Las API de Google usan el protocolo OAuth 2.0 para la autenticación y autorización. Google admite situaciones comunes de OAuth 2.0, como las de aplicaciones de servidores web, cliente, instaladas y de entrada limitada.
Para comenzar, obtén las credenciales de cliente de OAuth 2.0 de Google API Console. Luego, la aplicación cliente solicita un token de acceso al servidor de autorización de Google, extrae un token de la respuesta y lo envía a la API de Google a la que deseas acceder. Para ver una demostración interactiva del uso de OAuth 2.0 con Google (incluye la opción de usar tus propias credenciales de cliente), experimenta con el Playground de OAuth 2.0.
En esta página, se proporciona una descripción general de las situaciones de autorización de OAuth 2.0 que admite Google y se proporcionan vínculos a contenido más detallado. Si deseas obtener detalles sobre el uso de OAuth 2.0 para la autenticación, consulta OpenID Connect.
Pasos básicos
Todas las aplicaciones siguen un patrón básico cuando se accede a una API de Google con OAuth 2.0. En un nivel alto, debes seguir cinco pasos:
1. Obtén credenciales de OAuth 2.0 de Google API Console.
Visita Google API Console para obtener credenciales de OAuth 2.0, como el ID y el secreto del cliente, que Google y tu aplicación conocen. El conjunto de valores varía según el tipo de aplicación que compiles. Por ejemplo, una aplicación de JavaScript no requiere un secreto, pero una aplicación de servidor web sí.
Debes crear un cliente de OAuth adecuado para la plataforma en la que se ejecutará tu app, por ejemplo:
- En el caso de las apps web del servidor o JavaScript, usa el tipo de cliente "web". No uses este tipo de cliente en ninguna otra aplicación, como aplicaciones nativas o para dispositivos móviles.
- En el caso de las apps para Android, usa el tipo de cliente "Android".
- En el caso de las apps para iOS y macOS, usa el tipo de cliente "iOS".
- Para las apps de la plataforma universal de Windows, usa el tipo de cliente de la "Plataforma universal de Windows".
- Para dispositivos de entrada limitados, como TVs o dispositivos incorporados, usa el tipo de cliente "TVs y dispositivos de entrada limitada".
- Para interacciones de servidor a servidor, usa cuentas de servicio.
2. Obtén un token de acceso del servidor de autorización de Google.
Antes de que tu aplicación pueda acceder a los datos privados mediante una API de Google, debe obtener un token de acceso que otorgue acceso a esa API. Un solo token de acceso puede otorgar diversos grados de acceso a múltiples API. Un parámetro variable llamado scope controla el conjunto de recursos y operaciones que permite un token de acceso. Durante la solicitud de token de acceso, la aplicación envía uno o más valores en el parámetro scope.
Existen varias maneras de realizar esta solicitud, que varían según el tipo de aplicación que compiles. Por ejemplo, una aplicación de JavaScript puede solicitar un token de acceso mediante el redireccionamiento de un navegador a Google, mientras que una aplicación instalada en un dispositivo que no tiene navegador usa solicitudes de servicio web.
Algunas solicitudes requieren un paso de autenticación en el que el usuario accede con su Cuenta de Google. Después de acceder, se le pregunta al usuario si está dispuesto a otorgar uno o más permisos que solicita tu aplicación. Este proceso se denomina consentimiento de usuarios.
Si el usuario otorga al menos un permiso, el servidor de autorización de Google envía a tu aplicación un token de acceso (o un código de autorización que tu aplicación puede usar para obtener un token de acceso) y una lista de permisos de acceso otorgados por ese token. Si el usuario no otorga el permiso, el servidor muestra un error.
Por lo general, se recomienda solicitar alcances de manera incremental, en el momento en que se requiere acceso, en lugar de hacerlo por adelantado. Por ejemplo, una app que quiere admitir que se guarde un evento en un calendario no debe solicitar acceso al Calendario de Google hasta que el usuario presione el botón "Agregar al Calendario". Consulta Autorización incremental.
3. Examinar los permisos de acceso otorgados por el usuario
Compara los alcances incluidos en la respuesta del token de acceso con los permisos necesarios para acceder a las características y funciones de tu aplicación que dependen del acceso a una API de Google relacionada. Inhabilita las funciones de tu app que no funcionen sin acceso a la API relacionada.
Es posible que el alcance incluido en la solicitud no coincida con el que se incluye en la respuesta, incluso si el usuario otorgó todos los permisos solicitados. Consulta la documentación de cada API de Google a fin de conocer los permisos necesarios para acceder. Una API puede asignar múltiples valores de string de permiso a un solo permiso de acceso y mostrar la misma string de permiso para todos los valores permitidos en la solicitud.
Ejemplo: La API de Personas de Google puede mostrar un permiso de https://www.googleapis.com/auth/contacts cuando una app solicita a un usuario que autorice un alcance de https://www.google.com/m8/feeds/; el método people.updateContact de la API de Personas de Google requiere un permiso otorgado de https://www.googleapis.com/auth/contacts.
4. Envía el token de acceso a una API.
Después de que una aplicación obtiene un token de acceso, lo envía a una API de Google mediante un encabezado de solicitud de autorización HTTP. Es posible enviar tokens como parámetros de string de consulta de URI, pero no lo recomendamos, ya que los parámetros de URI pueden terminar en archivos de registro que no son completamente seguros. Además, se recomienda evitar crear nombres de parámetros de URI innecesarios.
Los tokens de acceso son válidos solo para el conjunto de operaciones y recursos descritos en el archivo scope de la solicitud de token. Por ejemplo, si se emite un token de acceso para la API de Calendario de Google, no otorga acceso a la API de Contactos de Google. Sin embargo, puedes enviar ese token de acceso a la API de Google Calendar varias veces para operaciones similares.
5. Actualiza el token de acceso si es necesario.
Los tokens de acceso tienen una vida útil limitada. Si tu aplicación necesita acceder a una API de Google más allá de la vida útil de un solo token de acceso, puede obtener un token de actualización. Un token de actualización permite que tu aplicación obtenga nuevos tokens de acceso.
Situaciones
Aplicaciones de servidor web
El extremo de Google OAuth 2.0 admite aplicaciones de servidor web que usan lenguajes y frameworks como PHP, Java, Python, Ruby y ASP.NET.
La secuencia de autorización comienza cuando tu aplicación redirecciona un navegador a una URL de Google; la URL incluye parámetros de búsqueda que indican el tipo de acceso que se solicita. Google controla la autenticación del usuario, la selección de la sesión y el consentimiento del usuario. El resultado es un código de autorización, que la aplicación puede intercambiar por un token de acceso y un token de actualización.
La aplicación debe almacenar el token de actualización para usarlo en el futuro y usarlo para acceder a una API de Google. Una vez que venza el token de acceso, la aplicación usará el token de actualización para obtener uno nuevo.
Si deseas obtener más detalles, consulta Cómo usar OAuth 2.0 para aplicaciones de servidor web.
Aplicaciones instaladas
El extremo de Google OAuth 2.0 admite aplicaciones que se instalan en dispositivos como computadoras, dispositivos móviles y tablets. Cuando crees un ID de cliente a través de Google API Console, especifica que se trata de una aplicación instalada y, luego, selecciona Android, la app de Chrome, iOS, la Plataforma de Windows universal (UWP) o la app de escritorio como el tipo de aplicación.
El proceso genera un ID de cliente y, en algunos casos, un secreto de cliente, que puedes incorporar en el código fuente de tu aplicación. (En este contexto, el secreto del cliente no se considera un secreto).
La secuencia de autorización comienza cuando tu aplicación redirecciona un navegador a una URL de Google; la URL incluye parámetros de búsqueda que indican el tipo de acceso que se solicita. Google controla la autenticación del usuario, la selección de la sesión y el consentimiento del usuario. El resultado es un código de autorización, que la aplicación puede intercambiar por un token de acceso y un token de actualización.
La aplicación debe almacenar el token de actualización para usarlo en el futuro y usarlo para acceder a una API de Google. Una vez que venza el token de acceso, la aplicación usará el token de actualización para obtener uno nuevo.
Si deseas obtener más detalles, consulta Cómo usar OAuth 2.0 para aplicaciones instaladas.
Aplicaciones del cliente (JavaScript)
El extremo de Google OAuth 2.0 admite aplicaciones de JavaScript que se ejecutan en un navegador.
La secuencia de autorización comienza cuando tu aplicación redirecciona un navegador a una URL de Google; la URL incluye parámetros de búsqueda que indican el tipo de acceso que se solicita. Google controla la autenticación del usuario, la selección de la sesión y el consentimiento del usuario.
El resultado es un token de acceso, que el cliente debe validar antes de incluirlo en una solicitud a la API de Google. Cuando el token vence, la aplicación repite el proceso.
A fin de obtener detalles, consulta Usa OAuth 2.0 para aplicaciones del cliente.
Aplicaciones en dispositivos de entrada limitada
El extremo de Google OAuth 2.0 admite aplicaciones que se ejecutan en dispositivos de entrada limitada, como consolas de juegos, impresoras y cámaras de video.
La secuencia de autorización comienza cuando la aplicación envía una solicitud de servicio web a una URL de Google para obtener un código de autorización. La respuesta contiene varios parámetros, como una URL y un código que la aplicación muestra al usuario.
El usuario obtiene la URL y el código del dispositivo y, luego, cambia a otro dispositivo o computadora con capacidades de entrada enriquecidas. El usuario inicia un navegador, navega a la URL especificada, accede y, luego, ingresa el código.
Mientras tanto, la aplicación sondea una URL de Google en un intervalo especificado. Después de que el usuario aprueba el acceso, la respuesta del servidor de Google contiene un token de acceso y un token de actualización. La aplicación debe almacenar el token de actualización para usarlo en el futuro y usarlo para acceder a una API de Google. Una vez que venza el token de acceso, la aplicación lo usará para obtener uno nuevo.
Para obtener más información, consulta Cómo usar OAuth 2.0 para dispositivos.
Cuentas de servicio
Las APIs de Google, como la API de Prediction y Google Cloud Storage, pueden actuar en nombre de tu aplicación sin acceder a la información del usuario. En estas situaciones, tu aplicación debe demostrar su propia identidad a la API, pero no se necesita el consentimiento del usuario. Del mismo modo, en situaciones empresariales, tu aplicación puede solicitar acceso delegado a algunos recursos.
Para estos tipos de interacciones servidor a servidor, necesitas una cuenta de servicio, que es una cuenta que pertenece a tu aplicación en lugar de un usuario final individual. Tu aplicación llama a las API de Google en nombre de la cuenta de servicio y no se requiere el consentimiento del usuario. (En situaciones que no son de cuentas de servicio, tu aplicación llama a las API de Google en nombre de los usuarios finales y, a veces, se requiere el consentimiento del usuario).
Las credenciales de una cuenta de servicio, que obtienes de Google API Console, incluyen una dirección de correo electrónico generada que es única, un ID de cliente y al menos un par de claves pública/privada. Usa el ID de cliente y una clave privada para crear un JWT firmado y crear una solicitud de token de acceso en el formato adecuado. Luego, la aplicación envía la solicitud de token al servidor de autorización de Google OAuth 2.0, que muestra un token de acceso. La aplicación usa el token para acceder a una API de Google. Cuando el token vence, la aplicación repite el proceso.
Para obtener detalles, consulta la documentación de la cuenta de servicio.
Tamaño del token
El tamaño de los tokens puede variar hasta los siguientes límites:
- Códigos de autorización: 256 bytes
- Tokens de acceso: 2,048 bytes
- Tokens de actualización: 512 bytes
Los tokens de acceso que muestran las API del servicio de tokens de seguridad de Google Cloud se estructuran de manera similar a los tokens de acceso de OAuth de la API de Google 2.0, pero tienen límites de tamaño diferentes. Para obtener más detalles, consulta la documentación de la API.
Google se reserva el derecho de cambiar el tamaño de los tokens dentro de estos límites, y tu aplicación debe admitir tamaños de tokens variables según corresponda.
Actualiza el vencimiento del token
Debes escribir el código para prever la posibilidad de que un token de actualización otorgado ya no funcione. Un token de actualización puede dejar de funcionar por alguno de los siguientes motivos:
- El usuario revocó el acceso de tu app.
- El token de actualización no se usa desde hace seis meses.
- El usuario cambió las contraseñas y el token de actualización contiene permisos de Gmail.
- La cuenta de usuario excedió la cantidad máxima de tokens de actualización otorgados (en vivo).
- Si un administrador
configura alguno de los servicios solicitados en los permisos de tu app como Restringido (el error es
admin_policy_enforced). - API de Google Cloud Platform: Es posible que se haya superado la duración de la sesión que estableció el administrador.
Un proyecto de Google Cloud Platform con una pantalla de consentimiento de OAuth configurada para un tipo de usuario externo y el estado de publicación “Prueba” reciben un token de actualización que vence en 7 días, a menos que los únicos permisos de OAuth solicitados sean un subconjunto de nombre, dirección de correo electrónico y perfil de usuario (a través de los permisos
userinfo.email, userinfo.profile, openid o sus equivalentes de OpenID Connect).
Actualmente, hay un límite de 100 tokens de actualización por Cuenta de Google por ID de cliente de OAuth 2.0. Si se alcanza el límite, la creación de un nuevo token de actualización invalida automáticamente el más antiguo sin advertencia. Este límite no se aplica a las cuentas de servicio.
También existe un límite mayor en la cantidad total de tokens de actualización que puede tener una cuenta de usuario o de servicio en todos los clientes. La mayoría de los usuarios normales no superarán este límite, pero la cuenta de desarrollador usada para probar una implementación podría hacerlo.
Si necesitas autorizar varios programas, máquinas o dispositivos, una solución alternativa es limitar a 15 o 20 la cantidad de clientes que autorizas por Cuenta de Google. Si eres administrador de Google Workspace, puedes crear usuarios adicionales con privilegios de administrador y usarlos para autorizar algunos de los clientes.
Manejo de políticas de control de sesiones para organizaciones de Google Cloud Platform (GCP)
Los administradores de las organizaciones de GCP pueden requerir una reautenticación frecuente de los usuarios mientras acceden a los recursos de GCP mediante la función de control de sesiones de Google Cloud. Esta política afecta el acceso a Google Cloud Console, el SDK de Google Cloud (también conocido como la CLI de gcloud) y cualquier aplicación de OAuth de terceros que requiera el permiso de Cloud Platform. Si un usuario tiene establecida una política de control de sesión, cuando venza la duración de la sesión, las llamadas a la API se producirán de manera similar a lo que ocurriría si se revocara el token de actualización: la llamada fallará con un tipo de error invalid_grant. El campo error_subtype se puede usar para distinguir entre un token anulado y un error debido a una política de control de sesión (por ejemplo, "error_subtype": "invalid_rapt"). La duración de las sesiones puede ser muy limitada (entre 1 hora y 2 horas).
Del mismo modo, no debe usar ni fomentar el uso de credenciales de usuario para la implementación de servidor a servidor. Si se implementan credenciales de usuario en un servidor para operaciones o trabajos de larga duración y un cliente aplica políticas de control de sesión en esos usuarios, la aplicación del servidor fallará, ya que no habrá forma de volver a autenticar al usuario cuando finalice la duración de la sesión.
Si quieres obtener más información para ayudar a tus clientes a implementar esta función, consulta este artículo de ayuda sobre los administradores.
Bibliotecas cliente
Las siguientes bibliotecas cliente se integran en los frameworks populares, lo que simplifica la implementación de OAuth 2.0. Con el tiempo, se agregarán más funciones a las bibliotecas.
- Biblioteca cliente de las API de Google para Java
- Biblioteca cliente de las API de Google para Python
- Biblioteca cliente de las API de Google para Go
- Biblioteca cliente de las API de Google para .NET
- Biblioteca cliente de las API de Google para Ruby
- Biblioteca cliente de las API de Google para PHP
- Biblioteca cliente de las API de Google para JavaScript
- GTMAppAuth - Biblioteca cliente de OAuth para iOS y Mac