Google cam kết nâng cao công bằng chủng tộc cho các cộng đồng Da đen. Xem làm thế nào.

Sử dụng OAuth 2.0 cho các ứng dụng máy chủ web

Tài liệu này giải thích cách các ứng dụng máy chủ web sử dụng Thư viện ứng dụng khách API của Google hoặc điểm cuối Google OAuth 2.0 để triển khai ủy quyền OAuth 2.0 để truy cập các API của Google.

OAuth 2.0 cho phép người dùng chia sẻ dữ liệu cụ thể với một ứng dụng trong khi vẫn giữ bí mật tên người dùng, mật khẩu và thông tin khác của họ. Ví dụ: một ứng dụng có thể sử dụng OAuth 2.0 để xin phép người dùng lưu trữ tệp trong Google Drive của họ.

Luồng OAuth 2.0 này dành riêng cho ủy quyền người dùng. Nó được thiết kế cho các ứng dụng có thể lưu trữ thông tin bí mật và duy trì trạng thái. Ứng dụng máy chủ web được ủy quyền thích hợp có thể truy cập API trong khi người dùng tương tác với ứng dụng hoặc sau khi người dùng đã rời khỏi ứng dụng.

Các ứng dụng máy chủ web cũng thường sử dụng tài khoản dịch vụ để cho phép các yêu cầu API, đặc biệt khi gọi các API đám mây để truy cập dữ liệu dựa trên dự án thay vì dữ liệu dành riêng cho người dùng. Các ứng dụng máy chủ web có thể sử dụng các tài khoản dịch vụ cùng với sự phân quyền của người dùng.

Thư viện khách hàng

Các ví dụ về ngôn ngữ cụ thể trên trang này sử dụng Thư viện ứng dụng API của Google để triển khai ủy quyền OAuth 2.0. Để chạy các mẫu mã, trước tiên bạn phải cài đặt thư viện ứng dụng khách cho ngôn ngữ của mình.

Khi bạn sử dụng Thư viện ứng dụng API của Google để xử lý luồng OAuth 2.0 của ứng dụng, thư viện ứng dụng sẽ thực hiện nhiều hành động mà nếu không ứng dụng cần tự xử lý. Ví dụ: nó xác định thời điểm ứng dụng có thể sử dụng hoặc làm mới mã thông báo truy cập được lưu trữ cũng như thời điểm ứng dụng phải yêu cầu lại sự đồng ý. Thư viện máy khách cũng tạo các URL chuyển hướng chính xác và giúp triển khai các trình xử lý chuyển hướng trao đổi mã ủy quyền lấy mã thông báo truy cập.

Thư viện ứng dụng khách có sẵn cho các ngôn ngữ sau:

Điều kiện tiên quyết

Bật API cho dự án của bạn

Bất kỳ ứng dụng nào gọi API Google đều cần bật các API đó trong API Console.

Để kích hoạt một API cho dự án của bạn:

  1. Open the API Library trong Google API Console.
  2. If prompted, select a project, or create a new one.
  3. API Library liệt kê tất cả các API có sẵn, được nhóm theo họ sản phẩm và mức độ phổ biến. Nếu API bạn muốn bật không hiển thị trong danh sách, hãy sử dụng tìm kiếm để tìm nó hoặc nhấp vào Xem tất cả trong họ sản phẩm mà nó thuộc về.
  4. Chọn API bạn muốn bật, sau đó nhấp vào nút Bật .
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

Tạo thông tin xác thực ủy quyền

Bất kỳ ứng dụng nào sử dụng OAuth 2.0 để truy cập API Google đều phải có thông tin xác thực ủy quyền xác định ứng dụng đó với máy chủ OAuth 2.0 của Google. Các bước sau giải thích cách tạo thông tin xác thực cho dự án của bạn. Các ứng dụng của bạn sau đó có thể sử dụng thông tin đăng nhập để truy cập các API mà bạn đã bật cho dự án đó.

  1. Go to the Credentials page.
  2. Nhấp vào Tạo thông tin xác thực> ID ứng dụng khách OAuth .
  3. Chọn loại ứng dụng ứng dụng Web .
  4. Điền vào biểu mẫu và nhấp vào Tạo . Các ứng dụng sử dụng các ngôn ngữ và khuôn khổ như PHP, Java, Python, Ruby và .NET phải chỉ định các URI chuyển hướng được ủy quyền. URI chuyển hướng là điểm cuối mà máy chủ OAuth 2.0 có thể gửi phản hồi. Các điểm cuối này phải tuân thủ các quy tắc xác thực của Google .

    Để thử nghiệm, bạn có thể chỉ định các URI tham chiếu đến máy cục bộ, chẳng hạn như http://localhost:8080 . Với lưu ý đó, hãy lưu ý rằng tất cả các ví dụ trong tài liệu này đều sử dụng http://localhost:8080 làm URI chuyển hướng.

    Chúng tôi khuyên bạn nên thiết kế điểm cuối xác thực của ứng dụng để ứng dụng của bạn không để lộ mã ủy quyền cho các tài nguyên khác trên trang.

Sau khi tạo thông tin đăng nhập của bạn, hãy tải xuống tệp client_secret.json từ API Console. Lưu trữ an toàn tệp ở vị trí mà chỉ ứng dụng của bạn mới có thể truy cập.

Xác định phạm vi truy cập

Phạm vi cho phép ứng dụng của bạn chỉ yêu cầu quyền truy cập vào các tài nguyên mà nó cần đồng thời cho phép người dùng kiểm soát lượng truy cập mà họ cấp cho ứng dụng của bạn. Do đó, có thể có mối quan hệ nghịch đảo giữa số phạm vi được yêu cầu và khả năng nhận được sự đồng ý của người dùng.

Trước khi bắt đầu triển khai ủy quyền OAuth 2.0, chúng tôi khuyên bạn nên xác định các phạm vi mà ứng dụng của bạn sẽ cần quyền truy cập.

Chúng tôi cũng khuyên ứng dụng của bạn nên yêu cầu quyền truy cập vào phạm vi ủy quyền thông qua quy trình ủy quyền gia tăng , trong đó ứng dụng của bạn yêu cầu quyền truy cập vào dữ liệu người dùng theo ngữ cảnh. Phương pháp hay nhất này giúp người dùng hiểu dễ dàng hơn tại sao ứng dụng của bạn cần quyền truy cập mà ứng dụng đang yêu cầu.

Tài liệu Phạm vi API OAuth 2.0 chứa danh sách đầy đủ các phạm vi mà bạn có thể sử dụng để truy cập các API của Google.

Yêu cầu về ngôn ngữ cụ thể

Để chạy bất kỳ mẫu mã nào trong tài liệu này, bạn cần có tài khoản Google, quyền truy cập Internet và trình duyệt web. Nếu bạn đang sử dụng một trong các thư viện ứng dụng khách API, hãy xem các yêu cầu dành riêng cho ngôn ngữ bên dưới.

PHP

Để chạy các mẫu mã PHP trong tài liệu này, bạn sẽ cần:

  • PHP 5.4 trở lên với giao diện dòng lệnh (CLI) và phần mở rộng JSON được cài đặt.
  • Công cụ quản lý sự phụ thuộc của Người soạn thảo .
  • Thư viện ứng dụng API của Google dành cho PHP:

    php composer.phar require google/apiclient:^2.0

Python

Để chạy các mẫu mã Python trong tài liệu này, bạn sẽ cần:

  • Python 2.6 trở lên
  • Công cụ quản lý gói pip .
  • Thư viện ứng dụng Google API cho Python:
    pip install --upgrade google-api-python-client
  • google-auth , google-auth-oauthlibgoogle-auth-httplib2 để cấp quyền cho người dùng.
    pip install --upgrade google-auth google-auth-oauthlib google-auth-httplib2
  • Khung ứng dụng web Flask Python.
    pip install --upgrade flask
  • Thư viện HTTP requests .
    pip install --upgrade requests

Ruby

Để chạy các mẫu mã Ruby trong tài liệu này, bạn sẽ cần:

  • Ruby 2.2.2 trở lên
  • Thư viện ứng dụng API của Google dành cho Ruby:

    gem install google-api-client
  • Khung ứng dụng web Sinatra Ruby.

    gem install sinatra

HTTP / REST

Bạn không cần cài đặt bất kỳ thư viện nào để có thể gọi trực tiếp các điểm cuối OAuth 2.0.

Nhận mã thông báo truy cập OAuth 2.0

Các bước sau đây cho biết cách ứng dụng của bạn tương tác với máy chủ OAuth 2.0 của Google để có được sự đồng ý của người dùng để thay mặt người dùng thực hiện yêu cầu API. Ứng dụng của bạn phải có sự đồng ý đó trước khi có thể thực thi một yêu cầu API Google yêu cầu sự cho phép của người dùng.

Danh sách dưới đây tóm tắt nhanh các bước sau:

  1. Ứng dụng của bạn xác định các quyền mà nó cần.
  2. Ứng dụng của bạn chuyển hướng người dùng đến Google cùng với danh sách các quyền được yêu cầu.
  3. Người dùng quyết định có cấp quyền cho ứng dụng của bạn hay không.
  4. Ứng dụng của bạn tìm ra những gì người dùng đã quyết định.
  5. Nếu người dùng cấp các quyền được yêu cầu, ứng dụng của bạn sẽ truy xuất các mã thông báo cần thiết để thay mặt người dùng thực hiện các yêu cầu API.

Bước 1: Đặt thông số ủy quyền

Bước đầu tiên của bạn là tạo yêu cầu ủy quyền. Yêu cầu đó đặt các thông số xác định ứng dụng của bạn và xác định các quyền mà người dùng sẽ được yêu cầu cấp cho ứng dụng của bạn.

  • Nếu bạn sử dụng thư viện ứng dụng khách của Google để xác thực và ủy quyền OAuth 2.0, bạn tạo và định cấu hình một đối tượng xác định các tham số này.
  • Nếu bạn gọi trực tiếp điểm cuối Google OAuth 2.0, bạn sẽ tạo một URL và đặt các thông số trên URL đó.

Các tab bên dưới xác định các thông số ủy quyền được hỗ trợ cho các ứng dụng máy chủ web. Các ví dụ về ngôn ngữ cụ thể cũng cho thấy cách sử dụng thư viện máy khách hoặc thư viện ủy quyền để định cấu hình một đối tượng đặt các tham số đó.

PHP

Đoạn mã bên dưới tạo đối tượng Google_Client() , đối tượng này xác định các tham số trong yêu cầu ủy quyền.

Đối tượng đó sử dụng thông tin từ tệp client_secret.json của bạn để xác định ứng dụng của bạn. (Xem phần tạo thông tin xác thực để biết thêm về tệp đó.) Đối tượng cũng xác định các phạm vi mà ứng dụng của bạn đang yêu cầu quyền truy cập và URL đến điểm cuối xác thực của ứng dụng của bạn, điểm này sẽ xử lý phản hồi từ máy chủ OAuth 2.0 của Google. Cuối cùng, mã thiết lập các tham số access_typeinclude_granted_scopes tùy chọn.

Ví dụ: mã này yêu cầu quyền truy cập ngoại tuyến, chỉ đọc vào Google Drive của người dùng:

$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
// offline access will give you both an access and refresh token so that
// your app can refresh the access token without user interaction.
$client->setAccessType('offline');
// Using "consent" ensures that your application always receives a refresh token.
// If you are not using offline access, you can omit this.
$client->setApprovalPrompt("consent");
$client->setIncludeGrantedScopes(true);   // incremental auth

Yêu cầu chỉ định thông tin sau:

Thông số
client_id Cần thiết

ID khách hàng cho ứng dụng của bạn. Bạn có thể tìm thấy giá trị này trong API Console Credentials page.

Trong PHP, hãy gọi hàm setAuthConfig để tải thông tin xác thực ủy quyền từ tệp client_secret.json .

$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
redirect_uri Cần thiết

Xác định vị trí máy chủ API chuyển hướng người dùng sau khi người dùng hoàn thành quy trình ủy quyền. Giá trị phải khớp chính xác với một trong các URI chuyển hướng được ủy quyền cho ứng dụng khách OAuth 2.0 mà bạn đã định cấu hình trong API Console Credentials page của ứng dụng khách của mình. Nếu giá trị này không khớp với URI chuyển hướng được ủy quyền cho client_id đã cung cấp, bạn sẽ gặp lỗi redirect_uri_mismatch .

Lưu ý rằng lược đồ http hoặc https , chữ hoa và dấu gạch chéo (' / ') đều phải khớp.

Để đặt giá trị này trong PHP, hãy gọi hàm setRedirectUri . Lưu ý rằng bạn phải chỉ định một URI chuyển hướng hợp lệ cho client_id đã cung cấp.

$client->setRedirectUri('https://oauth2.example.com/code');
scope Cần thiết

Danh sách các phạm vi được phân tách bằng dấu cách xác định các tài nguyên mà ứng dụng của bạn có thể truy cập thay mặt cho người dùng. Các giá trị này thông báo cho màn hình đồng ý mà Google hiển thị cho người dùng.

Phạm vi cho phép ứng dụng của bạn chỉ yêu cầu quyền truy cập vào các tài nguyên mà nó cần đồng thời cho phép người dùng kiểm soát lượng truy cập mà họ cấp cho ứng dụng của bạn. Do đó, có một mối quan hệ nghịch đảo giữa số lượng phạm vi được yêu cầu và khả năng nhận được sự đồng ý của người dùng.

Để đặt giá trị này trong PHP, hãy gọi hàm addScope :

$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

Chúng tôi khuyên bạn nên yêu cầu ứng dụng của bạn truy cập vào phạm vi ủy quyền trong ngữ cảnh bất cứ khi nào có thể. Bằng cách yêu cầu quyền truy cập vào dữ liệu người dùng theo ngữ cảnh, thông qua ủy quyền gia tăng , bạn giúp người dùng hiểu dễ dàng hơn tại sao ứng dụng của bạn cần quyền truy cập mà ứng dụng đang yêu cầu.

access_type Được đề xuất

Cho biết liệu ứng dụng của bạn có thể làm mới mã thông báo truy cập khi người dùng không có mặt trên trình duyệt hay không. Giá trị tham số hợp lệ là online , là giá trị mặc định và offline .

Đặt giá trị thành offline nếu ứng dụng của bạn cần làm mới mã thông báo truy cập khi người dùng không có mặt trên trình duyệt. Đây là phương pháp làm mới mã thông báo truy cập được mô tả sau trong tài liệu này. Giá trị này hướng dẫn máy chủ ủy quyền của Google trả lại mã thông báo làm mới mã thông báo truy cập vào lần đầu tiên ứng dụng của bạn trao đổi mã ủy quyền cho các mã thông báo.

Để đặt giá trị này trong PHP, hãy gọi hàm setAccessType :

$client->setAccessType('offline');
state Được đề xuất

Chỉ định bất kỳ giá trị chuỗi nào mà ứng dụng của bạn sử dụng để duy trì trạng thái giữa yêu cầu ủy quyền của bạn và phản hồi của máy chủ ủy quyền. Máy chủ trả về giá trị chính xác mà bạn gửi dưới dạng cặp name=value trong thành phần truy vấn URL ( ? ) Của redirect_uri sau khi người dùng đồng ý hoặc từ chối yêu cầu truy cập ứng dụng của bạn.

Bạn có thể sử dụng tham số này cho một số mục đích, chẳng hạn như hướng người dùng đến tài nguyên chính xác trong ứng dụng của bạn, gửi các lỗi không liên quan và giảm thiểu giả mạo yêu cầu trên nhiều trang web. Vì redirect_uri của bạn có thể đoán được, việc sử dụng giá trị state có thể tăng cường đảm bảo rằng kết nối đến là kết quả của một yêu cầu xác thực. Nếu bạn tạo một chuỗi ngẫu nhiên hoặc mã hóa băm của cookie hoặc một giá trị khác nắm bắt trạng thái của khách hàng, bạn có thể xác thực phản hồi để đảm bảo thêm rằng yêu cầu và phản hồi bắt nguồn từ cùng một trình duyệt, cung cấp khả năng bảo vệ chống lại các cuộc tấn công như trang web yêu cầu giả mạo. Xem tài liệu OpenID Connect để biết ví dụ về cách tạo và xác nhận mã thông báo state .

Để đặt giá trị này trong PHP, hãy gọi hàm setState :

$client->setState($sample_passthrough_value);
include_granted_scopes Không bắt buộc

Cho phép các ứng dụng sử dụng ủy quyền gia tăng để yêu cầu quyền truy cập vào các phạm vi bổ sung trong ngữ cảnh. Nếu bạn đặt giá trị của thông số này thành true và yêu cầu ủy quyền được cấp, thì mã thông báo truy cập mới cũng sẽ bao gồm bất kỳ phạm vi nào mà trước đó người dùng đã cấp quyền truy cập ứng dụng. Xem phần ủy quyền gia tăng để biết ví dụ.

Để đặt giá trị này trong PHP, hãy gọi hàm setIncludeGrantedScopes :

$client->setIncludeGrantedScopes(true);
login_hint Không bắt buộc

Nếu ứng dụng của bạn biết người dùng nào đang cố gắng xác thực, ứng dụng có thể sử dụng tham số này để cung cấp gợi ý cho Máy chủ xác thực của Google. Máy chủ sử dụng gợi ý để đơn giản hóa quy trình đăng nhập bằng cách điền trước trường email trong biểu mẫu đăng nhập hoặc bằng cách chọn phiên nhiều đăng nhập thích hợp.

Đặt giá trị tham số thành địa chỉ email hoặc số nhận dạng sub , giá trị này tương đương với ID Google của người dùng.

Để đặt giá trị này trong PHP, hãy gọi hàm setLoginHint :

$client->setLoginHint('None');
prompt Không bắt buộc

Danh sách lời nhắc phân biệt bằng dấu cách, phân biệt chữ hoa chữ thường để giới thiệu cho người dùng. Nếu bạn không chỉ định tham số này, người dùng sẽ chỉ được nhắc vào lần đầu tiên dự án của bạn yêu cầu quyền truy cập. Xem Nhắc sự đồng ý lại để biết thêm thông tin.

Để đặt giá trị này trong PHP, hãy gọi hàm setApprovalPrompt :

$client->setApprovalPrompt('consent');

Giá trị có thể là:

none Không hiển thị bất kỳ màn hình xác thực hoặc đồng ý nào. Không được chỉ định với các giá trị khác.
consent Nhắc người dùng đồng ý.
select_account Nhắc người dùng chọn một tài khoản.

Python

Đoạn mã sau sử dụng mô-đun google-auth-oauthlib.flow để tạo yêu cầu ủy quyền.

Mã xây dựng một đối tượng Flow , đối tượng này xác định ứng dụng của bạn bằng cách sử dụng thông tin từ tệp client_secret.json mà bạn đã tải xuống sau khi tạo thông tin xác thực ủy quyền . Đối tượng đó cũng xác định các phạm vi mà ứng dụng của bạn đang yêu cầu quyền truy cập và URL đến điểm cuối xác thực của ứng dụng, sẽ xử lý phản hồi từ máy chủ OAuth 2.0 của Google. Cuối cùng, mã thiết lập các tham số access_typeinclude_granted_scopes tùy chọn.

Ví dụ: mã này yêu cầu quyền truy cập ngoại tuyến, chỉ đọc vào Google Drive của người dùng:

import google.oauth2.credentials
import google_auth_oauthlib.flow

# Use the client_secret.json file to identify the application requesting
# authorization. The client ID (from that file) and access scopes are required.
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

# Indicate where the API server will redirect the user after the user completes
# the authorization flow. The redirect URI is required. The value must exactly
# match one of the authorized redirect URIs for the OAuth 2.0 client, which you
# configured in the API Console. If this value doesn't match an authorized URI,
# you will get a 'redirect_uri_mismatch' error.
flow.redirect_uri = 'https://www.example.com/oauth2callback'

# Generate URL for request to Google's OAuth 2.0 server.
# Use kwargs to set optional request parameters.
authorization_url, state = flow.authorization_url(
    # Enable offline access so that you can refresh an access token without
    # re-prompting the user for permission. Recommended for web server apps.
    access_type='offline',
    # Enable incremental authorization. Recommended as a best practice.
    include_granted_scopes='true')

Yêu cầu chỉ định thông tin sau:

Thông số
client_id Cần thiết

ID khách hàng cho ứng dụng của bạn. Bạn có thể tìm thấy giá trị này trong API Console Credentials page.

Trong Python, hãy gọi phương thức from_client_secrets_file để truy xuất ID ứng dụng khách từ tệp client_secret.json . (Bạn cũng có thể sử dụng phương thức from_client_config , phương thức này chuyển cấu hình máy khách như ban đầu nó xuất hiện trong tệp bí mật máy khách nhưng không truy cập vào chính tệp đó.)

flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])
redirect_uri Cần thiết

Xác định vị trí máy chủ API chuyển hướng người dùng sau khi người dùng hoàn thành quy trình ủy quyền. Giá trị phải khớp chính xác với một trong các URI chuyển hướng được ủy quyền cho ứng dụng khách OAuth 2.0 mà bạn đã định cấu hình trong API Console Credentials page của ứng dụng khách của mình. Nếu giá trị này không khớp với URI chuyển hướng được ủy quyền cho client_id đã cung cấp, bạn sẽ gặp lỗi redirect_uri_mismatch .

Lưu ý rằng lược đồ http hoặc https , chữ hoa và dấu gạch chéo (' / ') đều phải khớp.

Để đặt giá trị này bằng Python, hãy đặt thuộc tính redirect_uri của đối tượng flow :

flow.redirect_uri = 'https://oauth2.example.com/code'
scope Cần thiết

Danh sách các phạm vi xác định các tài nguyên mà ứng dụng của bạn có thể thay mặt người dùng truy cập. Các giá trị này thông báo cho màn hình chấp thuận mà Google hiển thị cho người dùng.

Phạm vi cho phép ứng dụng của bạn chỉ yêu cầu quyền truy cập vào các tài nguyên mà nó cần đồng thời cho phép người dùng kiểm soát lượng truy cập mà họ cấp cho ứng dụng của bạn. Do đó, có một mối quan hệ nghịch đảo giữa số lượng phạm vi được yêu cầu và khả năng nhận được sự đồng ý của người dùng.

Trong Python, sử dụng cùng một phương pháp bạn sử dụng để đặt client_id để chỉ định danh sách các phạm vi.

flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

Chúng tôi khuyên bạn nên yêu cầu ứng dụng của bạn truy cập vào phạm vi ủy quyền trong ngữ cảnh bất cứ khi nào có thể. Bằng cách yêu cầu quyền truy cập vào dữ liệu người dùng theo ngữ cảnh, thông qua ủy quyền gia tăng , bạn giúp người dùng hiểu dễ dàng hơn tại sao ứng dụng của bạn cần quyền truy cập mà ứng dụng đang yêu cầu.

access_type Được đề xuất

Cho biết liệu ứng dụng của bạn có thể làm mới mã thông báo truy cập khi người dùng không có mặt trên trình duyệt hay không. Giá trị tham số hợp lệ là online , là giá trị mặc định và offline .

Đặt giá trị thành offline nếu ứng dụng của bạn cần làm mới mã thông báo truy cập khi người dùng không có mặt trên trình duyệt. Đây là phương pháp làm mới mã thông báo truy cập được mô tả sau trong tài liệu này. Giá trị này hướng dẫn máy chủ ủy quyền của Google trả lại mã thông báo làm mới mã thông báo truy cập vào lần đầu tiên ứng dụng của bạn trao đổi mã ủy quyền cho các mã thông báo.

Trong Python, hãy đặt tham số access_type bằng cách chỉ định access_type làm đối số từ khóa khi gọi phương thức flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    include_granted_scopes='true')
state Được đề xuất

Chỉ định bất kỳ giá trị chuỗi nào mà ứng dụng của bạn sử dụng để duy trì trạng thái giữa yêu cầu ủy quyền của bạn và phản hồi của máy chủ ủy quyền. Máy chủ trả về giá trị chính xác mà bạn gửi dưới dạng cặp name=value trong thành phần truy vấn URL ( ? ) Của redirect_uri sau khi người dùng đồng ý hoặc từ chối yêu cầu truy cập ứng dụng của bạn.

Bạn có thể sử dụng tham số này cho một số mục đích, chẳng hạn như hướng người dùng đến tài nguyên chính xác trong ứng dụng của bạn, gửi các lỗi không liên quan và giảm thiểu giả mạo yêu cầu trên nhiều trang web. Vì redirect_uri của bạn có thể đoán được, việc sử dụng giá trị state có thể tăng cường đảm bảo rằng kết nối đến là kết quả của một yêu cầu xác thực. Nếu bạn tạo một chuỗi ngẫu nhiên hoặc mã hóa băm của cookie hoặc một giá trị khác nắm bắt trạng thái của khách hàng, bạn có thể xác thực phản hồi để đảm bảo thêm rằng yêu cầu và phản hồi bắt nguồn từ cùng một trình duyệt, cung cấp khả năng bảo vệ chống lại các cuộc tấn công như trang web chéo yêu cầu giả mạo. Xem tài liệu OpenID Connect để biết ví dụ về cách tạo và xác nhận mã thông báo state .

Trong Python, hãy đặt tham số state bằng cách chỉ định state làm đối số từ khóa khi gọi phương thức flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    state=sample_passthrough_value,
    include_granted_scopes='true')
include_granted_scopes Không bắt buộc

Cho phép các ứng dụng sử dụng ủy quyền gia tăng để yêu cầu quyền truy cập vào các phạm vi bổ sung trong ngữ cảnh. Nếu bạn đặt giá trị của thông số này thành true và yêu cầu ủy quyền được cấp, thì mã thông báo truy cập mới cũng sẽ bao gồm bất kỳ phạm vi nào mà trước đó người dùng đã cấp quyền truy cập ứng dụng. Xem phần ủy quyền gia tăng để biết ví dụ.

Trong Python, hãy đặt tham số include_granted_scopes bằng cách chỉ định include_granted_scopes làm đối số từ khóa khi gọi phương thức flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    include_granted_scopes='true')
login_hint Không bắt buộc

Nếu ứng dụng của bạn biết người dùng nào đang cố gắng xác thực, ứng dụng có thể sử dụng tham số này để cung cấp gợi ý cho Máy chủ xác thực của Google. Máy chủ sử dụng gợi ý để đơn giản hóa quy trình đăng nhập bằng cách điền trước trường email trong biểu mẫu đăng nhập hoặc bằng cách chọn phiên nhiều đăng nhập thích hợp.

Đặt giá trị tham số thành địa chỉ email hoặc số nhận dạng sub , giá trị này tương đương với ID Google của người dùng.

Trong Python, hãy đặt tham số login_hint bằng cách chỉ định login_hint làm đối số từ khóa khi gọi phương thức flow.authorization_url :

authorization_url, state = flow.authorization_url(
    access_type='offline',
    login_hint='None',
    include_granted_scopes='true')
prompt Không bắt buộc

Danh sách lời nhắc phân biệt bằng dấu cách, phân biệt chữ hoa chữ thường để giới thiệu cho người dùng. Nếu bạn không chỉ định tham số này, người dùng sẽ chỉ được nhắc vào lần đầu tiên dự án của bạn yêu cầu quyền truy cập. Xem Nhắc sự đồng ý lại để biết thêm thông tin.

Trong Python, hãy đặt tham số prompt bằng cách chỉ định prompt làm đối số từ khóa khi gọi phương thức flow.authorization_url :

authorization_url, state = flow.authorization_url(
      access_type='offline',
      prompt='consent',
      include_granted_scopes='true')

Giá trị có thể là:

none Không hiển thị bất kỳ màn hình xác thực hoặc đồng ý nào. Không được chỉ định với các giá trị khác.
consent Nhắc người dùng đồng ý.
select_account Nhắc người dùng chọn một tài khoản.

Ruby

Sử dụng tệp client_secrets.json mà bạn đã tạo để định cấu hình một đối tượng khách trong ứng dụng của bạn. Khi bạn định cấu hình một đối tượng khách, bạn chỉ định phạm vi ứng dụng của bạn cần truy cập, cùng với URL đến điểm cuối xác thực của ứng dụng, điểm này sẽ xử lý phản hồi từ máy chủ OAuth 2.0.

Ví dụ: mã này yêu cầu quyền truy cập ngoại tuyến, chỉ đọc vào Google Drive của người dùng:

require 'google/apis/drive_v2'
require 'google/api_client/client_secrets'

client_secrets = Google::APIClient::ClientSecrets.load
auth_client = client_secrets.to_authorization
auth_client.update!(
  :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly',
  :redirect_uri => 'http://www.example.com/oauth2callback',
  :additional_parameters => {
    "access_type" => "offline",         # offline access
    "include_granted_scopes" => "true"  # incremental auth
  }
)

Ứng dụng của bạn sử dụng đối tượng khách để thực hiện các hoạt động OAuth 2.0, chẳng hạn như tạo URL yêu cầu ủy quyền và áp dụng mã thông báo truy cập cho các yêu cầu HTTP.

HTTP / REST

Điểm cuối OAuth 2.0 của Google tại https://accounts.google.com/o/oauth2/v2/auth . Điểm cuối này chỉ có thể truy cập được qua HTTPS. Các kết nối HTTP thuần túy bị từ chối.

Máy chủ ủy quyền của Google hỗ trợ các tham số chuỗi truy vấn sau cho các ứng dụng máy chủ web:

Thông số
client_id Cần thiết

ID khách hàng cho ứng dụng của bạn. Bạn có thể tìm thấy giá trị này trong API Console Credentials page.

redirect_uri Cần thiết

Xác định vị trí máy chủ API chuyển hướng người dùng sau khi người dùng hoàn thành quy trình ủy quyền. Giá trị phải khớp chính xác với một trong các URI chuyển hướng được ủy quyền cho ứng dụng khách OAuth 2.0 mà bạn đã định cấu hình trong API Console Credentials page của ứng dụng khách của mình. Nếu giá trị này không khớp với URI chuyển hướng được ủy quyền cho client_id đã cung cấp, bạn sẽ gặp lỗi redirect_uri_mismatch .

Lưu ý rằng lược đồ http hoặc https , chữ hoa và dấu gạch chéo (' / ') đều phải khớp.

response_type Cần thiết

Xác định xem điểm cuối Google OAuth 2.0 có trả lại mã ủy quyền hay không.

Đặt giá trị tham số thành code cho các ứng dụng máy chủ web.

scope Cần thiết

Danh sách các phạm vi được phân tách bằng dấu cách xác định các tài nguyên mà ứng dụng của bạn có thể truy cập thay mặt cho người dùng. Các giá trị này thông báo cho màn hình đồng ý mà Google hiển thị cho người dùng.

Phạm vi cho phép ứng dụng của bạn chỉ yêu cầu quyền truy cập vào các tài nguyên mà nó cần đồng thời cho phép người dùng kiểm soát lượng truy cập mà họ cấp cho ứng dụng của bạn. Do đó, có một mối quan hệ nghịch đảo giữa số lượng phạm vi được yêu cầu và khả năng nhận được sự đồng ý của người dùng.

Chúng tôi khuyên bạn nên yêu cầu ứng dụng của bạn truy cập vào phạm vi ủy quyền trong ngữ cảnh bất cứ khi nào có thể. Bằng cách yêu cầu quyền truy cập vào dữ liệu người dùng theo ngữ cảnh, thông qua ủy quyền gia tăng , bạn giúp người dùng hiểu dễ dàng hơn tại sao ứng dụng của bạn cần quyền truy cập mà ứng dụng đang yêu cầu.

access_type Được đề xuất

Cho biết liệu ứng dụng của bạn có thể làm mới mã thông báo truy cập khi người dùng không có mặt trên trình duyệt hay không. Giá trị tham số hợp lệ là online , là giá trị mặc định và offline .

Đặt giá trị thành offline nếu ứng dụng của bạn cần làm mới mã thông báo truy cập khi người dùng không có mặt trên trình duyệt. Đây là phương pháp làm mới mã thông báo truy cập được mô tả sau trong tài liệu này. Giá trị này hướng dẫn máy chủ ủy quyền của Google trả lại mã thông báo làm mới mã thông báo truy cập vào lần đầu tiên ứng dụng của bạn trao đổi mã ủy quyền cho các mã thông báo.

state Được đề xuất

Chỉ định bất kỳ giá trị chuỗi nào mà ứng dụng của bạn sử dụng để duy trì trạng thái giữa yêu cầu ủy quyền của bạn và phản hồi của máy chủ ủy quyền. Máy chủ trả về giá trị chính xác mà bạn gửi dưới dạng cặp name=value trong thành phần truy vấn URL ( ? ) Của redirect_uri sau khi người dùng đồng ý hoặc từ chối yêu cầu truy cập ứng dụng của bạn.

Bạn có thể sử dụng tham số này cho một số mục đích, chẳng hạn như hướng người dùng đến tài nguyên chính xác trong ứng dụng của bạn, gửi các lỗi không liên quan và giảm thiểu giả mạo yêu cầu trên nhiều trang web. Vì redirect_uri của bạn có thể đoán được, việc sử dụng giá trị state có thể tăng cường đảm bảo rằng kết nối đến là kết quả của một yêu cầu xác thực. Nếu bạn tạo một chuỗi ngẫu nhiên hoặc mã hóa băm của cookie hoặc một giá trị khác nắm bắt trạng thái của khách hàng, bạn có thể xác thực phản hồi để đảm bảo thêm rằng yêu cầu và phản hồi bắt nguồn từ cùng một trình duyệt, cung cấp khả năng bảo vệ chống lại các cuộc tấn công như trang web chéo yêu cầu giả mạo. Xem tài liệu OpenID Connect để biết ví dụ về cách tạo và xác nhận mã thông báo state .

include_granted_scopes Không bắt buộc

Cho phép các ứng dụng sử dụng ủy quyền gia tăng để yêu cầu quyền truy cập vào các phạm vi bổ sung trong ngữ cảnh. Nếu bạn đặt giá trị của thông số này thành true và yêu cầu ủy quyền được cấp, thì mã thông báo truy cập mới cũng sẽ bao gồm bất kỳ phạm vi nào mà trước đó người dùng đã cấp quyền truy cập ứng dụng. Xem phần ủy quyền gia tăng để biết ví dụ.

login_hint Không bắt buộc

Nếu ứng dụng của bạn biết người dùng nào đang cố gắng xác thực, ứng dụng có thể sử dụng tham số này để cung cấp gợi ý cho Máy chủ xác thực của Google. Máy chủ sử dụng gợi ý để đơn giản hóa quy trình đăng nhập bằng cách điền trước trường email trong biểu mẫu đăng nhập hoặc bằng cách chọn phiên nhiều đăng nhập thích hợp.

Đặt giá trị tham số thành địa chỉ email hoặc số nhận dạng sub , giá trị này tương đương với ID Google của người dùng.

prompt Không bắt buộc

Danh sách lời nhắc phân biệt bằng dấu cách, phân biệt chữ hoa chữ thường để giới thiệu cho người dùng. Nếu bạn không chỉ định tham số này, người dùng sẽ chỉ được nhắc vào lần đầu tiên dự án của bạn yêu cầu quyền truy cập. Xem Nhắc sự đồng ý lại để biết thêm thông tin.

Giá trị có thể là:

none Không hiển thị bất kỳ màn hình xác thực hoặc đồng ý nào. Không được chỉ định với các giá trị khác.
consent Nhắc người dùng đồng ý.
select_account Nhắc người dùng chọn một tài khoản.

Bước 2: Chuyển hướng đến máy chủ OAuth 2.0 của Google

Chuyển hướng người dùng đến máy chủ OAuth 2.0 của Google để bắt đầu quá trình xác thực và ủy quyền. Thông thường, điều này xảy ra khi ứng dụng của bạn lần đầu tiên cần truy cập vào dữ liệu của người dùng. Trong trường hợp ủy quyền gia tăng , bước này cũng xảy ra khi ứng dụng của bạn trước tiên cần truy cập các tài nguyên bổ sung mà nó chưa có quyền truy cập.

PHP

  1. Tạo URL để yêu cầu quyền truy cập từ máy chủ OAuth 2.0 của Google:
    $auth_url = $client->createAuthUrl();
  2. Chuyển hướng người dùng đến $auth_url :
    header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));

Python

Ví dụ này cho thấy cách chuyển hướng người dùng đến URL ủy quyền bằng cách sử dụng khung ứng dụng web Flask:

return flask.redirect(authorization_url)

Ruby

  1. Tạo URL để yêu cầu quyền truy cập từ máy chủ OAuth 2.0 của Google:
    auth_uri = auth_client.authorization_uri.to_s
  2. Chuyển hướng người dùng đến auth_uri .

HTTP / REST

Chuyển hướng mẫu đến máy chủ ủy quyền của Google

URL mẫu được hiển thị bên dưới, với các dấu ngắt dòng và khoảng trắng để có thể đọc được.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

Sau khi bạn tạo URL yêu cầu, hãy chuyển hướng người dùng đến URL đó.

Máy chủ OAuth 2.0 của Google xác thực người dùng và nhận được sự đồng ý của người dùng để ứng dụng của bạn truy cập vào các phạm vi được yêu cầu. Phản hồi được gửi lại ứng dụng của bạn bằng URL chuyển hướng bạn đã chỉ định.

Bước 3: Google nhắc người dùng đồng ý

Trong bước này, người dùng quyết định có cấp cho ứng dụng của bạn quyền truy cập được yêu cầu hay không. Ở giai đoạn này, Google hiển thị cửa sổ đồng ý hiển thị tên ứng dụng của bạn và các dịch vụ API của Google mà Google đang yêu cầu quyền truy cập bằng thông tin xác thực ủy quyền của người dùng và bản tóm tắt các phạm vi truy cập được cấp. Sau đó, người dùng có thể đồng ý cấp quyền truy cập vào một hoặc nhiều phạm vi do ứng dụng của bạn yêu cầu hoặc từ chối yêu cầu.

Ứng dụng của bạn không cần thực hiện bất kỳ điều gì ở giai đoạn này vì nó chờ phản hồi từ máy chủ OAuth 2.0 của Google cho biết liệu có bất kỳ quyền truy cập nào được cấp hay không. Phản ứng đó được giải thích trong bước sau.

Lỗi

Các yêu cầu tới điểm cuối ủy quyền OAuth 2.0 của Google có thể hiển thị thông báo lỗi do người dùng đối mặt thay vì các quy trình xác thực và ủy quyền như mong đợi. Các mã lỗi phổ biến và các giải pháp được đề xuất được liệt kê bên dưới.

admin_policy_enforced

Tài khoản Google không thể cấp phép một hoặc nhiều phạm vi được yêu cầu do các chính sách của quản trị viên Google Workspace của họ. Xem bài viết trợ giúp Quản trị không gian làm việc của Google Kiểm soát ứng dụng bên thứ ba và ứng dụng nội bộ nào truy cập vào dữ liệu Không gian làm việc của Google để biết thêm thông tin về cách quản trị viên có thể hạn chế quyền truy cập vào tất cả các phạm vi hoặc phạm vi nhạy cảm và hạn chế cho đến khi quyền truy cập được cấp rõ ràng cho ID ứng dụng khách OAuth của bạn.

disallowed_useragent

Điểm cuối ủy quyền được hiển thị bên trong tác nhân người dùng được nhúng không được Chính sách OAuth 2.0 của Google cho phép.

Android

Các nhà phát triển Android có thể gặp phải thông báo lỗi này khi mở các yêu cầu ủy quyền trong android.webkit.WebView . Thay vào đó, các nhà phát triển nên sử dụng các thư viện Android như Google Sign-In cho Android hoặc AppAuth của OpenID Foundation cho Android .

Các nhà phát triển web có thể gặp phải lỗi này khi ứng dụng Android mở liên kết web chung trong tác nhân người dùng được nhúng và người dùng điều hướng đến điểm cuối ủy quyền OAuth 2.0 của Google từ trang web của bạn. Các nhà phát triển nên cho phép các liên kết chung mở trong trình xử lý liên kết mặc định của hệ điều hành, bao gồm cả trình xử lýLiên kết ứng dụng Android hoặc ứng dụng trình duyệt mặc định. Thư viện Tab tùy chỉnh của Android cũng là một tùy chọn được hỗ trợ.

iOS

Các nhà phát triển iOS và macOS có thể gặp phải lỗi này khi mở các yêu cầu ủy quyền trong WKWebView . Thay vào đó, các nhà phát triển nên sử dụng các thư viện iOS như Google Sign-In cho iOS hoặc AppAuth của OpenID Foundation cho iOS .

Các nhà phát triển web có thể gặp phải lỗi này khi ứng dụng iOS hoặc macOS mở liên kết web chung trong tác nhân người dùng được nhúng và người dùng điều hướng đến điểm cuối ủy quyền OAuth 2.0 của Google từ trang web của bạn. Các nhà phát triển nên cho phép các liên kết chung mở trong trình xử lý liên kết mặc định của hệ điều hành, bao gồm cả trình xử lýLiên kết chung hoặc ứng dụng trình duyệt mặc định. Thư viện SFSafariViewController cũng là một tùy chọn được hỗ trợ.

org_internal

ID ứng dụng khách OAuth trong yêu cầu là một phần của dự án giới hạn quyền truy cập vào Tài khoản Google trong một Tổ chức Google Cloud cụ thể. Để biết thêm thông tin về tùy chọn cấu hình này, hãy xem phần Loại người dùng trong bài viết trợ giúp về thiết lập màn hình chấp thuận OAuth của bạn.

redirect_uri_mismatch

redirect_uri được chuyển trong yêu cầu ủy quyền không khớp với URI chuyển hướng được ủy quyền cho ID ứng dụng khách OAuth. Xem lại các URI chuyển hướng được ủy quyền trong Google API Console Credentials page.

Bước 4: Xử lý phản hồi của máy chủ OAuth 2.0

Máy chủ OAuth 2.0 phản hồi yêu cầu truy cập ứng dụng của bạn bằng cách sử dụng URL được chỉ định trong yêu cầu.

Nếu người dùng chấp thuận yêu cầu truy cập, thì phản hồi sẽ chứa mã ủy quyền. Nếu người dùng không chấp thuận yêu cầu, phản hồi sẽ chứa thông báo lỗi. Mã ủy quyền hoặc thông báo lỗi được trả về máy chủ web xuất hiện trên chuỗi truy vấn, như được hiển thị bên dưới:

Một phản hồi lỗi:

https://oauth2.example.com/auth?error=access_denied

Phản hồi mã ủy quyền:

https://oauth2.example.com/auth?code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7

Phản hồi mẫu của máy chủ OAuth 2.0

Bạn có thể kiểm tra quy trình này bằng cách nhấp vào URL mẫu sau, URL này yêu cầu quyền truy cập chỉ đọc để xem siêu dữ liệu cho các tệp trong Google Drive của bạn:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

After completing the OAuth 2.0 flow, you should be redirected to http://localhost/oauth2callback , which will likely yield a 404 NOT FOUND error unless your local machine serves a file at that address. The next step provides more detail about the information returned in the URI when the user is redirected back to your application.

Step 5: Exchange authorization code for refresh and access tokens

After the web server receives the authorization code, it can exchange the authorization code for an access token.

PHP

To exchange an authorization code for an access token, use the authenticate method:

$client->authenticate($_GET['code']);

You can retrieve the access token with the getAccessToken method:

$access_token = $client->getAccessToken();

Python

On your callback page, use the google-auth library to verify the authorization server response. Then, use the flow.fetch_token method to exchange the authorization code in that response for an access token:

state = flask.session['state']
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'],
    state=state)
flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

authorization_response = flask.request.url
flow.fetch_token(authorization_response=authorization_response)

# Store the credentials in the session.
# ACTION ITEM for developers:
#     Store user's access and refresh tokens in your data store if
#     incorporating this code into your real app.
credentials = flow.credentials
flask.session['credentials'] = {
    'token': credentials.token,
    'refresh_token': credentials.refresh_token,
    'token_uri': credentials.token_uri,
    'client_id': credentials.client_id,
    'client_secret': credentials.client_secret,
    'scopes': credentials.scopes}

Ruby

To exchange an authorization code for an access token, use the fetch_access_token! method:

auth_client.code = auth_code
auth_client.fetch_access_token!

HTTP/REST

To exchange an authorization code for an access token, call the https://oauth2.googleapis.com/token endpoint and set the following parameters:

Fields
client_id The client ID obtained from the API Console Credentials page.
client_secret The client secret obtained from the API Console Credentials page.
code The authorization code returned from the initial request.
grant_type As defined in the OAuth 2.0 specification , this field's value must be set to authorization_code .
redirect_uri One of the redirect URIs listed for your project in the API Console Credentials page for the given client_id .

The following snippet shows a sample request:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your_client_id&
client_secret=your_client_secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

Google responds to this request by returning a JSON object that contains a short-lived access token and a refresh token. Note that the refresh token is only returned if your application set the access_type parameter to offline in the initial request to Google's authorization server .

The response contains the following fields:

Fields
access_token The token that your application sends to authorize a Google API request.
expires_in The remaining lifetime of the access token in seconds.
refresh_token A token that you can use to obtain a new access token. Refresh tokens are valid until the user revokes access. Again, this field is only present in this response if you set the access_type parameter to offline in the initial request to Google's authorization server.
scope The scopes of access granted by the access_token expressed as a list of space-delimited, case-sensitive strings.
token_type The type of token returned. At this time, this field's value is always set to Bearer .

The following snippet shows a sample response:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "token_type": "Bearer",
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

Calling Google APIs

PHP

Use the access token to call Google APIs by completing the following steps:

  1. If you need to apply an access token to a new Google_Client object—for example, if you stored the access token in a user session—use the setAccessToken method:
    $client->setAccessToken($access_token);
  2. Build a service object for the API that you want to call. You build a service object by providing an authorized Google_Client object to the constructor for the API you want to call. For example, to call the Drive API:
    $drive = new Google_Service_Drive($client);
  3. Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
    $files = $drive->files->listFiles(array())->getItems();

Python

After obtaining an access token, your application can use that token to authorize API requests on behalf of a given user account or service account. Use the user-specific authorization credentials to build a service object for the API that you want to call, and then use that object to make authorized API requests.

  1. Build a service object for the API that you want to call. You build a service object by calling the googleapiclient.discovery library's build method with the name and version of the API and the user credentials: For example, to call version 2 of the Drive API:
    from googleapiclient.discovery import build
    
    drive = build('drive', 'v2', credentials=credentials)
  2. Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
    files = drive.files().list().execute()

Ruby

Use the auth_client object to call Google APIs by completing the following steps:

  1. Build a service object for the API that you want to call. For example, to call version 2 of the Drive API:
    drive = Google::Apis::DriveV2::DriveService.new
  2. Set the credentials on the service:
    drive.authorization = auth_client
  3. Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
    files = drive.list_files

Alternately, authorization can be provided on a per-method basis by supplying the options parameter to a method:

files = drive.list_files(options: { authorization: auth_client })

HTTP/REST

After your application obtains an access token, you can use the token to make calls to a Google API on behalf of a given user account if the scope(s) of access required by the API have been granted. To do this, include the access token in a request to the API by including either an access_token query parameter or an Authorization HTTP header Bearer value. When possible, the HTTP header is preferable, because query strings tend to be visible in server logs. In most cases you can use a client library to set up your calls to Google APIs (for example, when calling the Drive Files API ).

You can try out all the Google APIs and view their scopes at the OAuth 2.0 Playground .

HTTP GET examples

A call to the drive.files endpoint (the Drive Files API) using the Authorization: Bearer HTTP header might look like the following. Note that you need to specify your own access token:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

Here is a call to the same API for the authenticated user using the access_token query string parameter:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl examples

You can test these commands with the curl command-line application. Here's an example that uses the HTTP header option (preferred):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

Or, alternatively, the query string parameter option:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

Complete example

The following example prints a JSON-formatted list of files in a user's Google Drive after the user authenticates and gives consent for the application to access the user's Drive metadata.

PHP

To run this example:

  1. In the API Console, add the URL of the local machine to the list of redirect URLs. For example, add http://localhost:8080 .
  2. Create a new directory and change to it. For example:
    mkdir ~/php-oauth2-example
    cd ~/php-oauth2-example
  3. Install the Google API Client Library for PHP using Composer :
    composer require google/apiclient:^2.0
  4. Create the files index.php and oauth2callback.php with the content below.
  5. Run the example with a web server configured to serve PHP. If you use PHP 5.4 or newer, you can use PHP's built-in test web server:
    php -S localhost:8080 ~/php-oauth2-example

index.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google_Client();
$client->setAuthConfig('client_secrets.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

if (isset($_SESSION['access_token']) && $_SESSION['access_token']) {
  $client->setAccessToken($_SESSION['access_token']);
  $drive = new Google_Service_Drive($client);
  $files = $drive->files->listFiles(array())->getItems();
  echo json_encode($files);
} else {
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

oauth2callback.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google_Client();
$client->setAuthConfigFile('client_secrets.json');
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

if (! isset($_GET['code'])) {
  $auth_url = $client->createAuthUrl();
  header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));
} else {
  $client->authenticate($_GET['code']);
  $_SESSION['access_token'] = $client->getAccessToken();
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

Python

This example uses the Flask framework. It runs a web application at http://localhost:8080 that lets you test the OAuth 2.0 flow. If you go to that URL, you should see four links:

  • Test an API request: This link points to a page that tries to execute a sample API request. If necessary, it starts the authorization flow. If successful, the page displays the API response.
  • Test the auth flow directly: This link points to a page that tries to send the user through the authorization flow . The app requests permission to submit authorized API requests on the user's behalf.
  • Revoke current credentials: This link points to a page that revokes permissions that the user has already granted to the application.
  • Clear Flask session credentials: This link clears authorization credentials that are stored in the Flask session. This lets you see what would happen if a user who had already granted permission to your app tried to execute an API request in a new session. It also lets you see the API response your app would get if a user had revoked permissions granted to your app, and your app still tried to authorize a request with a revoked access token.
# -*- coding: utf-8 -*-

import os
import flask
import requests

import google.oauth2.credentials
import google_auth_oauthlib.flow
import googleapiclient.discovery

# This variable specifies the name of a file that contains the OAuth 2.0
# information for this application, including its client_id and client_secret.
CLIENT_SECRETS_FILE = "client_secret.json"

# This OAuth 2.0 access scope allows for full read/write access to the
# authenticated user's account and requires requests to use an SSL connection.
SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly']
API_SERVICE_NAME = 'drive'
API_VERSION = 'v2'

app = flask.Flask(__name__)
# Note: A secret key is included in the sample so that it works.
# If you use this code in your application, replace this with a truly secret
# key. See https://flask.palletsprojects.com/quickstart/#sessions.
app.secret_key = 'REPLACE ME - this value is here as a placeholder.'


@app.route('/')
def index():
  return print_index_table()


@app.route('/test')
def test_api_request():
  if 'credentials' not in flask.session:
    return flask.redirect('authorize')

  # Load credentials from the session.
  credentials = google.oauth2.credentials.Credentials(
      **flask.session['credentials'])

  drive = googleapiclient.discovery.build(
      API_SERVICE_NAME, API_VERSION, credentials=credentials)

  files = drive.files().list().execute()

  # Save credentials back to session in case access token was refreshed.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.jsonify(**files)


@app.route('/authorize')
def authorize():
  # Create flow instance to manage the OAuth 2.0 Authorization Grant Flow steps.
  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES)

  # The URI created here must exactly match one of the authorized redirect URIs
  # for the OAuth 2.0 client, which you configured in the API Console. If this
  # value doesn't match an authorized URI, you will get a 'redirect_uri_mismatch'
  # error.
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  authorization_url, state = flow.authorization_url(
      # Enable offline access so that you can refresh an access token without
      # re-prompting the user for permission. Recommended for web server apps.
      access_type='offline',
      # Enable incremental authorization. Recommended as a best practice.
      include_granted_scopes='true')

  # Store the state so the callback can verify the auth server response.
  flask.session['state'] = state

  return flask.redirect(authorization_url)


@app.route('/oauth2callback')
def oauth2callback():
  # Specify the state when creating the flow in the callback so that it can
  # verified in the authorization server response.
  state = flask.session['state']

  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES, state=state)
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  # Use the authorization server's response to fetch the OAuth 2.0 tokens.
  authorization_response = flask.request.url
  flow.fetch_token(authorization_response=authorization_response)

  # Store credentials in the session.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  credentials = flow.credentials
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.redirect(flask.url_for('test_api_request'))


@app.route('/revoke')
def revoke():
  if 'credentials' not in flask.session:
    return ('You need to <a href="/authorize">authorize</a> before ' +
            'testing the code to revoke credentials.')

  credentials = google.oauth2.credentials.Credentials(
    **flask.session['credentials'])

  revoke = requests.post('https://oauth2.googleapis.com/revoke',
      params={'token': credentials.token},
      headers = {'content-type': 'application/x-www-form-urlencoded'})

  status_code = getattr(revoke, 'status_code')
  if status_code == 200:
    return('Credentials successfully revoked.' + print_index_table())
  else:
    return('An error occurred.' + print_index_table())


@app.route('/clear')
def clear_credentials():
  if 'credentials' in flask.session:
    del flask.session['credentials']
  return ('Credentials have been cleared.<br><br>' +
          print_index_table())


def credentials_to_dict(credentials):
  return {'token': credentials.token,
          'refresh_token': credentials.refresh_token,
          'token_uri': credentials.token_uri,
          'client_id': credentials.client_id,
          'client_secret': credentials.client_secret,
          'scopes': credentials.scopes}

def print_index_table():
  return ('<table>' +
          '<tr><td><a href="/test">Test an API request</a></td>' +
          '<td>Submit an API request and see a formatted JSON response. ' +
          '    Go through the authorization flow if there are no stored ' +
          '    credentials for the user.</td></tr>' +
          '<tr><td><a href="/authorize">Test the auth flow directly</a></td>' +
          '<td>Go directly to the authorization flow. If there are stored ' +
          '    credentials, you still might not be prompted to reauthorize ' +
          '    the application.</td></tr>' +
          '<tr><td><a href="/revoke">Revoke current credentials</a></td>' +
          '<td>Revoke the access token associated with the current user ' +
          '    session. After revoking credentials, if you go to the test ' +
          '    page, you should see an <code>invalid_grant</code> error.' +
          '</td></tr>' +
          '<tr><td><a href="/clear">Clear Flask session credentials</a></td>' +
          '<td>Clear the access token currently stored in the user session. ' +
          '    After clearing the token, if you <a href="/test">test the ' +
          '    API request</a> again, you should go back to the auth flow.' +
          '</td></tr></table>')


if __name__ == '__main__':
  # When running locally, disable OAuthlib's HTTPs verification.
  # ACTION ITEM for developers:
  #     When running in production *do not* leave this option enabled.
  os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1'

  # Specify a hostname and port that are set as a valid redirect URI
  # for your API project in the Google API Console.
  app.run('localhost', 8080, debug=True)

Ruby

This example uses the Sinatra framework.

require 'google/apis/drive_v2'
require 'google/api_client/client_secrets'
require 'json'
require 'sinatra'

enable :sessions
set :session_secret, 'setme'

get '/' do
  unless session.has_key?(:credentials)
    redirect to('/oauth2callback')
  end
  client_opts = JSON.parse(session[:credentials])
  auth_client = Signet::OAuth2::Client.new(client_opts)
  drive = Google::Apis::DriveV2::DriveService.new
  files = drive.list_files(options: { authorization: auth_client })
  "<pre>#{JSON.pretty_generate(files.to_h)}</pre>"
end

get '/oauth2callback' do
  client_secrets = Google::APIClient::ClientSecrets.load
  auth_client = client_secrets.to_authorization
  auth_client.update!(
    :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly',
    :redirect_uri => url('/oauth2callback'))
  if request['code'] == nil
    auth_uri = auth_client.authorization_uri.to_s
    redirect to(auth_uri)
  else
    auth_client.code = request['code']
    auth_client.fetch_access_token!
    auth_client.client_secret = nil
    session[:credentials] = auth_client.to_json
    redirect to('/')
  end
end

HTTP/REST

This Python example uses the Flask framework and the Requests library to demonstrate the OAuth 2.0 web flow. We recommend using the Google API Client Library for Python for this flow. (The example in the Python tab does use the client library.)

import json

import flask
import requests


app = flask.Flask(__name__)

CLIENT_ID = '123456789.apps.googleusercontent.com'
CLIENT_SECRET = 'abc123'  # Read from a file or environmental variable in a real app
SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly'
REDIRECT_URI = 'http://example.com/oauth2callback'


@app.route('/')
def index():
  if 'credentials' not in flask.session:
    return flask.redirect(flask.url_for('oauth2callback'))
  credentials = json.loads(flask.session['credentials'])
  if credentials['expires_in'] <= 0:
    return flask.redirect(flask.url_for('oauth2callback'))
  else:
    headers = {'Authorization': 'Bearer {}'.format(credentials['access_token'])}
    req_uri = 'https://www.googleapis.com/drive/v2/files'
    r = requests.get(req_uri, headers=headers)
    return r.text


@app.route('/oauth2callback')
def oauth2callback():
  if 'code' not in flask.request.args:
    auth_uri = ('https://accounts.google.com/o/oauth2/v2/auth?response_type=code'
                '&client_id={}&redirect_uri={}&scope={}').format(CLIENT_ID, REDIRECT_URI, SCOPE)
    return flask.redirect(auth_uri)
  else:
    auth_code = flask.request.args.get('code')
    data = {'code': auth_code,
            'client_id': CLIENT_ID,
            'client_secret': CLIENT_SECRET,
            'redirect_uri': REDIRECT_URI,
            'grant_type': 'authorization_code'}
    r = requests.post('https://oauth2.googleapis.com/token', data=data)
    flask.session['credentials'] = r.text
    return flask.redirect(flask.url_for('index'))


if __name__ == '__main__':
  import uuid
  app.secret_key = str(uuid.uuid4())
  app.debug = False
  app.run()

Redirect URI validation rules

Google applies the following validation rules to redirect URIs in order to help developers keep their applications secure. Your redirect URIs must adhere to these rules. See RFC 3986 section 3 for the definition of domain, host, path, query, scheme and userinfo, mentioned below.

Validation rules
Scheme

URIs must use the HTTPS scheme, not plain HTTP. Localhost URIs (including localhost IP address URIs) are exempt from this rule.

Host

Hosts cannot be raw IP addresses. Localhost IP addresses are exempted from this rule.

Domain
  • Host TLDs ( Top Level Domains ) must belong to the public suffix list .
  • Host domains cannot be “googleusercontent.com” .
  • URIs cannot contain URL shortener domains (eg goo.gl ) unless the app owns the domain. Furthermore, if an app that owns a shortener domain chooses to redirect to that domain, that redirect URI must either contain “/google-callback/” in its path or end with “/google-callback” .
  • Userinfo

    Redirect URIs cannot contain the userinfo subcomponent.

    Path

    Redirect URIs cannot contain a path traversal (also called directory backtracking), which is represented by an “/..” or “\..” or their URL encoding.

    Query

    Redirect URIs cannot contain open redirects .

    Characters URIs cannot contain certain characters including:
    • Wildcard characters ( '*' )
    • Non-printable ASCII characters
    • Invalid percent encodings (any percent encoding that does not follow URL-encoding form of a percent sign followed by two hexadecimal digits)
    • Null characters (an encoded NULL character, eg, %00 , %C0%80 )

    Incremental authorization

    In the OAuth 2.0 protocol, your app requests authorization to access resources, which are identified by scopes. It is considered a best user-experience practice to request authorization for resources at the time you need them. To enable that practice, Google's authorization server supports incremental authorization. This feature lets you request scopes as they are needed and, if the user grants permission for the new scope, returns an authorization code that may be exchanged for a token containing all scopes the user has granted the project.

    For example, an app that lets people sample music tracks and create mixes might need very few resources at sign-in time, perhaps nothing more than the name of the person signing in. However, saving a completed mix would require access to their Google Drive. Most people would find it natural if they only were asked for access to their Google Drive at the time the app actually needed it.

    In this case, at sign-in time the app might request the openid and profile scopes to perform basic sign-in, and then later request the https://www.googleapis.com/auth/drive.file scope at the time of the first request to save a mix.

    To implement incremental authorization, you complete the normal flow for requesting an access token but make sure that the authorization request includes previously granted scopes. This approach allows your app to avoid having to manage multiple access tokens.

    The following rules apply to an access token obtained from an incremental authorization:

    • The token can be used to access resources corresponding to any of the scopes rolled into the new, combined authorization.
    • When you use the refresh token for the combined authorization to obtain an access token, the access token represents the combined authorization and can be used for any of the scope values included in the response.
    • The combined authorization includes all scopes that the user granted to the API project even if the grants were requested from different clients. For example, if a user granted access to one scope using an application's desktop client and then granted another scope to the same application via a mobile client, the combined authorization would include both scopes.
    • If you revoke a token that represents a combined authorization, access to all of that authorization's scopes on behalf of the associated user are revoked simultaneously.

    The language-specific code samples in Step 1: Set authorization parameters and the sample HTTP/REST redirect URL in Step 2: Redirect to Google's OAuth 2.0 server all use incremental authorization. The code samples below also show the code that you need to add to use incremental authorization.

    PHP

    $client->setIncludeGrantedScopes(true);

    Python

    In Python, set the include_granted_scopes keyword argument to true to ensure that an authorization request includes previously granted scopes. It is very possible that include_granted_scopes will not be the only keyword argument that you set, as shown in the example below.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    Ruby

    auth_client.update!(
      :additional_parameters => {"include_granted_scopes" => "true"}
    )

    HTTP/REST

    GET https://accounts.google.com/o/oauth2/v2/auth?
      client_id=your_client_id&
      response_type=code&
      state=state_parameter_passthrough_value&
      scope=https%3A//www.googleapis.com/auth/drive.file&
      redirect_uri=https%3A//oauth2.example.com/code&
      prompt=consent&
      include_granted_scopes=true

    Refreshing an access token (offline access)

    Access tokens periodically expire and become invalid credentials for a related API request. You can refresh an access token without prompting the user for permission (including when the user is not present) if you requested offline access to the scopes associated with the token.

    • If you use a Google API Client Library, the client object refreshes the access token as needed as long as you configure that object for offline access.
    • If you are not using a client library, you need to set the access_type HTTP query parameter to offline when redirecting the user to Google's OAuth 2.0 server . In that case, Google's authorization server returns a refresh token when you exchange an authorization code for an access token. Then, if the access token expires (or at any other time), you can use a refresh token to obtain a new access token.

    Requesting offline access is a requirement for any application that needs to access a Google API when the user is not present. For example, an app that performs backup services or executes actions at predetermined times needs to be able to refresh its access token when the user is not present. The default style of access is called online .

    Server-side web applications, installed applications, and devices all obtain refresh tokens during the authorization process. Refresh tokens are not typically used in client-side (JavaScript) web applications.

    PHP

    If your application needs offline access to a Google API, set the API client's access type to offline :

    $client->setAccessType("offline");

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    Python

    In Python, set the access_type keyword argument to offline to ensure that you will be able to refresh the access token without having to re-prompt the user for permission. It is very possible that access_type will not be the only keyword argument that you set, as shown in the example below.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    Ruby

    If your application needs offline access to a Google API, set the API client's access type to offline :

    auth_client.update!(
      :additional_parameters => {"access_type" => "offline"}
    )

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    HTTP/REST

    To refresh an access token, your application sends an HTTPS POST request to Google's authorization server ( https://oauth2.googleapis.com/token ) that includes the following parameters:

    Fields
    client_id The client ID obtained from the API Console.
    client_secret The client secret obtained from the API Console.
    grant_type As defined in the OAuth 2.0 specification , this field's value must be set to refresh_token .
    refresh_token The refresh token returned from the authorization code exchange.

    The following snippet shows a sample request:

    POST /token HTTP/1.1
    Host: oauth2.googleapis.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=your_client_id&
    client_secret=your_client_secret&
    refresh_token=refresh_token&
    grant_type=refresh_token

    As long as the user has not revoked the access granted to the application, the token server returns a JSON object that contains a new access token. The following snippet shows a sample response:

    {
      "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
      "expires_in": 3920,
      "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
      "token_type": "Bearer"
    }

    Note that there are limits on the number of refresh tokens that will be issued; one limit per client/user combination, and another per user across all clients. You should save refresh tokens in long-term storage and continue to use them as long as they remain valid. If your application requests too many refresh tokens, it may run into these limits, in which case older refresh tokens will stop working.

    Revoking a token

    In some cases a user may wish to revoke access given to an application. A user can revoke access by visiting Account Settings . See the Remove site or app access section of the Third-party sites & apps with access to your account support document for more information.

    It is also possible for an application to programmatically revoke the access given to it. Programmatic revocation is important in instances where a user unsubscribes, removes an application, or the API resources required by an app have significantly changed. In other words, part of the removal process can include an API request to ensure the permissions previously granted to the application are removed.

    PHP

    To programmatically revoke a token, call revokeToken() :

    $client->revokeToken();

    Python

    To programmatically revoke a token, make a request to https://oauth2.googleapis.com/revoke that includes the token as a parameter and sets the Content-Type header:

    requests.post('https://oauth2.googleapis.com/revoke',
        params={'token': credentials.token},
        headers = {'content-type': 'application/x-www-form-urlencoded'})

    Ruby

    To programmatically revoke a token, make an HTTP request to the oauth2.revoke endpoint:

    uri = URI('https://oauth2.googleapis.com/revoke')
    response = Net::HTTP.post_form(uri, 'token' => auth_client.access_token)
    

    The token can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.

    If the revocation is successfully processed, then the status code of the response is 200 . For error conditions, a status code 400 is returned along with an error code.

    HTTP/REST

    To programmatically revoke a token, your application makes a request to https://oauth2.googleapis.com/revoke and includes the token as a parameter:

    curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
            https://oauth2.googleapis.com/revoke?token={token}

    The token can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.

    If the revocation is successfully processed, then the HTTP status code of the response is 200 . For error conditions, an HTTP status code 400 is returned along with an error code.