Usa OAuth 2.0 para aplicaciones de servidor web

En este documento, se explica cómo las aplicaciones de servidor web usan las bibliotecas cliente de la API de Google o los extremos de Google OAuth 2.0 para implementar la autorización de OAuth 2.0 y acceder a las API de Google.

OAuth 2.0 permite a los usuarios compartir datos específicos con una aplicación al mismo tiempo que mantiene la privacidad de sus nombres de usuario, contraseñas y otra información. Por ejemplo, una aplicación puede usar OAuth 2.0 para obtener el permiso de los usuarios y, así, almacenar archivos en sus unidades de Google Drive.

Este flujo de OAuth 2.0 es específicamente para la autorización del usuario. Está diseñada para aplicaciones que pueden almacenar información confidencial y mantener el estado. Una aplicación de servidor web debidamente autorizada puede acceder a una API mientras el usuario interactúa con la aplicación o después de que haya salido de ella.

Con frecuencia, las aplicaciones de servidor web también usan cuentas de servicio para autorizar solicitudes a la API, en especial cuando se llama a las APIs de Cloud para acceder a datos basados en el proyecto en lugar de datos específicos del usuario. Las aplicaciones de servidor web pueden usar cuentas de servicio junto con la autorización del usuario.

Bibliotecas cliente

En los ejemplos específicos de lenguaje de esta página, se usan bibliotecas cliente de la API de Google para implementar la autorización OAuth 2.0. Para ejecutar las muestras de código, primero debes instalar la biblioteca cliente de tu lenguaje.

Cuando usas una biblioteca cliente de la API de Google para manejar el flujo de OAuth 2.0 de tu aplicación, la biblioteca cliente realiza muchas acciones que, de otro modo, la aplicación tendría que realizar por su cuenta. Por ejemplo, determina cuándo la aplicación puede usar o actualizar los tokens de acceso almacenados y cuándo la aplicación debe volver a obtener el consentimiento. La biblioteca cliente también genera URLs de redireccionamiento correctas y ayuda a implementar controladores de redireccionamiento que intercambian códigos de autorización por tokens de acceso.

Las bibliotecas cliente de las APIs de Google para aplicaciones del servidor están disponibles para los siguientes lenguajes:

Requisitos previos

Habilita las API para tu proyecto.

Cualquier aplicación que llame a las APIs de Google debe habilitarlas en la API Console.

Sigue estos pasos para habilitar una API en tu proyecto:

  1. Open the API Library en Google API Console.
  2. If prompted, select a project, or create a new one.
  3. El elemento API Library enumera todas las APIs disponibles, agrupadas por familia de productos y popularidad. Si la API que quieres habilitar no está visible en la lista, usa la búsqueda para encontrarla o haz clic en Ver todo en la familia de productos a la que pertenece.
  4. Selecciona la API que deseas habilitar y, luego, haz clic en el botón Habilitar.
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

Crea credenciales de autorización

Cualquier aplicación que use OAuth 2.0 para acceder a las APIs de Google debe tener credenciales de autorización que identifiquen la aplicación para el servidor de OAuth 2.0 de Google. En los siguientes pasos, se explica cómo crear credenciales para tu proyecto. Luego, las aplicaciones pueden usar las credenciales para acceder a las APIs que habilitaste para ese proyecto.

  1. Go to the Credentials page.
  2. Haz clic en Crear credenciales > ID de cliente de OAuth.
  3. Selecciona el tipo de aplicación Aplicación web.
  4. Completa el formulario y haz clic en Crear. Las aplicaciones que usan lenguajes y frameworks como PHP, Java, Python, Ruby y .NET deben especificar URI de redireccionamiento autorizados. Los URI de redireccionamiento son los extremos a los que el servidor de OAuth 2.0 puede enviar respuestas. Estos extremos deben cumplir con las reglas de validación de Google.

    Para realizar pruebas, puedes especificar URIs que hagan referencia a la máquina local, como http://localhost:8080. Con esto en mente, ten en cuenta que todos los ejemplos de este documento usan http://localhost:8080 como el URI de redireccionamiento.

    Te recomendamos que diseñes los extremos de autenticación de tu app para que esta no exponga códigos de autorización a otros recursos de la página.

Después de crear las credenciales, descarga el archivo client_secret.json del API Console. Almacena el archivo de forma segura en una ubicación a la que solo tu aplicación pueda acceder.

Identifica los permisos de acceso

Los permisos permiten que tu aplicación solo solicite acceso a los recursos que necesita y, al mismo tiempo, permiten a los usuarios controlar la cantidad de acceso que otorgan a tu aplicación. Por lo tanto, puede haber una relación inversa entre la cantidad de permisos solicitados y la probabilidad de obtener el consentimiento del usuario.

Antes de que comiences a implementar la autorización de OAuth 2.0, te recomendamos identificar los permisos a los que tu app necesitará permiso para acceder.

También recomendamos que tu aplicación solicite acceso a los permisos de autorización a través de un proceso de autorización incremental, en el que la aplicación solicita acceso a los datos del usuario en contexto. Esta práctica recomendada ayuda a los usuarios a comprender más fácilmente por qué tu aplicación necesita el acceso que solicita.

En el documento Permisos de la API de OAuth 2.0, encontrarás una lista completa de los permisos que puedes usar para acceder a las API de Google.

Requisitos específicos del lenguaje

Para ejecutar cualquiera de las muestras de código de este documento, necesitarás una Cuenta de Google, acceso a Internet y un navegador web. Si usas una de las bibliotecas cliente de la API, consulta también los requisitos específicos del lenguaje, a continuación.

PHP

Para ejecutar las muestras de código PHP en este documento, necesitarás lo siguiente:

  • PHP 5.6 o superior con la interfaz de línea de comandos (CLI) y la extensión JSON instalada
  • La herramienta de administración de dependencias de Composer
  • La biblioteca cliente de las APIs de Google para PHP:

    composer require google/apiclient:^2.10

Python

Para ejecutar las muestras de código de Python en este documento, necesitarás lo siguiente:

  • Python 2.6 o superior
  • La herramienta de administración de paquetes pip
  • La biblioteca cliente de las APIs de Google para Python:
    pip install --upgrade google-api-python-client
  • google-auth, google-auth-oauthlib y google-auth-httplib2 para la autorización del usuario.
    pip install --upgrade google-auth google-auth-oauthlib google-auth-httplib2
  • El framework de aplicación web de Flask en Python.
    pip install --upgrade flask
  • La biblioteca HTTP requests
    pip install --upgrade requests

Rita

Para ejecutar las muestras de código de Ruby en este documento, necesitarás lo siguiente:

  • Ruby 2.6 o superior
  • La biblioteca de Google Auth para Ruby:

    gem install googleauth
  • El framework de aplicación web Sinatra Ruby.

    gem install sinatra

Node.js

Para ejecutar las muestras de código de Node.js en este documento, necesitarás lo siguiente:

  • La LTS de mantenimiento, la LTS activa o la versión actual de Node.js.
  • El cliente de Node.js de las APIs de Google:

    npm install googleapis

HTTP/REST

No necesitas instalar ninguna biblioteca para poder llamar directamente a los extremos de OAuth 2.0.

Obtén tokens de acceso de OAuth 2.0

En los siguientes pasos, se muestra cómo interactúa tu aplicación con el servidor de OAuth 2.0 de Google para obtener el consentimiento de un usuario y realizar una solicitud a la API en su nombre. Tu aplicación debe tener ese consentimiento para poder ejecutar una solicitud a la API de Google que requiera la autorización del usuario.

En la siguiente lista, se resumen rápidamente estos pasos:

  1. La aplicación identifica los permisos que necesita.
  2. Tu aplicación redirecciona al usuario a Google junto con la lista de permisos solicitados.
  3. El usuario decide si otorga los permisos a tu aplicación.
  4. Tu aplicación averigua lo que decidió el usuario.
  5. Si el usuario otorgó los permisos solicitados, tu aplicación recupera los tokens necesarios para realizar solicitudes a la API en nombre del usuario.

Paso 1: Configura los parámetros de autorización

El primer paso es crear la solicitud de autorización. Esa solicitud establece parámetros que identifican tu aplicación y definen los permisos que se le pedirá al usuario que le otorgue a ella.

  • Si usas una biblioteca cliente de Google para la autenticación y autorización de OAuth 2.0, debes crear y configurar un objeto que defina estos parámetros.
  • Si llamas al extremo de Google OAuth 2.0 directamente, generarás una URL y establecerás los parámetros en ella.

En las siguientes pestañas, se definen los parámetros de autorización admitidos para las aplicaciones de servidor web. En los ejemplos específicos del lenguaje, también se muestra cómo usar una biblioteca cliente o una biblioteca de autorización para configurar un objeto que establezca esos parámetros.

PHP

El siguiente fragmento de código crea un objeto Google\Client(), que define los parámetros en la solicitud de autorización.

Ese objeto usa información de tu archivo client_secret.json para identificar tu aplicación. (Consulta cómo crear credenciales de autorización para obtener más información sobre ese archivo). El objeto también identifica los permisos a los que la aplicación solicita permiso para acceder y la URL al extremo de autenticación de la aplicación, que manejará la respuesta del servidor OAuth 2.0 de Google. Por último, el código establece los parámetros opcionales access_type y include_granted_scopes.

Por ejemplo, este código solicita acceso de solo lectura y sin conexión a la cuenta de Google Drive de un usuario:

$client = new Google\Client();

// Required, call the setAuthConfig function to load authorization credentials from
// client_secret.json file.
$client->setAuthConfig('client_secret.json');

// Required, to set the scope value, call the addScope function
$client->addScope(Google\Service\Drive::DRIVE_METADATA_READONLY);

// Required, call the setRedirectUri function to specify a valid redirect URI for the
// provided client_id
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');

// Recommended, offline access will give you both an access and refresh token so that
// your app can refresh the access token without user interaction.
$client->setAccessType('offline');

// Recommended, call the setState function. Using a state value can increase your assurance that
// an incoming connection is the result of an authentication request.
$client->setState($sample_passthrough_value);

// Optional, if your application knows which user is trying to authenticate, it can use this
// parameter to provide a hint to the Google Authentication Server.
$client->setLoginHint('hint@example.com');

// Optional, call the setPrompt function to set "consent" will prompt the user for consent
$client->setPrompt('consent');

// Optional, call the setIncludeGrantedScopes function with true to enable incremental
// authorization
$client->setIncludeGrantedScopes(true);

Python

En el siguiente fragmento de código, se usa el módulo google-auth-oauthlib.flow para crear la solicitud de autorización.

El código construye un objeto Flow, que identifica tu aplicación con la información del archivo client_secret.json que descargaste después de crear las credenciales de autorización. Ese objeto también identifica los permisos a los que la aplicación solicita permiso para acceder, así como la URL al extremo de autenticación de la aplicación, que manejará la respuesta del servidor OAuth 2.0 de Google. Por último, el código establece los parámetros opcionales access_type y include_granted_scopes.

Por ejemplo, este código solicita acceso de solo lectura y sin conexión a la cuenta de Google Drive de un usuario:

import google.oauth2.credentials
import google_auth_oauthlib.flow

# Required, call the from_client_secrets_file method to retrieve the client ID from a
# client_secret.json file. The client ID (from that file) and access scopes are required. (You can
# also use the from_client_config method, which passes the client configuration as it originally
# appeared in a client secrets file but doesn't access the file itself.)
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

# Required, indicate where the API server will redirect the user after the user completes
# the authorization flow. The redirect URI is required. The value must exactly
# match one of the authorized redirect URIs for the OAuth 2.0 client, which you
# configured in the API Console. If this value doesn't match an authorized URI,
# you will get a 'redirect_uri_mismatch' error.
flow.redirect_uri = 'https://www.example.com/oauth2callback'

# Generate URL for request to Google's OAuth 2.0 server.
# Use kwargs to set optional request parameters.
authorization_url, state = flow.authorization_url(
    # Recommended, enable offline access so that you can refresh an access token without
    # re-prompting the user for permission. Recommended for web server apps.
    access_type='offline',
    # Optional, enable incremental authorization. Recommended as a best practice.
    include_granted_scopes='true',
    # Recommended, state value can increase your assurance that an incoming connection is the result
    # of an authentication request.
    state=sample_passthrough_value,
    # Optional, if your application knows which user is trying to authenticate, it can use this
    # parameter to provide a hint to the Google Authentication Server.
    login_hint='hint@example.com',
    # Optional, set prompt to 'consent' will prompt the user for consent
    prompt='consent')

Rita

Usa el archivo client_secrets.json que creaste para configurar un objeto de cliente en tu aplicación. Cuando configuras un objeto de cliente, especificas los permisos a los que debe acceder la aplicación, junto con la URL que dirige al extremo de autenticación de la aplicación, que manejará la respuesta del servidor de OAuth 2.0.

Por ejemplo, este código solicita acceso de solo lectura y sin conexión a la cuenta de Google Drive de un usuario:

require 'google/apis/drive_v3'
require "googleauth"
require 'googleauth/stores/redis_token_store'

client_id = Google::Auth::ClientId.from_file('/path/to/client_secret.json')
scope = 'https://www.googleapis.com/auth/drive.metadata.readonly'
token_store = Google::Auth::Stores::RedisTokenStore.new(redis: Redis.new)
authorizer = Google::Auth::WebUserAuthorizer.new(client_id, scope, token_store, '/oauth2callback')

Tu aplicación usa el objeto de cliente para realizar operaciones de OAuth 2.0, como generar URLs de solicitud de autorización y aplicar tokens de acceso a solicitudes HTTP.

Node.js

El siguiente fragmento de código crea un objeto google.auth.OAuth2, que define los parámetros en la solicitud de autorización.

Ese objeto usa información de tu archivo client_secret.json para identificar tu aplicación. Si quieres solicitar permisos a un usuario para recuperar un token de acceso, debes redireccionarlo a una página de consentimiento. Para crear una URL de la página de consentimiento, haz lo siguiente:

const {google} = require('googleapis');

/**
 * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI
 * from the client_secret.json file. To get these credentials for your application, visit
 * https://console.cloud.google.com/apis/credentials.
 */
const oauth2Client = new google.auth.OAuth2(
  YOUR_CLIENT_ID,
  YOUR_CLIENT_SECRET,
  YOUR_REDIRECT_URL
);

// Access scopes for read-only Drive activity.
const scopes = [
  'https://www.googleapis.com/auth/drive.metadata.readonly'
];

// Generate a url that asks permissions for the Drive activity scope
const authorizationUrl = oauth2Client.generateAuthUrl({
  // 'online' (default) or 'offline' (gets refresh_token)
  access_type: 'offline',
  /** Pass in the scopes array defined above.
    * Alternatively, if only one scope is needed, you can pass a scope URL as a string */
  scope: scopes,
  // Enable incremental authorization. Recommended as a best practice.
  include_granted_scopes: true
});

Nota importante: Solo se muestra refresh_token en la primera autorización. Obtén más detalles aquí.

HTTP/REST

El extremo de OAuth 2.0 de Google se encuentra en https://accounts.google.com/o/oauth2/v2/auth. Solo se puede acceder a este extremo a través de HTTPS. Se rechazaron las conexiones HTTP simples.

El servidor de autorización de Google admite los siguientes parámetros de cadena de consulta para aplicaciones de servidor web:

Parámetros
client_id Obligatorio

El ID de cliente de tu aplicación. Puedes encontrar este valor en API Console Credentials page.

redirect_uri Obligatorio

Determina a dónde el servidor de la API redirecciona al usuario una vez que completa el flujo de autorización. El valor debe coincidir exactamente con uno de los URI de redireccionamiento autorizados para el cliente de OAuth 2.0 que configuraste en la Credentials pagede API Consolede tu cliente. Si este valor no coincide con un URI de redireccionamiento autorizado para el client_id proporcionado, recibirás un error redirect_uri_mismatch.

Ten en cuenta que el esquema http o https, la mayúscula y la barra final ("/") deben coincidir.

response_type Obligatorio

Determina si el extremo de Google OAuth 2.0 muestra un código de autorización.

Establece el valor del parámetro en code para las aplicaciones de servidor web.

scope Obligatorio

Una lista de permisos delimitados por espacios que identifican los recursos a los que tu aplicación podría acceder en nombre del usuario. Estos valores informan la pantalla de consentimiento que Google muestra al usuario.

Los permisos permiten que tu aplicación solo solicite acceso a los recursos que necesita y, a su vez, permiten que los usuarios controlen la cantidad de acceso que otorgan a tu aplicación. Por lo tanto, existe una relación inversa entre la cantidad de permisos solicitados y la probabilidad de obtener el consentimiento del usuario.

Recomendamos que tu aplicación solicite acceso a los permisos de autorización en contexto siempre que sea posible. Si solicitas acceso a los datos del usuario en contexto, mediante la autorización incremental, ayudarás a los usuarios a comprender más fácilmente por qué tu aplicación necesita el acceso que solicita.

access_type Se recomienda

Indica si tu aplicación puede actualizar los tokens de acceso cuando el usuario no está presente en el navegador. Los valores de parámetro válidos son online, que es el valor predeterminado, y offline.

Establece el valor en offline si tu aplicación necesita actualizar los tokens de acceso cuando el usuario no está presente en el navegador. Este es el método para actualizar tokens de acceso que se describe más adelante en este documento. Este valor le indica al servidor de autorización de Google que muestre un token de actualización y un token de acceso la primera vez que tu aplicación intercambie un código de autorización por tokens.

state Se recomienda

Especifica cualquier valor de string que tu aplicación use para mantener el estado entre tu solicitud de autorización y la respuesta del servidor de autorización. El servidor muestra el valor exacto que envías como un par name=value en el componente de consulta de URL (?) del redirect_uri después de que el usuario da su consentimiento o rechaza la solicitud de acceso de tu aplicación.

Puedes usar este parámetro para varios fines, como dirigir al usuario al recurso correcto en tu aplicación, enviar nonces y mitigar la falsificación de solicitudes entre sitios. Como tu redirect_uri es posible adivinar, usar un valor state puede aumentar la seguridad de que una conexión entrante sea el resultado de una solicitud de autenticación. Si generas una string aleatoria o codificas el hash de una cookie o algún otro valor que capture el estado del cliente, puedes validar la respuesta para garantizar, además, que la solicitud y la respuesta se originen en el mismo navegador y brindar protección contra ataques como la falsificación de solicitudes entre sitios. Consulta la documentación de OpenID Connect para ver un ejemplo de cómo crear y confirmar un token state.

include_granted_scopes Opcional

Permite que las aplicaciones usen la autorización incremental para solicitar acceso a permisos adicionales en contexto. Si configuras el valor de este parámetro en true y se otorga la solicitud de autorización, el nuevo token de acceso también abarcará todos los permisos a los que el usuario otorgó acceso a la aplicación anteriormente. Consulta la sección sobre autorización incremental para ver ejemplos.

login_hint Opcional

Si tu aplicación sabe qué usuario está intentando autenticarse, puede usar este parámetro para proporcionar una sugerencia al servidor de autenticación de Google. El servidor usa la sugerencia para simplificar el flujo de acceso, ya sea completando previamente el campo de correo electrónico en el formulario de acceso o seleccionando la sesión de acceso múltiple apropiada.

Establece el valor del parámetro en una dirección de correo electrónico o un identificador sub, que sea equivalente al ID de Google del usuario.

prompt Opcional

Una lista de instrucciones delimitadas por espacios y que distinguen mayúsculas de minúsculas de los mensajes para presentar al usuario. Si no especificas este parámetro, se le pedirá al usuario solo la primera vez que tu proyecto solicite acceso. Consulta Cómo solicitar un nuevo consentimiento para obtener más información.

Los valores posibles son:

none No muestres ninguna pantalla de autenticación o consentimiento. No se debe especificar con otros valores.
consent Solicita el consentimiento del usuario.
select_account Pídele al usuario que seleccione una cuenta.

Paso 2: Redireccionar al servidor de OAuth 2.0 de Google

Redirecciona al usuario al servidor de OAuth 2.0 de Google para iniciar el proceso de autenticación y autorización. Por lo general, esto ocurre cuando tu aplicación necesita acceder a los datos del usuario por primera vez. En el caso de la autorización incremental, este paso también ocurre cuando tu aplicación necesita acceder por primera vez a recursos adicionales a los que todavía no tiene permiso para acceder.

PHP

  1. Genera una URL para solicitar acceso desde el servidor de OAuth 2.0 de Google:
    $auth_url = $client->createAuthUrl();
  2. Redireccionar al usuario a $auth_url:
    header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));

Python

En este ejemplo, se muestra cómo redireccionar al usuario a la URL de autorización con el framework de aplicaciones web Flask:

return flask.redirect(authorization_url)

Rita

  1. Genera una URL para solicitar acceso desde el servidor de OAuth 2.0 de Google:
    auth_uri = authorizer.get_authorization_url(login_hint: user_id, request: request)
  2. Redireccionar el usuario a auth_uri.

Node.js

  1. Usa la URL generada authorizationUrl del método generateAuthUrl del paso 1 para solicitar acceso al servidor OAuth 2.0 de Google.
  2. Redireccionar el usuario a authorizationUrl.
    res.writeHead(301, { "Location": authorizationUrl });

HTTP/REST

Sample redirect to Google's authorization server

An example URL is shown below, with line breaks and spaces for readability.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

Después de crear la URL de solicitud, redirecciona al usuario a ella.

El servidor OAuth 2.0 de Google autentica al usuario y obtiene su consentimiento para que tu aplicación acceda a los permisos solicitados. La respuesta se envía de vuelta a tu aplicación mediante la URL de redireccionamiento que especificaste.

Paso 3: Google solicita el consentimiento del usuario

En este paso, el usuario decide si le otorga a tu aplicación el acceso solicitado. En esta etapa, Google muestra una ventana de consentimiento que muestra el nombre de tu aplicación y los servicios de la API de Google a los que solicita permiso de acceso con las credenciales de autorización del usuario y un resumen de los permisos de acceso que se otorgarán. Luego, el usuario podrá otorgar acceso a uno o más permisos solicitados por la aplicación, o rechazar la solicitud.

En esta etapa, tu aplicación no necesita realizar ninguna acción, ya que espera la respuesta del servidor de OAuth 2.0 de Google que indique si se otorgó algún acceso. Esa respuesta se explica en el siguiente paso.

Errores

Las solicitudes al extremo de autorización de OAuth 2.0 de Google pueden mostrar mensajes de error para el usuario en lugar de los flujos de autenticación y autorización esperados. A continuación, se indican los códigos de error comunes y las soluciones sugeridas.

admin_policy_enforced

La Cuenta de Google no puede autorizar uno o más permisos solicitados debido a las políticas del administrador de Google Workspace. Consulta el artículo de ayuda para administradores de Google Workspace: Controla qué apps internas y de terceros acceden a los datos de Google Workspace para obtener más información sobre cómo un administrador puede restringir el acceso a todos los permisos o a los permisos sensibles y restringidos hasta que se otorgue acceso de manera explícita a tu ID de cliente de OAuth.

disallowed_useragent

El extremo de autorización se muestra dentro de un usuario-agente incorporado no permitido por las políticas de OAuth 2.0 de Google.

Android

Los desarrolladores de Android pueden encontrar este mensaje de error cuando abren solicitudes de autorización en android.webkit.WebView. En su lugar, los desarrolladores deben usar bibliotecas de Android, como el Acceso con Google para Android o AppAuth para Android de OpenID Foundation.

Los desarrolladores web pueden encontrar este error cuando una app para Android abre un vínculo web general en un usuario-agente incorporado y un usuario navega al extremo de autorización de OAuth 2.0 de Google desde tu sitio. Los desarrolladores deben permitir que se abran vínculos generales en el controlador de vínculos predeterminado del sistema operativo, que incluye los controladores de Android App Links o la app del navegador predeterminada. La biblioteca de pestañas personalizadas de Android también es una opción compatible.

iOS

Los desarrolladores de iOS y macOS pueden encontrar este error cuando abren solicitudes de autorización en WKWebView. En su lugar, los desarrolladores deben usar bibliotecas para iOS, como el Acceso con Google para iOS o AppAuth para iOS de OpenID Foundation.

Los desarrolladores web pueden encontrar este error cuando una app para iOS o macOS abre un vínculo web general en un usuario-agente incorporado y un usuario navega al extremo de autorización de OAuth 2.0 de Google desde tu sitio. Los desarrolladores deben permitir que se abran vínculos generales en el controlador de vínculos predeterminado del sistema operativo, que incluye controladores de vínculos universales o la app de navegador predeterminada. La biblioteca SFSafariViewController también es una opción compatible.

org_internal

El ID de cliente de OAuth en la solicitud es parte de un proyecto que limita el acceso a las Cuentas de Google en una organización de Google Cloud específica. Para obtener más información sobre esta opción de configuración, consulta la sección Tipo de usuario en el artículo de ayuda Configura la pantalla de consentimiento de OAuth.

invalid_client

El secreto del cliente de OAuth es incorrecto. Revisa la configuración del cliente OAuth, incluidos el ID de cliente y el secreto que se usaron para esta solicitud.

invalid_grant

Cuando actualizas un token de acceso o usas la autorización incremental, es posible que el token haya vencido o se haya invalidado. Vuelve a autenticar al usuario y solicita su consentimiento para obtener tokens nuevos. Si sigues viendo este error, asegúrate de que la aplicación se haya configurado de forma correcta y de usar los tokens y parámetros correctos en tu solicitud. De lo contrario, es posible que la cuenta de usuario se haya borrado o inhabilitado.

redirect_uri_mismatch

El redirect_uri pasado en la solicitud de autorización no coincide con un URI de redireccionamiento autorizado para el ID de cliente de OAuth. Revisa los URIs de redireccionamiento autorizados en el Google API Console Credentials page.

El parámetro redirect_uri puede hacer referencia al flujo fuera de banda (OOB) de OAuth que dejó de estar disponible y ya no se admite. Consulta la guía de migración para actualizar tu integración.

invalid_request

Se produjo un error con la solicitud que realizaste. Esto podría deberse a varios motivos:

  • La solicitud no tenía el formato correcto
  • Faltan parámetros obligatorios en la solicitud
  • La solicitud usa un método de autorización que Google no admite. Verifica que tu integración de OAuth use un método de integración recomendado

Paso 4: Controla la respuesta del servidor de OAuth 2.0

El servidor de OAuth 2.0 responde a la solicitud de acceso de tu aplicación con la URL especificada en la solicitud.

Si el usuario aprueba la solicitud de acceso, la respuesta contendrá un código de autorización. Si no la aprueba, entonces esta contendrá un mensaje de error. El código de autorización o el mensaje de error que se muestra al servidor web aparece en la cadena de consulta, como se observa a continuación:

Una respuesta de error:

https://oauth2.example.com/auth?error=access_denied

Una respuesta de código de autorización:

https://oauth2.example.com/auth?code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7

Ejemplo de respuesta del servidor de OAuth 2.0

Para probar este flujo, haz clic en la siguiente URL de muestra, que solicita acceso de solo lectura para ver los metadatos de los archivos en tu unidad de Google Drive:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

Después de completar el flujo de OAuth 2.0, se te debería redireccionar a http://localhost/oauth2callback, que probablemente genere un error 404 NOT FOUND, a menos que tu máquina local entregue un archivo en esa dirección. En el siguiente paso, se proporcionan más detalles sobre la información que se muestra en el URI cuando se redirecciona al usuario a tu aplicación.

Paso 5: Intercambia el código de autorización por los tokens de acceso y actualización

Después de que el servidor web recibe el código de autorización, puede intercambiarlo por un token de acceso.

PHP

Para intercambiar un código de autorización por un token de acceso, usa el método authenticate:

$client->authenticate($_GET['code']);

Puedes recuperar el token de acceso con el método getAccessToken:

$access_token = $client->getAccessToken();

Python

En la página de devolución de llamada, usa la biblioteca google-auth para verificar la respuesta del servidor de autorización. Luego, usa el método flow.fetch_token para intercambiar el código de autorización en esa respuesta por un token de acceso:

state = flask.session['state']
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'],
    state=state)
flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

authorization_response = flask.request.url
flow.fetch_token(authorization_response=authorization_response)

# Store the credentials in the session.
# ACTION ITEM for developers:
#     Store user's access and refresh tokens in your data store if
#     incorporating this code into your real app.
credentials = flow.credentials
flask.session['credentials'] = {
    'token': credentials.token,
    'refresh_token': credentials.refresh_token,
    'token_uri': credentials.token_uri,
    'client_id': credentials.client_id,
    'client_secret': credentials.client_secret,
    'scopes': credentials.scopes}

Rita

En la página de devolución de llamada, usa la biblioteca googleauth para verificar la respuesta del servidor de autorización. Usa el método authorizer.handle_auth_callback_deferred para guardar el código de autorización y redireccionar a la URL que solicitó la autorización en un principio. De esta manera, se aplaza el intercambio del código, ya que se almacenan temporalmente los resultados en la sesión del usuario.

  target_url = Google::Auth::WebUserAuthorizer.handle_auth_callback_deferred(request)
  redirect target_url

Node.js

Para intercambiar un código de autorización por un token de acceso, usa el método getToken:

const url = require('url');

// Receive the callback from Google's OAuth 2.0 server.
if (req.url.startsWith('/oauth2callback')) {
  // Handle the OAuth 2.0 server response
  let q = url.parse(req.url, true).query;

  // Get access and refresh tokens (if access_type is offline)
  let { tokens } = await oauth2Client.getToken(q.code);
  oauth2Client.setCredentials(tokens);
}

HTTP/REST

Para intercambiar un código de autorización por un token de acceso, llama al extremo https://oauth2.googleapis.com/token y configura los siguientes parámetros:

Campos
client_id El ID de cliente obtenido de API Console Credentials page.
client_secret El secreto de cliente obtenido de API Console Credentials page.
code El código de autorización que se muestra en la solicitud inicial.
grant_type Como se define en la especificación de OAuth 2.0, el valor de este campo se debe establecer en authorization_code.
redirect_uri Uno de los URI de redireccionamiento enumerados para tu proyecto en la API Console Credentials page del client_id especificado.

En el siguiente fragmento, se muestra una solicitud de muestra:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your_client_id&
client_secret=your_client_secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

Para responder a esta solicitud, Google muestra un objeto JSON que contiene un token de acceso de corta duración y un token de actualización. Ten en cuenta que el token de actualización solo se muestra si tu aplicación estableció el parámetro access_type en offline en la solicitud inicial al servidor de autorización de Google.

La respuesta contiene los siguientes campos:

Campos
access_token El token que envía la aplicación para autorizar una solicitud a la API de Google.
expires_in La vida útil restante del token de acceso, expresada en segundos.
refresh_token Un token que puedes usar para obtener un token de acceso nuevo. Los tokens de actualización son válidos hasta que el usuario revoque el acceso. De nuevo, este campo solo está presente en esta respuesta si estableces el parámetro access_type en offline en la solicitud inicial al servidor de autorización de Google.
scope Los permisos de acceso que otorga access_token, expresados como una lista de strings delimitadas por espacios y que distinguen mayúsculas de minúsculas.
token_type El tipo de token que se muestra. En este momento, el valor de este campo siempre es Bearer.

En el siguiente fragmento, se muestra una respuesta de muestra:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "token_type": "Bearer",
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

Errores

Cuando se intercambia el código de autorización por un token de acceso, es posible que aparezca el siguiente error en lugar de la respuesta esperada. A continuación, se indican los códigos de error comunes y las soluciones sugeridas.

invalid_grant

El código de autorización proporcionado no es válido o tiene un formato incorrecto. Reinicia el proceso de OAuth para solicitar un código nuevo y solicitar el consentimiento del usuario nuevamente.

Llama a las APIs de Google

PHP

Usa el token de acceso para llamar a las APIs de Google completando los siguientes pasos:

  1. Si necesitas aplicar un token de acceso a un objeto Google\Client nuevo (por ejemplo, si almacenaste el token de acceso en una sesión de usuario), usa el método setAccessToken:
    $client->setAccessToken($access_token);
  2. Compila un objeto de servicio para la API a la que quieres llamar. Para compilar un objeto de servicio, proporciona un objeto Google\Client autorizado al constructor de la API a la que deseas llamar. Por ejemplo, para llamar a la API de Drive:
    $drive = new Google\Service\Drive($client);
  3. Realiza solicitudes al servicio de la API con la interfaz que proporciona el objeto de servicio. Por ejemplo, para mostrar una lista de los archivos en la unidad de Google Drive del usuario autenticado:
    $files = $drive->files->listFiles(array())->getItems();

Python

Después de obtener un token de acceso, tu aplicación puede usarlo para autorizar solicitudes a la API en nombre de una cuenta de usuario o de servicio determinadas. Usa las credenciales de autorización específicas del usuario a fin de compilar un objeto de servicio para la API a la que quieres llamar y, luego, usa ese objeto para realizar solicitudes autorizadas a la API.

  1. Compila un objeto de servicio para la API a la que quieres llamar. Para compilar un objeto de servicio, debes llamar al método build de la biblioteca googleapiclient.discovery con el nombre, la versión de la API y las credenciales de usuario: Por ejemplo, para llamar a la versión 3 de la API de Drive:
    from googleapiclient.discovery import build
    
    drive = build('drive', 'v2', credentials=credentials)
  2. Realiza solicitudes al servicio de la API con la interfaz que proporciona el objeto de servicio. Por ejemplo, para mostrar una lista de los archivos en la unidad de Google Drive del usuario autenticado:
    files = drive.files().list().execute()

Rita

Después de obtener un token de acceso, tu aplicación puede usar ese token para realizar solicitudes a la API en nombre de una cuenta de usuario o de servicio determinada. Usa las credenciales de autorización específicas del usuario a fin de compilar un objeto de servicio para la API a la que quieres llamar y, luego, usa ese objeto para realizar solicitudes autorizadas a la API.

  1. Compila un objeto de servicio para la API a la que quieres llamar. Por ejemplo, para llamar a la versión 3 de la API de Drive:
    drive = Google::Apis::DriveV3::DriveService.new
  2. Configura las credenciales en el servicio:
    drive.authorization = credentials
  3. Realiza solicitudes al servicio de la API con la interfaz que proporciona el objeto de servicio. Por ejemplo, para ver una lista de los archivos en la unidad de Google Drive del usuario autenticado, haz lo siguiente:
    files = drive.list_files

Como alternativa, se puede brindar la autorización por método si proporcionas el parámetro options a un método:

files = drive.list_files(options: { authorization: credentials })

Node.js

Después de obtener un token de acceso y configurarlo en el objeto OAuth2, usa el objeto para llamar a las APIs de Google. Tu aplicación puede usar ese token para autorizar solicitudes a la API en nombre de una cuenta de usuario o de servicio determinada. Compila un objeto de servicio para la API a la que quieres llamar.

const { google } = require('googleapis');

// Example of using Google Drive API to list filenames in user's Drive.
const drive = google.drive('v3');
drive.files.list({
  auth: oauth2Client,
  pageSize: 10,
  fields: 'nextPageToken, files(id, name)',
}, (err1, res1) => {
  if (err1) return console.log('The API returned an error: ' + err1);
  const files = res1.data.files;
  if (files.length) {
    console.log('Files:');
    files.map((file) => {
      console.log(`${file.name} (${file.id})`);
    });
  } else {
    console.log('No files found.');
  }
});

HTTP/REST

Una vez que tu aplicación obtiene un token de acceso, puedes usarlo para realizar llamadas a una API de Google en nombre de una cuenta de usuario determinada si se otorgaron los permisos de acceso que requiere la API. Para ello, incluye el token de acceso en una solicitud a la API. Para ello, incluye un parámetro de consulta access_token o un valor Bearer del encabezado HTTP Authorization. Cuando es posible, se prefiere el encabezado HTTP, ya que las cadenas de consulta tienden a ser visibles en los registros del servidor. En la mayoría de los casos, puedes usar una biblioteca cliente para configurar tus llamadas a las APIs de Google (por ejemplo, cuando llamas a la API de Drive Files).

Puedes probar todas las API de Google y ver sus alcances en OAuth 2.0 Playground.

Ejemplos de GET HTTP

Una llamada al extremo drive.files (la API de Drive Files) con el encabezado HTTP Authorization: Bearer podría verse de la siguiente manera. Ten en cuenta que debes especificar tu propio token de acceso:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

Esta es una llamada a la misma API para el usuario autenticado que usa el parámetro de cadena de consulta access_token:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl ejemplos

Puedes probar estos comandos con la aplicación de línea de comandos curl. A continuación, se muestra un ejemplo en el que se usa la opción de encabezado HTTP (opción preferida):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

Como alternativa, puedes usar la opción del parámetro de cadena de consulta:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

Ejemplo completo

En el siguiente ejemplo, se imprime una lista de archivos con formato JSON en la unidad de Google Drive de un usuario después de que este se autentica y da su consentimiento para que la aplicación acceda a sus metadatos de Drive.

PHP

Para ejecutar este ejemplo, haz lo siguiente:

  1. En API Console, agrega la URL de la máquina local a la lista de URLs de redireccionamiento. Por ejemplo, agrega http://localhost:8080.
  2. Crea un directorio nuevo y cámbialo. Por ejemplo:
    mkdir ~/php-oauth2-example
    cd ~/php-oauth2-example
  3. Instala la biblioteca cliente de la API de Google para PHP con Composer:
    composer require google/apiclient:^2.10
  4. Crea los archivos index.php y oauth2callback.php con el siguiente contenido.
  5. Ejecuta el ejemplo con un servidor web configurado para entregar PHP. Si usas PHP 5.6 o una versión más reciente, puedes usar el servidor web de prueba integrado de PHP:
    php -S localhost:8080 ~/php-oauth2-example
    .

index.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google\Client();
$client->setAuthConfig('client_secrets.json');
$client->addScope(Google\Service\Drive::DRIVE_METADATA_READONLY);

if (isset($_SESSION['access_token']) && $_SESSION['access_token']) {
  $client->setAccessToken($_SESSION['access_token']);
  $drive = new Google\Service\Drive($client);
  $files = $drive->files->listFiles(array())->getItems();
  echo json_encode($files);
} else {
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

oauth2callback.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google\Client();
$client->setAuthConfigFile('client_secrets.json');
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
$client->addScope(Google\Service\Drive::DRIVE_METADATA_READONLY);

if (! isset($_GET['code'])) {
  $auth_url = $client->createAuthUrl();
  header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));
} else {
  $client->authenticate($_GET['code']);
  $_SESSION['access_token'] = $client->getAccessToken();
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

Python

En este ejemplo, se usa el framework de Flask. Ejecuta una aplicación web en http://localhost:8080 que te permite probar el flujo de OAuth 2.0. Si accedes a esa URL, deberías ver cuatro vínculos:

  • Prueba una solicitud a la API: Este vínculo dirige a una página que intenta ejecutar una solicitud a la API de muestra. Si es necesario, inicia el flujo de autorización. Si se ejecuta de forma correcta, la página muestra la respuesta de la API.
  • Prueba el flujo de Auth directamente: este vínculo dirige a una página que intenta enviar al usuario a través del flujo de autorización. La app solicita permiso para enviar solicitudes autorizadas a la API en nombre del usuario.
  • Revocar credenciales actuales: Este vínculo dirige a una página que revoca permisos que el usuario ya otorgó a la aplicación.
  • Clear Flask session credentials: Este vínculo borra las credenciales de autorización que están almacenadas en la sesión de Flask. Esto te permite ver qué sucedería si un usuario que ya había otorgado permiso a tu app intentara ejecutar una solicitud a la API en una sesión nueva. También te permite ver la respuesta de la API que recibiría la app si un usuario hubiera revocado los permisos que se le otorgaron, y esta aún intentaba autorizar una solicitud con un token de acceso revocado.
# -*- coding: utf-8 -*-

import os
import flask
import requests

import google.oauth2.credentials
import google_auth_oauthlib.flow
import googleapiclient.discovery

# This variable specifies the name of a file that contains the OAuth 2.0
# information for this application, including its client_id and client_secret.
CLIENT_SECRETS_FILE = "client_secret.json"

# This OAuth 2.0 access scope allows for full read/write access to the
# authenticated user's account and requires requests to use an SSL connection.
SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly']
API_SERVICE_NAME = 'drive'
API_VERSION = 'v2'

app = flask.Flask(__name__)
# Note: A secret key is included in the sample so that it works.
# If you use this code in your application, replace this with a truly secret
# key. See https://flask.palletsprojects.com/quickstart/#sessions.
app.secret_key = 'REPLACE ME - this value is here as a placeholder.'


@app.route('/')
def index():
  return print_index_table()


@app.route('/test')
def test_api_request():
  if 'credentials' not in flask.session:
    return flask.redirect('authorize')

  # Load credentials from the session.
  credentials = google.oauth2.credentials.Credentials(
      **flask.session['credentials'])

  drive = googleapiclient.discovery.build(
      API_SERVICE_NAME, API_VERSION, credentials=credentials)

  files = drive.files().list().execute()

  # Save credentials back to session in case access token was refreshed.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.jsonify(**files)


@app.route('/authorize')
def authorize():
  # Create flow instance to manage the OAuth 2.0 Authorization Grant Flow steps.
  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES)

  # The URI created here must exactly match one of the authorized redirect URIs
  # for the OAuth 2.0 client, which you configured in the API Console. If this
  # value doesn't match an authorized URI, you will get a 'redirect_uri_mismatch'
  # error.
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  authorization_url, state = flow.authorization_url(
      # Enable offline access so that you can refresh an access token without
      # re-prompting the user for permission. Recommended for web server apps.
      access_type='offline',
      # Enable incremental authorization. Recommended as a best practice.
      include_granted_scopes='true')

  # Store the state so the callback can verify the auth server response.
  flask.session['state'] = state

  return flask.redirect(authorization_url)


@app.route('/oauth2callback')
def oauth2callback():
  # Specify the state when creating the flow in the callback so that it can
  # verified in the authorization server response.
  state = flask.session['state']

  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES, state=state)
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  # Use the authorization server's response to fetch the OAuth 2.0 tokens.
  authorization_response = flask.request.url
  flow.fetch_token(authorization_response=authorization_response)

  # Store credentials in the session.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  credentials = flow.credentials
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.redirect(flask.url_for('test_api_request'))


@app.route('/revoke')
def revoke():
  if 'credentials' not in flask.session:
    return ('You need to <a href="/authorize">authorize</a> before ' +
            'testing the code to revoke credentials.')

  credentials = google.oauth2.credentials.Credentials(
    **flask.session['credentials'])

  revoke = requests.post('https://oauth2.googleapis.com/revoke',
      params={'token': credentials.token},
      headers = {'content-type': 'application/x-www-form-urlencoded'})

  status_code = getattr(revoke, 'status_code')
  if status_code == 200:
    return('Credentials successfully revoked.' + print_index_table())
  else:
    return('An error occurred.' + print_index_table())


@app.route('/clear')
def clear_credentials():
  if 'credentials' in flask.session:
    del flask.session['credentials']
  return ('Credentials have been cleared.<br><br>' +
          print_index_table())


def credentials_to_dict(credentials):
  return {'token': credentials.token,
          'refresh_token': credentials.refresh_token,
          'token_uri': credentials.token_uri,
          'client_id': credentials.client_id,
          'client_secret': credentials.client_secret,
          'scopes': credentials.scopes}

def print_index_table():
  return ('<table>' +
          '<tr><td><a href="/test">Test an API request</a></td>' +
          '<td>Submit an API request and see a formatted JSON response. ' +
          '    Go through the authorization flow if there are no stored ' +
          '    credentials for the user.</td></tr>' +
          '<tr><td><a href="/authorize">Test the auth flow directly</a></td>' +
          '<td>Go directly to the authorization flow. If there are stored ' +
          '    credentials, you still might not be prompted to reauthorize ' +
          '    the application.</td></tr>' +
          '<tr><td><a href="/revoke">Revoke current credentials</a></td>' +
          '<td>Revoke the access token associated with the current user ' +
          '    session. After revoking credentials, if you go to the test ' +
          '    page, you should see an <code>invalid_grant</code> error.' +
          '</td></tr>' +
          '<tr><td><a href="/clear">Clear Flask session credentials</a></td>' +
          '<td>Clear the access token currently stored in the user session. ' +
          '    After clearing the token, if you <a href="/test">test the ' +
          '    API request</a> again, you should go back to the auth flow.' +
          '</td></tr></table>')


if __name__ == '__main__':
  # When running locally, disable OAuthlib's HTTPs verification.
  # ACTION ITEM for developers:
  #     When running in production *do not* leave this option enabled.
  os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1'

  # Specify a hostname and port that are set as a valid redirect URI
  # for your API project in the Google API Console.
  app.run('localhost', 8080, debug=True)

Rita

En este ejemplo, se usa el framework de Sinatra.

require 'google/apis/drive_v3'
require 'sinatra'
require 'googleauth'
require 'googleauth/stores/redis_token_store'

configure do
  enable :sessions

  set :client_id, Google::Auth::ClientId.from_file('/path/to/client_secret.json')
  set :scope, Google::Apis::DriveV3::AUTH_DRIVE_METADATA_READONLY
  set :token_store, Google::Auth::Stores::RedisTokenStore.new(redis: Redis.new)
  set :authorizer, Google::Auth::WebUserAuthorizer.new(settings.client_id, settings.scope, settings.token_store, '/oauth2callback')
end

get '/' do
  user_id = settings.client_id.id
  credentials = settings.authorizer.get_credentials(user_id, request)
  if credentials.nil?
    redirect settings.authorizer.get_authorization_url(login_hint: user_id, request: request)
  end
  drive = Google::Apis::DriveV3::DriveService.new
  files = drive.list_files(options: { authorization: credentials })
  "<pre>#{JSON.pretty_generate(files.to_h)}</pre>"
end

get '/oauth2callback' do
  target_url = Google::Auth::WebUserAuthorizer.handle_auth_callback_deferred(request)
  redirect target_url
end

Node.js

Para ejecutar este ejemplo, haz lo siguiente:

  1. En API Console, agrega la URL de la máquina local a la lista de URLs de redireccionamiento. Por ejemplo, agrega http://localhost.
  2. Asegúrate de tener instalada la LTS de mantenimiento, la LTS activa o la versión actual de Node.js.
  3. Crea un directorio nuevo y cámbialo. Por ejemplo:
    mkdir ~/nodejs-oauth2-example
    cd ~/nodejs-oauth2-example
  4. Install the Google API Client Library for Node.js using npm:
    npm install googleapis
  5. Crea los archivos main.js con el siguiente contenido.
  6. Ejecuta el ejemplo:
    node .\main.js

main.js

const http = require('http');
const https = require('https');
const url = require('url');
const { google } = require('googleapis');

/**
 * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI.
 * To get these credentials for your application, visit
 * https://console.cloud.google.com/apis/credentials.
 */
const oauth2Client = new google.auth.OAuth2(
  YOUR_CLIENT_ID,
  YOUR_CLIENT_SECRET,
  YOUR_REDIRECT_URL
);

// Access scopes for read-only Drive activity.
const scopes = [
  'https://www.googleapis.com/auth/drive.metadata.readonly'
];

// Generate a url that asks permissions for the Drive activity scope
const authorizationUrl = oauth2Client.generateAuthUrl({
  // 'online' (default) or 'offline' (gets refresh_token)
  access_type: 'offline',
  /** Pass in the scopes array defined above.
    * Alternatively, if only one scope is needed, you can pass a scope URL as a string */
  scope: scopes,
  // Enable incremental authorization. Recommended as a best practice.
  include_granted_scopes: true
});

/* Global variable that stores user credential in this code example.
 * ACTION ITEM for developers:
 *   Store user's refresh token in your data store if
 *   incorporating this code into your real app.
 *   For more information on handling refresh tokens,
 *   see https://github.com/googleapis/google-api-nodejs-client#handling-refresh-tokens
 */
let userCredential = null;

async function main() {
  const server = http.createServer(async function (req, res) {
    // Example on redirecting user to Google's OAuth 2.0 server.
    if (req.url == '/') {
      res.writeHead(301, { "Location": authorizationUrl });
    }

    // Receive the callback from Google's OAuth 2.0 server.
    if (req.url.startsWith('/oauth2callback')) {
      // Handle the OAuth 2.0 server response
      let q = url.parse(req.url, true).query;

      if (q.error) { // An error response e.g. error=access_denied
        console.log('Error:' + q.error);
      } else { // Get access and refresh tokens (if access_type is offline)
        let { tokens } = await oauth2Client.getToken(q.code);
        oauth2Client.setCredentials(tokens);

        /** Save credential to the global variable in case access token was refreshed.
          * ACTION ITEM: In a production app, you likely want to save the refresh token
          *              in a secure persistent database instead. */
        userCredential = tokens;

        // Example of using Google Drive API to list filenames in user's Drive.
        const drive = google.drive('v3');
        drive.files.list({
          auth: oauth2Client,
          pageSize: 10,
          fields: 'nextPageToken, files(id, name)',
        }, (err1, res1) => {
          if (err1) return console.log('The API returned an error: ' + err1);
          const files = res1.data.files;
          if (files.length) {
            console.log('Files:');
            files.map((file) => {
              console.log(`${file.name} (${file.id})`);
            });
          } else {
            console.log('No files found.');
          }
        });
      }
    }

    // Example on revoking a token
    if (req.url == '/revoke') {
      // Build the string for the POST request
      let postData = "token=" + userCredential.access_token;

      // Options for POST request to Google's OAuth 2.0 server to revoke a token
      let postOptions = {
        host: 'oauth2.googleapis.com',
        port: '443',
        path: '/revoke',
        method: 'POST',
        headers: {
          'Content-Type': 'application/x-www-form-urlencoded',
          'Content-Length': Buffer.byteLength(postData)
        }
      };

      // Set up the request
      const postReq = https.request(postOptions, function (res) {
        res.setEncoding('utf8');
        res.on('data', d => {
          console.log('Response: ' + d);
        });
      });

      postReq.on('error', error => {
        console.log(error)
      });

      // Post the request with data
      postReq.write(postData);
      postReq.end();
    }
    res.end();
  }).listen(80);
}
main().catch(console.error);

HTTP/REST

En este ejemplo de Python, se usa el framework de Flask y la biblioteca de solicitudes para demostrar el flujo web de OAuth 2.0. Recomendamos usar la biblioteca cliente de las API de Google para Python en este flujo. (en el ejemplo de la pestaña Python, sí se usa la biblioteca cliente).

import json

import flask
import requests


app = flask.Flask(__name__)

CLIENT_ID = '123456789.apps.googleusercontent.com'
CLIENT_SECRET = 'abc123'  # Read from a file or environmental variable in a real app
SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly'
REDIRECT_URI = 'http://example.com/oauth2callback'


@app.route('/')
def index():
  if 'credentials' not in flask.session:
    return flask.redirect(flask.url_for('oauth2callback'))
  credentials = json.loads(flask.session['credentials'])
  if credentials['expires_in'] <= 0:
    return flask.redirect(flask.url_for('oauth2callback'))
  else:
    headers = {'Authorization': 'Bearer {}'.format(credentials['access_token'])}
    req_uri = 'https://www.googleapis.com/drive/v2/files'
    r = requests.get(req_uri, headers=headers)
    return r.text


@app.route('/oauth2callback')
def oauth2callback():
  if 'code' not in flask.request.args:
    auth_uri = ('https://accounts.google.com/o/oauth2/v2/auth?response_type=code'
                '&client_id={}&redirect_uri={}&scope={}').format(CLIENT_ID, REDIRECT_URI, SCOPE)
    return flask.redirect(auth_uri)
  else:
    auth_code = flask.request.args.get('code')
    data = {'code': auth_code,
            'client_id': CLIENT_ID,
            'client_secret': CLIENT_SECRET,
            'redirect_uri': REDIRECT_URI,
            'grant_type': 'authorization_code'}
    r = requests.post('https://oauth2.googleapis.com/token', data=data)
    flask.session['credentials'] = r.text
    return flask.redirect(flask.url_for('index'))


if __name__ == '__main__':
  import uuid
  app.secret_key = str(uuid.uuid4())
  app.debug = False
  app.run()

Reglas de validación de URI de redireccionamiento

Google aplica las siguientes reglas de validación para redireccionar URIs para ayudar a los desarrolladores a proteger sus aplicaciones. Tus URI de redireccionamiento deben cumplir con estas reglas. Consulta la sección 3 de RFC 3986 para ver la definición de dominio, host, ruta de acceso, consulta, esquema y la información del usuario, que se menciona a continuación.

Reglas de validación
Esquema

Los URI de redireccionamiento deben usar el esquema HTTPS, no el HTTP simple. Los URI de host local (incluidos los URI de dirección IP de localhost) están exentos de esta regla.

Host

Los hosts no pueden ser direcciones IP sin procesar. Las direcciones IP de host local están exentas de esta regla.

Dominio
  • Los TLD de host (dominios de nivel superior) deben pertenecer a la lista de sufijos públicos.
  • Los dominios de host no pueden ser “googleusercontent.com”.
  • Los URI de redireccionamiento no pueden contener dominios de acortador de URL (p.ej., goo.gl), a menos que la app sea propietaria del dominio. Además, si una app que posee un dominio de acortamiento decide redireccionar a ese dominio, ese URI de redireccionamiento debe contener “/google-callback/” en su ruta de acceso o terminar con “/google-callback”.
  • Información del usuario

    Los URI de redireccionamiento no pueden contener el subcomponente userinfo.

    Ruta de acceso

    Los URI de redireccionamiento no pueden contener un recorrido de ruta de acceso (también llamado retroceso de directorio), que está representado por “/..” o “\..”, o su codificación de URL.

    Consulta

    Los URI de redireccionamiento no pueden contener redireccionamientos abiertos.

    Fragmento

    Los URI de redireccionamiento no pueden contener el componente del fragmento.

    Caracteres Los URI de redireccionamiento no pueden contener ciertos caracteres, incluidos los siguientes:
    • Caracteres comodín ('*')
    • Caracteres ASCII no imprimibles
    • Codificaciones de porcentaje no válidas (cualquier codificación de porcentaje que no siga la codificación de URL de un signo de porcentaje seguido de dos dígitos hexadecimales)
    • Caracteres nulos (un carácter NULL codificado, p.ej., %00, %C0%80)

    Autorización incremental

    En el protocolo OAuth 2.0, la app solicita autorización para acceder a los recursos, que se identifican por alcances. Se considera una práctica recomendada para la experiencia del usuario solicitar la autorización de los recursos en el momento en que los necesitas. Para llevar a cabo esta práctica, el servidor de autorización de Google es compatible con la autorización incremental. Esta función te permite solicitar permisos a medida que sean necesarios y, si el usuario otorga permiso para el alcance nuevo, muestra un código de autorización que se puede intercambiar por un token que contiene todos los permisos que el usuario le otorgó al proyecto.

    Por ejemplo, una app que permite obtener muestras de pistas musicales y crear mixes podría necesitar muy pocos recursos al momento de acceder, quizá nada más que el nombre de la persona que ingresa. Sin embargo, para guardar un mix completo, se necesitaría acceso a su unidad de Google Drive. Para la mayoría de las personas, sería natural que solo se les pidiera acceso a su unidad de Google Drive en el momento en que la app realmente lo necesitaba.

    En este caso, al momento del acceso, la app puede solicitar que los permisos openid y profile realicen un acceso básico y, luego, solicitar el alcance https://www.googleapis.com/auth/drive.file cuando se realice la primera solicitud para guardar una combinación.

    Si quieres implementar la autorización incremental, completa el flujo normal para solicitar un token de acceso, pero asegúrate de que la solicitud de autorización incluya permisos otorgados anteriormente. Este enfoque permite que tu app evite tener que administrar varios tokens de acceso.

    Las siguientes reglas se aplican a un token de acceso obtenido de una autorización incremental:

    • El token se puede usar para acceder a los recursos correspondientes a cualquiera de los permisos incluidos en la nueva autorización combinada.
    • Cuando utilizas el token de actualización para la autorización combinada a fin de obtener un token de acceso, el token representa la autorización combinada y se puede usar para cualquiera de los valores de scope incluidos en la respuesta.
    • La autorización combinada incluye todos los permisos que el usuario otorgó al proyecto de API, incluso si los otorgamientos se solicitaron de diferentes clientes. Por ejemplo, si un usuario otorgara acceso a un alcance mediante el cliente de escritorio de una aplicación y, luego, otorgó otro alcance a la misma aplicación a través de un cliente móvil, la autorización combinada incluiría ambos alcances.
    • Si revocas un token que representa una autorización combinada, se revoca de forma simultánea el acceso a todos los permisos de esa autorización en nombre del usuario asociado.

    Las muestras de código específicas del lenguaje del Paso 1: Configura los parámetros de autorización y la URL de redireccionamiento HTTP/REST de muestra del Paso 2: Redireccionamiento al servidor OAuth 2.0 de Google usan autorización incremental. En las siguientes muestras de código, también se indica el código que debes agregar para usar la autorización incremental.

    PHP

    $client->setIncludeGrantedScopes(true);

    Python

    En Python, establece el argumento de palabra clave include_granted_scopes en true para asegurarte de que una solicitud de autorización incluya permisos otorgados con anterioridad. Es muy posible que include_granted_scopes no sea el único argumento de palabra clave que establezcas, como se muestra en el siguiente ejemplo.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    Rita

    auth_client.update!(
      :additional_parameters => {"include_granted_scopes" => "true"}
    )

    Node.js

    const authorizationUrl = oauth2Client.generateAuthUrl({
      // 'online' (default) or 'offline' (gets refresh_token)
      access_type: 'offline',
      /** Pass in the scopes array defined above.
        * Alternatively, if only one scope is needed, you can pass a scope URL as a string */
      scope: scopes,
      // Enable incremental authorization. Recommended as a best practice.
      include_granted_scopes: true
    });
    

    HTTP/REST

    GET https://accounts.google.com/o/oauth2/v2/auth?
      client_id=your_client_id&
      response_type=code&
      state=state_parameter_passthrough_value&
      scope=https%3A//www.googleapis.com/auth/drive.file&
      redirect_uri=https%3A//oauth2.example.com/code&
      prompt=consent&
      include_granted_scopes=true

    Actualiza un token de acceso (acceso sin conexión)

    Los tokens de acceso caducan periódicamente y se convierten en credenciales no válidas para una solicitud a la API relacionada. Puedes actualizar un token de acceso sin solicitarle permiso al usuario (incluso cuando no está presente) si solicitaste acceso sin conexión a los permisos asociados con el token.

    • Si usas una biblioteca cliente de la API de Google, el objeto cliente actualiza el token de acceso según sea necesario, siempre y cuando configures ese objeto para el acceso sin conexión.
    • Si no usas una biblioteca cliente, debes establecer el parámetro de consulta HTTP access_type en offline cuando redireccionas al usuario al servidor OAuth 2.0 de Google. En ese caso, el servidor de autorización de Google mostrará un token de actualización cuando intercambies un código de autorización por un token de acceso. Luego, si el token de acceso vence (o en cualquier otro momento), puedes usar un token de actualización para obtener un token de acceso nuevo.

    Solicitar acceso sin conexión es un requisito para cualquier aplicación que necesite acceder a una API de Google cuando el usuario no esté presente. Por ejemplo, una app que realiza servicios de copias de seguridad o ejecuta acciones en momentos predeterminados debe poder actualizar su token de acceso cuando el usuario no esté presente. El estilo de acceso predeterminado se denomina online.

    Las aplicaciones web del servidor, las aplicaciones instaladas y los dispositivos obtienen tokens de actualización durante el proceso de autorización. Por lo general, los tokens de actualización no se usan en las aplicaciones web del cliente (JavaScript).

    PHP

    Si tu aplicación necesita acceso sin conexión a una API de Google, configura el tipo de acceso de cliente de API en offline:

    $client->setAccessType("offline");

    Después de que un usuario otorga acceso sin conexión a los permisos solicitados, puedes seguir usando el cliente de la API para acceder a las APIs de Google en nombre del usuario cuando este no tiene conexión. El objeto de cliente actualizará el token de acceso según sea necesario.

    Python

    En Python, establece el argumento de palabra clave access_type en offline para asegurarte de que podrás actualizar el token de acceso sin tener que volver a solicitar el permiso del usuario. Es muy posible que access_type no sea el único argumento de palabra clave que establezcas, como se muestra en el siguiente ejemplo.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    Después de que un usuario otorga acceso sin conexión a los permisos solicitados, puedes seguir usando el cliente de la API para acceder a las APIs de Google en nombre del usuario cuando este no tiene conexión. El objeto de cliente actualizará el token de acceso según sea necesario.

    Rita

    Si tu aplicación necesita acceso sin conexión a una API de Google, configura el tipo de acceso de cliente de API en offline:

    auth_client.update!(
      :additional_parameters => {"access_type" => "offline"}
    )

    Después de que un usuario otorga acceso sin conexión a los permisos solicitados, puedes seguir usando el cliente de la API para acceder a las APIs de Google en nombre del usuario cuando este no tiene conexión. El objeto de cliente actualizará el token de acceso según sea necesario.

    Node.js

    Si tu aplicación necesita acceso sin conexión a una API de Google, configura el tipo de acceso de cliente de API en offline:

    const authorizationUrl = oauth2Client.generateAuthUrl({
      // 'online' (default) or 'offline' (gets refresh_token)
      access_type: 'offline',
      /** Pass in the scopes array defined above.
        * Alternatively, if only one scope is needed, you can pass a scope URL as a string */
      scope: scopes,
      // Enable incremental authorization. Recommended as a best practice.
      include_granted_scopes: true
    });
    

    Después de que un usuario otorga acceso sin conexión a los permisos solicitados, puedes seguir usando el cliente de la API para acceder a las APIs de Google en nombre del usuario cuando este no tiene conexión. El objeto de cliente actualizará el token de acceso según sea necesario.

    Los tokens de acceso vencen. Esta biblioteca usará automáticamente un token de actualización para obtener un token de acceso nuevo si está a punto de caducar. Una manera sencilla de asegurarte de almacenar los tokens más recientes es usar el evento tokens:

    oauth2Client.on('tokens', (tokens) => {
      if (tokens.refresh_token) {
        // store the refresh_token in your secure persistent database
        console.log(tokens.refresh_token);
      }
      console.log(tokens.access_token);
    });

    Este evento de tokens solo ocurre en la primera autorización. Debes establecer tu access_type en offline cuando llames al método generateAuthUrl para recibir el token de actualización. Si ya le otorgaste a tu app los permisos necesarios sin configurar las restricciones apropiadas para recibir un token de actualización, deberás volver a autorizar la aplicación para que reciba un token de actualización nuevo.

    Para configurar refresh_token más adelante, puedes usar el método setCredentials:

    oauth2Client.setCredentials({
      refresh_token: `STORED_REFRESH_TOKEN`
    });
    

    Una vez que el cliente tenga un token de actualización, los tokens de acceso se adquirirán y actualizarán automáticamente en la próxima llamada a la API.

    HTTP/REST

    Para actualizar un token de acceso, la aplicación envía una solicitud POST HTTPS al servidor de autorización de Google (https://oauth2.googleapis.com/token) que incluye los siguientes parámetros:

    Campos
    client_id El ID de cliente obtenido de API Console.
    client_secret El secreto de cliente obtenido de API Console.
    grant_type Como se define en la especificación de OAuth 2.0, el valor de este campo debe establecerse en refresh_token.
    refresh_token El token de actualización que muestra el intercambio de códigos de autorización.

    En el siguiente fragmento, se muestra una solicitud de muestra:

    POST /token HTTP/1.1
    Host: oauth2.googleapis.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=your_client_id&
    client_secret=your_client_secret&
    refresh_token=refresh_token&
    grant_type=refresh_token

    Siempre que el usuario no haya revocado el acceso otorgado a la aplicación, el servidor de tokens mostrará un objeto JSON que contiene un token de acceso nuevo. En el siguiente fragmento, se muestra una respuesta de muestra:

    {
      "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
      "expires_in": 3920,
      "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
      "token_type": "Bearer"
    }

    Ten en cuenta que existen límites para la cantidad de tokens de actualización que se emitirán: un límite por combinación de cliente y usuario, y otro por usuario para todos los clientes. Guarda los tokens de actualización en el almacenamiento a largo plazo y sigue usándolos mientras sean válidos. Si tu aplicación solicita demasiados tokens de actualización, es posible que alcance estos límites, en cuyo caso los tokens de actualización más antiguos dejarán de funcionar.

    Revocación de un token

    En algunos casos, es posible que el usuario quiera revocar el acceso otorgado a una aplicación. El usuario puede revocar el acceso a través de la Configuración de la cuenta. Para obtener más información, consulta la sección Cómo quitar el acceso a sitios o apps de la sección Sitios y apps de terceros que tienen acceso a tu cuenta.

    También es posible que una aplicación revoque de forma programática el acceso que se le otorgó. La revocación programática es importante en los casos en que un usuario anula la suscripción, quita una aplicación o cambia de forma significativa los recursos de la API que requiere una app. En otras palabras, parte del proceso de eliminación puede incluir una solicitud a la API para garantizar que se quiten los permisos otorgados anteriormente a la aplicación.

    PHP

    Para revocar un token de manera programática, llama a revokeToken():

    $client->revokeToken();

    Python

    Para revocar un token de manera programática, realiza una solicitud a https://oauth2.googleapis.com/revoke que incluya el token como parámetro y establezca el encabezado Content-Type:

    requests.post('https://oauth2.googleapis.com/revoke',
        params={'token': credentials.token},
        headers = {'content-type': 'application/x-www-form-urlencoded'})

    Rita

    Para revocar un token de manera programática, realiza una solicitud HTTP al extremo oauth2.revoke:

    uri = URI('https://oauth2.googleapis.com/revoke')
    response = Net::HTTP.post_form(uri, 'token' => auth_client.access_token)
    

    El token puede ser un token de acceso o de actualización. Si se trata de un token de acceso y tiene un token de actualización correspondiente, este también se revocará.

    Si la revocación se procesa correctamente, el código de estado de la respuesta es 200. Para las condiciones de error, se muestra un código de estado 400 junto con un código de error.

    Node.js

    Para revocar un token de manera programática, realiza una solicitud POST HTTPS al extremo /revoke:

    const https = require('https');
    
    // Build the string for the POST request
    let postData = "token=" + userCredential.access_token;
    
    // Options for POST request to Google's OAuth 2.0 server to revoke a token
    let postOptions = {
      host: 'oauth2.googleapis.com',
      port: '443',
      path: '/revoke',
      method: 'POST',
      headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Content-Length': Buffer.byteLength(postData)
      }
    };
    
    // Set up the request
    const postReq = https.request(postOptions, function (res) {
      res.setEncoding('utf8');
      res.on('data', d => {
        console.log('Response: ' + d);
      });
    });
    
    postReq.on('error', error => {
      console.log(error)
    });
    
    // Post the request with data
    postReq.write(postData);
    postReq.end();
    

    El parámetro de token puede ser un token de acceso o de actualización. Si se trata de un token de acceso y tiene un token de actualización correspondiente, este también se revocará.

    Si la revocación se procesa correctamente, el código de estado de la respuesta es 200. Para las condiciones de error, se muestra un código de estado 400 junto con un código de error.

    HTTP/REST

    Para revocar un token de manera programática, tu aplicación realiza una solicitud a https://oauth2.googleapis.com/revoke e incluye el token como parámetro:

    curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
            https://oauth2.googleapis.com/revoke?token={token}

    El token puede ser un token de acceso o de actualización. Si se trata de un token de acceso y tiene un token de actualización correspondiente, este también se revocará.

    Si la revocación se procesa correctamente, el código de estado HTTP de la respuesta es 200. Para las condiciones de error, se muestra un código de estado HTTP 400 junto con un código de error.