبر تدفق التفويض . يطلب التطبيق إذنًا لإرسال طلبات API المعتمدة نيابة عن المستخدم.
  • إبطال بيانات الاعتماد الحالية: يشير هذا الارتباط إلى صفحة تلغي الأذونات التي منحها المستخدم بالفعل للتطبيق.
  • مسح بيانات اعتماد جلسة Flask: يمسح هذا الارتباط بيانات اعتماد التفويض المخزنة في جلسة Flask. يتيح لك ذلك معرفة ما سيحدث إذا حاول المستخدم الذي منح إذنًا بالفعل لتطبيقك تنفيذ طلب واجهة برمجة التطبيقات في جلسة جديدة. It also lets you see the API response your app would get if a user had revoked permissions granted to your app, and your app still tried to authorize a request with a revoked access token.
# -*- coding: utf-8 -*-

import os
import flask
import requests

import google.oauth2.credentials
import google_auth_oauthlib.flow
import googleapiclient.discovery

# This variable specifies the name of a file that contains the OAuth 2.0
# information for this application, including its client_id and client_secret.
CLIENT_SECRETS_FILE = "client_secret.json"

# This OAuth 2.0 access scope allows for full read/write access to the
# authenticated user's account and requires requests to use an SSL connection.
SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly']
API_SERVICE_NAME = 'drive'
API_VERSION = 'v2'

app = flask.Flask(__name__)
# Note: A secret key is included in the sample so that it works.
# If you use this code in your application, replace this with a truly secret
# key. See https://flask.palletsprojects.com/quickstart/#sessions.
app.secret_key = 'REPLACE ME - this value is here as a placeholder.'


@app.route('/')
def index():
  return print_index_table()


@app.route('/test')
def test_api_request():
  if 'credentials' not in flask.session:
    return flask.redirect('authorize')

  # Load credentials from the session.
  credentials = google.oauth2.credentials.Credentials(
      **flask.session['credentials'])

  drive = googleapiclient.discovery.build(
      API_SERVICE_NAME, API_VERSION, credentials=credentials)

  files = drive.files().list().execute()

  # Save credentials back to session in case access token was refreshed.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.jsonify(**files)


@app.route('/authorize')
def authorize():
  # Create flow instance to manage the OAuth 2.0 Authorization Grant Flow steps.
  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES)

  # The URI created here must exactly match one of the authorized redirect URIs
  # for the OAuth 2.0 client, which you configured in the API Console. If this
  # value doesn't match an authorized URI, you will get a 'redirect_uri_mismatch'
  # error.
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  authorization_url, state = flow.authorization_url(
      # Enable offline access so that you can refresh an access token without
      # re-prompting the user for permission. Recommended for web server apps.
      access_type='offline',
      # Enable incremental authorization. Recommended as a best practice.
      include_granted_scopes='true')

  # Store the state so the callback can verify the auth server response.
  flask.session['state'] = state

  return flask.redirect(authorization_url)


@app.route('/oauth2callback')
def oauth2callback():
  # Specify the state when creating the flow in the callback so that it can
  # verified in the authorization server response.
  state = flask.session['state']

  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES, state=state)
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  # Use the authorization server's response to fetch the OAuth 2.0 tokens.
  authorization_response = flask.request.url
  flow.fetch_token(authorization_response=authorization_response)

  # Store credentials in the session.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  credentials = flow.credentials
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.redirect(flask.url_for('test_api_request'))


@app.route('/revoke')
def revoke():
  if 'credentials' not in flask.session:
    return ('You need to <a href="/authorize">authorize</a> before ' +
            'testing the code to revoke credentials.')

  credentials = google.oauth2.credentials.Credentials(
    **flask.session['credentials'])

  revoke = requests.post('https://oauth2.googleapis.com/revoke',
      params={'token': credentials.token},
      headers = {'content-type': 'application/x-www-form-urlencoded'})

  status_code = getattr(revoke, 'status_code')
  if status_code == 200:
    return('Credentials successfully revoked.' + print_index_table())
  else:
    return('An error occurred.' + print_index_table())


@app.route('/clear')
def clear_credentials():
  if 'credentials' in flask.session:
    del flask.session['credentials']
  return ('Credentials have been cleared.<br><br>' +
          print_index_table())


def credentials_to_dict(credentials):
  return {'token': credentials.token,
          'refresh_token': credentials.refresh_token,
          'token_uri': credentials.token_uri,
          'client_id': credentials.client_id,
          'client_secret': credentials.client_secret,
          'scopes': credentials.scopes}

def print_index_table():
  return ('<table>' +
          '<tr><td><a href="/test">Test an API request</a></td>' +
          '<td>Submit an API request and see a formatted JSON response. ' +
          '    Go through the authorization flow if there are no stored ' +
          '    credentials for the user.</td></tr>' +
          '<tr><td><a href="/authorize">Test the auth flow directly</a></td>' +
          '<td>Go directly to the authorization flow. If there are stored ' +
          '    credentials, you still might not be prompted to reauthorize ' +
          '    the application.</td></tr>' +
          '<tr><td><a href="/revoke">Revoke current credentials</a></td>' +
          '<td>Revoke the access token associated with the current user ' +
          '    session. After revoking credentials, if you go to the test ' +
          '    page, you should see an <code>invalid_grant</code> error.' +
          '</td></tr>' +
          '<tr><td><a href="/clear">Clear Flask session credentials</a></td>' +
          '<td>Clear the access token currently stored in the user session. ' +
          '    After clearing the token, if you <a href="/test">test the ' +
          '    API request</a> again, you should go back to the auth flow.' +
          '</td></tr></table>')


if __name__ == '__main__':
  # When running locally, disable OAuthlib's HTTPs verification.
  # ACTION ITEM for developers:
  #     When running in production *do not* leave this option enabled.
  os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1'

  # Specify a hostname and port that are set as a valid redirect URI
  # for your API project in the Google API Console.
  app.run('localhost', 8080, debug=True)

Ruby

This example uses the Sinatra framework.

require 'google/apis/drive_v2'
require 'google/api_client/client_secrets'
require 'json'
require 'sinatra'

enable :sessions
set :session_secret, 'setme'

get '/' do
  unless session.has_key?(:credentials)
    redirect to('/oauth2callback')
  end
  client_opts = JSON.parse(session[:credentials])
  auth_client = Signet::OAuth2::Client.new(client_opts)
  drive = Google::Apis::DriveV2::DriveService.new
  files = drive.list_files(options: { authorization: auth_client })
  "<pre>#{JSON.pretty_generate(files.to_h)}</pre>"
end

get '/oauth2callback' do
  client_secrets = Google::APIClient::ClientSecrets.load
  auth_client = client_secrets.to_authorization
  auth_client.update!(
    :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly',
    :redirect_uri => url('/oauth2callback'))
  if request['code'] == nil
    auth_uri = auth_client.authorization_uri.to_s
    redirect to(auth_uri)
  else
    auth_client.code = request['code']
    auth_client.fetch_access_token!
    auth_client.client_secret = nil
    session[:credentials] = auth_client.to_json
    redirect to('/')
  end
end

HTTP/REST

This Python example uses the Flask framework and the Requests library to demonstrate the OAuth 2.0 web flow. We recommend using the Google API Client Library for Python for this flow. (The example in the Python tab does use the client library.)

import json

import flask
import requests


app = flask.Flask(__name__)

CLIENT_ID = '123456789.apps.googleusercontent.com'
CLIENT_SECRET = 'abc123'  # Read from a file or environmental variable in a real app
SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly'
REDIRECT_URI = 'http://example.com/oauth2callback'


@app.route('/')
def index():
  if 'credentials' not in flask.session:
    return flask.redirect(flask.url_for('oauth2callback'))
  credentials = json.loads(flask.session['credentials'])
  if credentials['expires_in'] <= 0:
    return flask.redirect(flask.url_for('oauth2callback'))
  else:
    headers = {'Authorization': 'Bearer {}'.format(credentials['access_token'])}
    req_uri = 'https://www.googleapis.com/drive/v2/files'
    r = requests.get(req_uri, headers=headers)
    return r.text


@app.route('/oauth2callback')
def oauth2callback():
  if 'code' not in flask.request.args:
    auth_uri = ('https://accounts.google.com/o/oauth2/v2/auth?response_type=code'
                '&client_id={}&redirect_uri={}&scope={}').format(CLIENT_ID, REDIRECT_URI, SCOPE)
    return flask.redirect(auth_uri)
  else:
    auth_code = flask.request.args.get('code')
    data = {'code': auth_code,
            'client_id': CLIENT_ID,
            'client_secret': CLIENT_SECRET,
            'redirect_uri': REDIRECT_URI,
            'grant_type': 'authorization_code'}
    r = requests.post('https://oauth2.googleapis.com/token', data=data)
    flask.session['credentials'] = r.text
    return flask.redirect(flask.url_for('index'))


if __name__ == '__main__':
  import uuid
  app.secret_key = str(uuid.uuid4())
  app.debug = False
  app.run()

Redirect URI validation rules

Google applies the following validation rules to redirect URIs in order to help developers keep their applications secure. Your redirect URIs must adhere to these rules. See RFC 3986 section 3 for the definition of domain, host, path, query, scheme and userinfo, mentioned below.

Validation rules
Scheme

URIs must use the HTTPS scheme, not plain HTTP.

Host

Hosts cannot be raw IP addresses. Localhost IP addresses are exempted from this rule.

Domain
  • Host TLDs ( Top Level Domains ) must belong to the public suffix list .
  • Host domains cannot be “googleusercontent.com” .
  • URIs cannot contain URL shortener domains (eg goo.gl ) unless the app owns the domain. Furthermore, if an app that owns a shortener domain chooses to redirect to that domain, that redirect URI must either contain “/google-callback/” in its path or end with “/google-callback” .
  • Userinfo

    Redirect URIs cannot contain the userinfo subcomponent.

    Path

    Redirect URIs cannot contain a path traversal (also called directory backtracking), which is represented by an “/..” or “\..” or their URL encoding.

    Query

    Redirect URIs cannot contain open redirects .

    Characters URIs cannot contain certain characters including:
    • Wildcard characters ( '*' )
    • Non-printable ASCII characters
    • Invalid percent encodings (any percent encoding that does not follow URL-encoding form of a percent sign followed by two hexadecimal digits)
    • Null characters (an encoded NULL character, eg, %00 , %C0%80 )

    Incremental authorization

    In the OAuth 2.0 protocol, your app requests authorization to access resources, which are identified by scopes. It is considered a best user-experience practice to request authorization for resources at the time you need them. To enable that practice, Google's authorization server supports incremental authorization. This feature lets you request scopes as they are needed and, if the user grants permission for the new scope, returns an authorization code that may be exchanged for a token containing all scopes the user has granted the project.

    For example, an app that lets people sample music tracks and create mixes might need very few resources at sign-in time, perhaps nothing more than the name of the person signing in. However, saving a completed mix would require access to their Google Drive. Most people would find it natural if they only were asked for access to their Google Drive at the time the app actually needed it.

    In this case, at sign-in time the app might request the openid and profile scopes to perform basic sign-in, and then later request the https://www.googleapis.com/auth/drive.file scope at the time of the first request to save a mix.

    To implement incremental authorization, you complete the normal flow for requesting an access token but make sure that the authorization request includes previously granted scopes. This approach allows your app to avoid having to manage multiple access tokens.

    The following rules apply to an access token obtained from an incremental authorization:

    • The token can be used to access resources corresponding to any of the scopes rolled into the new, combined authorization.
    • When you use the refresh token for the combined authorization to obtain an access token, the access token represents the combined authorization and can be used for any of the scope values included in the response.
    • The combined authorization includes all scopes that the user granted to the API project even if the grants were requested from different clients. For example, if a user granted access to one scope using an application's desktop client and then granted another scope to the same application via a mobile client, the combined authorization would include both scopes.
    • If you revoke a token that represents a combined authorization, access to all of that authorization's scopes on behalf of the associated user are revoked simultaneously.

    The language-specific code samples in Step 1: Set authorization parameters and the sample HTTP/REST redirect URL in Step 2: Redirect to Google's OAuth 2.0 server all use incremental authorization. The code samples below also show the code that you need to add to use incremental authorization.

    PHP

    $client->setIncludeGrantedScopes(true);

    بايثون

    In Python, set the include_granted_scopes keyword argument to true to ensure that an authorization request includes previously granted scopes. It is very possible that include_granted_scopes will not be the only keyword argument that you set, as shown in the example below.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    Ruby

    auth_client.update!(
      :additional_parameters => {"include_granted_scopes" => "true"}
    )

    HTTP/REST

    GET https://accounts.google.com/o/oauth2/v2/auth?
      client_id=your_client_id&
      response_type=code&
      state=state_parameter_passthrough_value&
      scope=https%3A//www.googleapis.com/auth/drive.file&
      redirect_uri=https%3A//oauth2.example.com/code&
      prompt=consent&
      include_granted_scopes=true

    Refreshing an access token (offline access)

    تنتهي صلاحية رموز الدخول بشكل دوري وتصبح بيانات اعتماد غير صالحة لطلب API ذي صلة. يمكنك تحديث رمز وصول دون مطالبة المستخدم بالحصول على إذن (بما في ذلك عدم وجود المستخدم) إذا طلبت الوصول دون اتصال إلى النطاقات المرتبطة بالرمز المميز.

    • If you use a Google API Client Library, the client object refreshes the access token as needed as long as you configure that object for offline access.
    • If you are not using a client library, you need to set the access_type HTTP query parameter to offline when redirecting the user to Google's OAuth 2.0 server . In that case, Google's authorization server returns a refresh token when you exchange an authorization code for an access token. Then, if the access token expires (or at any other time), you can use a refresh token to obtain a new access token.

    Requesting offline access is a requirement for any application that needs to access a Google API when the user is not present. For example, an app that performs backup services or executes actions at predetermined times needs to be able to refresh its access token when the user is not present. The default style of access is called online .

    Server-side web applications, installed applications, and devices all obtain refresh tokens during the authorization process. Refresh tokens are not typically used in client-side (JavaScript) web applications.

    PHP

    If your application needs offline access to a Google API, set the API client's access type to offline :

    $client->setAccessType("offline");

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    بايثون

    In Python, set the access_type keyword argument to offline to ensure that you will be able to refresh the access token without having to re-prompt the user for permission. It is very possible that access_type will not be the only keyword argument that you set, as shown in the example below.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    Ruby

    If your application needs offline access to a Google API, set the API client's access type to offline :

    auth_client.update!(
      :additional_parameters => {"access_type" => "offline"}
    )

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    HTTP/REST

    لتحديث رمز وصول ، يرسل تطبيقك طلب HTTPS POST إلى خادم تفويض Google ( https://oauth2.googleapis.com/token ) يتضمن المعلمات التالية:

    مجالات
    client_id معرف العميل الذي تم الحصول عليه من API Console.
    client_secret تم الحصول على سر العميل من API Console.
    grant_type كما هو محدد في مواصفات OAuth 2.0 ، يجب تعيين قيمة هذا الحقل على refresh_token .
    refresh_token تم إرجاع رمز التحديث المميز من تبادل رمز التفويض.

    يُظهر المقتطف التالي نموذج طلب:

    POST /token HTTP/1.1
    Host: oauth2.googleapis.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=your_client_id&
    client_secret=your_client_secret&
    refresh_token=refresh_token&
    grant_type=refresh_token

    طالما لم يقم المستخدم بإلغاء الوصول الممنوح للتطبيق ، يقوم خادم الرمز المميز بإرجاع كائن JSON الذي يحتوي على رمز وصول جديد. يُظهر المقتطف التالي نموذجًا للرد:

    {
      "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
      "expires_in": 3920,
      "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
      "token_type": "Bearer"
    }

    لاحظ أن هناك قيودًا على عدد رموز التحديث المميزة التي سيتم إصدارها ؛ حد واحد لكل مجموعة عميل / مستخدم ، وآخر لكل مستخدم عبر جميع العملاء. يجب عليك حفظ الرموز المميزة للتحديث في التخزين طويل المدى والاستمرار في استخدامها طالما أنها تظل صالحة. إذا طلب تطبيقك عددًا كبيرًا جدًا من رموز التحديث ، فقد يتم تشغيله في هذه الحدود ، وفي هذه الحالة ستتوقف رموز التحديث القديمة عن العمل.

    إبطال رمز

    في بعض الحالات ، قد يرغب المستخدم في إبطال الوصول الممنوح للتطبيق. يمكن للمستخدم إبطال الوصول عن طريق زيارة إعدادات الحساب . راجع قسم إزالة الوصول إلى الموقع أو التطبيق في مواقع وتطبيقات الجهات الخارجية التي لها حق الوصول إلى مستند دعم حسابك لمزيد من المعلومات.

    من الممكن أيضًا لأحد التطبيقات أن يبطل برمجيًا الوصول الممنوح له. يعد الإلغاء الآلي أمرًا مهمًا في الحالات التي يقوم فيها المستخدم بإلغاء الاشتراك أو إزالة التطبيق أو حدوث تغيير كبير في موارد واجهة برمجة التطبيقات التي يتطلبها التطبيق. بمعنى آخر ، يمكن أن يتضمن جزء من عملية الإزالة طلب واجهة برمجة التطبيقات لضمان إزالة الأذونات الممنوحة مسبقًا للتطبيق.

    PHP

    To programmatically revoke a token, call revokeToken() :

    $client->revokeToken();

    بايثون

    To programmatically revoke a token, make a request to https://oauth2.googleapis.com/revoke that includes the token as a parameter and sets the Content-Type header:

    requests.post('https://oauth2.googleapis.com/revoke',
        params={'token': credentials.token},
        headers = {'content-type': 'application/x-www-form-urlencoded'})

    Ruby

    To programmatically revoke a token, make an HTTP request to the oauth2.revoke endpoint:

    uri = URI('https://oauth2.googleapis.com/revoke')
    response = Net::HTTP.post_form(uri, 'token' => auth_client.access_token)
    

    يمكن أن يكون الرمز المميز رمز وصول أو رمز تحديث مميز. إذا كان الرمز المميز هو رمز وصول وكان له رمز تحديث مطابق ، فسيتم أيضًا إبطال رمز التحديث.

    If the revocation is successfully processed, then the status code of the response is 200 . For error conditions, a status code 400 is returned along with an error code.

    HTTP/REST

    لإلغاء رمز برمجيًا ، يقدم تطبيقك طلبًا إلى https://oauth2.googleapis.com/revoke ويتضمن الرمز المميز كمعامل:

    curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
            https://oauth2.googleapis.com/revoke?token={token}

    يمكن أن يكون الرمز المميز رمز وصول أو رمز تحديث مميز. إذا كان الرمز المميز هو رمز وصول وكان له رمز تحديث مطابق ، فسيتم أيضًا إبطال رمز التحديث.

    إذا تمت معالجة الإبطال بنجاح ، فسيكون رمز حالة HTTP للاستجابة هو 200 . بالنسبة لظروف الخطأ ، يتم إرجاع رمز حالة HTTP 400 مع رمز الخطأ.