Google OAuth 可能會在授權過程中傳回錯誤。請使用本指南排解這個過程中最常見的錯誤。
疑難排解
如要進一步瞭解 Google OAuth,請參閱「使用 OAuth 2.0 存取 Google API」一文。
重新整理權杖持續過期
如果用戶端 ID 未獲核准,可能導致更新權杖在 7 天後停止運作。7 天權杖效期與商業或沙箱核准無關。服務或使用者帳戶必須獲準使用 OAuth 2.0 用戶端 ID 並將其加入實際工作環境,才能延長權杖效期。詳情請參閱「更新權杖效期」。
存取遭拒
如果您已在 Google Cloud 中設定 OAuth 同意畫面,且「使用者類型」為「外部」,但您嘗試與未列為應用程式的測試使用者的 Google 帳戶進行連結,則會收到「存取遭拒」錯誤。請務必將 Google 帳戶加進 OAuth 同意畫面中的測試使用者部分。
合作夥伴連線管理工具 (PCM) 錯誤
如需存取 PCM 時發生的任何錯誤的相關說明,請參閱合作夥伴連線管理員 (PCM) 錯誤參考資料。
這個應用程式未經 Google 驗證
SDM API 使用受限制的範圍,這表示除非完成 OAuth API 驗證,否則授權期間使用此範圍的應用程式都會是「未經驗證」。如果將 Device Access 用於個人用途,則無需 OAuth API 驗證。
如果您未在 Google Cloud 的 OAuth 同意畫面中設定 sdm.service 範圍,可能會看到「Google 尚未驗證這個應用程式」畫面。如要略過這個畫面,請按一下「Advanced」選項,然後點選「Go to Project Name (unsafe)」。
詳情請參閱「未驗證的應用程式畫面」。
客戶無效
嘗試取得存取權或更新權杖時,如果您提供的 OAuth 2.0 用戶端密鑰不正確,您會收到「無效的用戶端」錯誤。請確認您在存取及更新權杖呼叫中使用的 client_secret 值與目前使用的 OAuth 2.0 用戶端 ID 相同,如 Google Cloud Credentials (Google Cloud 憑證) 頁面所述。
要求無效,缺少必要範圍
在 PCM 中授予權限後,您可能會遇到「缺少必要的參數:範圍」的「無效要求」錯誤。請確認您在授權呼叫中使用的 scope 值與您為 OAuth 2.0 用戶端設定的值相同,如「Google Cloud 憑證」頁面所示。
重新導向 URI 不符
執行授權時,您可能會遇到「重新導向 URI 不符」錯誤。確認您在授權呼叫中使用的 redirect_uri 值與您為 OAuth 2.0 用戶端設定的值相同,如「Google Cloud 憑證」頁面所示。
快速參考指引
使用此參考資料,快速實作授權user 並連結其 Google 帳戶的步驟。
如要使用這個快速參照,請使用特定整合的值編輯程式碼範例中的每個預留位置變數,並視需要複製及貼上:
1 PCM
將 user 導向應用程式中的 PCM 連結,並取代以下內容:
- project-id (使用 Device Access Project ID)
- 將 oauth2-client-id 替換為 Google Cloud 憑證中的 OAuth2 用戶端 ID
- redirect-uri 和您使用的 OAuth2 用戶端 ID 指定的重新導向 URI
- scope 具有其中一個可用範圍
https://nestservices.google.com/partnerconnections/project-id/auth?redirect_uri=redirect-uri& access_type=offline& prompt=consent& client_id=oauth2-client-id& response_type=code& scope=https://www.googleapis.com/auth/scope
2 驗證碼
透過 PCM 為所選範圍授予權限後, user 應重新導向至指定的重新導向 URI。授權碼會以 code 參數的形式傳回,格式如下:
redirect-uri?code=authorization-code&scope=https://www.googleapis.com/auth/scope
3 存取權杖
使用授權碼擷取存取權杖,可用於代表使用者呼叫 SDM API。
對 Google 的 OAuth 端點發出 POST 呼叫,並取代下列項目:
- 將 oauth2-client-id 和 oauth2-client-secret 替換為 Google Cloud 憑證中的 OAuth2 用戶端 ID 和用戶端密鑰
- 使用您在上一個步驟收到的代碼 authorization-code
- redirect-uri 和您使用的 OAuth2 用戶端 ID 指定的重新導向 URI
Google OAuth 會傳回兩個權杖:存取權杖和更新權杖。
要求
curl -L -X POST 'https://www.googleapis.com/oauth2/v4/token?client_id=oauth2-client-id&client_secret=oauth2-client-secret&code=authorization-code&grant_type=authorization_code&redirect_uri=redirect-uri'
回應
{
"access_token": "access-token",
"expires_in": 3599,
"refresh_token": "refresh-token",
"scope": "https://www.googleapis.com/auth/scope",
"token_type": "Bearer"
}
4 API 呼叫
您必須使用 user的存取權杖發出 API 呼叫,授權作業才能完成。這個初始呼叫會完成授權程序並啟用事件。
您必須使用針對指定範圍列出的其中一個 API 呼叫才能完成授權。
sdm.service
裝置
詳情請參閱 devices.list API 參考資料。
curl -X GET 'https://smartdevicemanagement.googleapis.com/v1/enterprises/project-id/devices' \
-H 'Content-Type: application/json' \
-H 'Authorization: Bearer access-token'5 更新權杖
SDM API 的存取權杖有效期限只有 1 小時,如 Google OAuth 傳回的 expires_in 參數所示。如果存取權杖過期,請使用更新權杖取得新的權杖。
對 Google 的 OAuth 端點發出 POST 呼叫,並取代下列項目:
- 將 oauth2-client-id 和 oauth2-client-secret 替換為 Google Cloud 憑證中的 OAuth2 用戶端 ID 和用戶端密鑰
- refresh-token 替換成您在最初取得存取權杖時收到的代碼。
Google OAuth 會傳回新的存取權杖。
要求
curl -L -X POST 'https://www.googleapis.com/oauth2/v4/token?client_id=oauth2-client-id&client_secret=oauth2-client-secret&refresh_token=refresh-token&grant_type=refresh_token'
回應
{
"access_token": "new-access-token",
"expires_in": 3599,
"scope": "https://www.googleapis.com/auth/scope",
"token_type": "Bearer"
}