このドキュメントでは、スマートフォン、タブレット、パソコンなどのデバイスにインストールされているアプリケーションが、Google の OAuth 2.0 エンドポイントを使用して YouTube Data API へのアクセスを承認する方法について説明します。
OAuth 2.0 では、ユーザー名やパスワードなどの情報を秘密にしたまま、ユーザーが特定のデータをアプリケーションと共有できます。 たとえば、アプリケーションは OAuth 2.0 を使用して、ユーザーの YouTube チャンネルに動画をアップロードするための権限を取得できます。
インストール済みのアプリはデバイスごとに配布されます。これらのアプリはシークレットを保持できないことを前提としています。ユーザーがアプリを使用しているとき、またはアプリがバックグラウンドで実行されているときに、Google API にアクセスできます。
この承認フローは、ウェブサーバー アプリケーションに使用されるフローと似ています。主な違いは、インストール済みのアプリがシステム ブラウザを開き、Google の認証サーバーからのレスポンスを処理するためのローカル リダイレクト URI を指定する必要があることです。
代案
モバイルアプリの場合は、Android または iOS で Google ログインを使用することをおすすめします。Google ログイン クライアント ライブラリは認証とユーザー認可を処理します。これらは、ここで説明する下位レベルのプロトコルよりも簡単に実装できます。
システム ブラウザをサポートしていないデバイスや、テレビ、ゲーム機、カメラ、プリンタなど、入力機能が制限されたデバイス上で実行されるアプリの場合は、テレビとデバイス用の OAuth 2.0 またはテレビや制限付きの入力デバイスでのログインをご覧ください。
ライブラリとサンプル
このドキュメントで説明する OAuth 2.0 フローの実装に役立つ、次のライブラリとサンプルをおすすめします。
Prerequisites
プロジェクトでAPI を有効にする
Google API を呼び出すすべてのアプリケーションで、これらの API を API Consoleで有効にする必要があります。
プロジェクトで API を有効にするには:
- Google API ConsoleのOpen the API Library 。
- If prompted, select a project, or create a new one.
- [ライブラリ] ページで、YouTube Data API を探して有効にします。アプリケーションで使用するその他の API を探して、それも有効にします。
承認認証情報を作成する
OAuth 2.0 を使用して Google API にアクセスするアプリケーションには、Google の OAuth 2.0 サーバーにアプリケーションを識別するための認証情報が必要です。次の手順では、プロジェクトの認証情報を作成する方法について説明します。これにより、アプリケーションはその認証情報を使用して、そのプロジェクトで有効にした API にアクセスできます。
- Go to the Credentials page.
- [認証情報を作成] > [OAuth クライアント ID] をクリックします。
- 以下のセクションでは、Google の認可サーバーがサポートするクライアント タイプとリダイレクト方法について説明します。アプリケーションに適切なクライアント タイプを選択し、OAuth クライアントに名前を付け、必要に応じてフォームの他のフィールドを設定します。
カスタム URI スキーム(Android、iOS、UWP)
カスタム URI スキームは、Android アプリ、iOS アプリ、ユニバーサル Windows プラットフォーム(UWP)アプリにおすすめです。
Android
- アプリケーションの種類として [Android] を選択します。
- OAuth クライアントの名前を入力します。クライアントを識別するために、この名前がプロジェクトの Credentials page に表示されます。
- Android アプリのパッケージ名を入力します。この値は、アプリ マニフェスト ファイルの
<manifest>
要素のpackage
属性で定義されています。 - アプリの配布の SHA-1 署名証明書のフィンガープリントを入力します。
- アプリで Google Play アプリ署名を使用している場合は、Google Play Console のアプリ署名ページから SHA-1 フィンガープリントをコピーします。
- 独自のキーストアと署名鍵を管理する場合は、Java に含まれる keytool ユーティリティを使用して、人が読める形式で証明書情報を出力します。keytool 出力の
Certificate fingerprints
セクションのSHA1
値をコピーします。詳細については、Android 向け Google API ドキュメントのクライアントの認証をご覧ください。
- [作成] をクリックします。
iOS
- [iOS] アプリケーション タイプを選択します。
- OAuth クライアントの名前を入力します。クライアントを識別するために、この名前がプロジェクトの Credentials page に表示されます。
- アプリのバンドル ID を入力します。バンドル ID は、アプリの情報プロパティ リストのリソース ファイル(info.plist)にある CFBundleIdentifier キーの値です。この値は、Xcode プロジェクト エディタの [General] ペインまたは [Signing & Capabilities] ペインに最もよく表示されます。バンドル ID は、Apple の App Store Connect サイトにあるアプリの [App Information] ページの [General Information] セクションにも表示されます。
- (省略可)
Apple の App Store でアプリを公開している場合は、アプリの App Store ID を入力します。ストア ID は、すべての Apple App Store の URL に含まれる数値文字列です。
- iOS または iPadOS デバイスで Apple App Store アプリを開きます。
- 自分のアプリを探します。
- 共有ボタン(四角と上矢印の記号)を選択します。
- [リンクをコピー] を選択します。
- リンクをテキスト エディタに貼り付けます。App Store ID は URL の最後の部分です。
例:
https://apps.apple.com/app/google/id284815942
- (省略可)
チーム ID を入力します。詳しくは、Apple Developer Account のドキュメントでチーム ID を確認するをご覧ください。
- [作成] をクリックします。
UWP
- [Universal Windows Platform] アプリケーション タイプを選択します。
- OAuth クライアントの名前を入力します。クライアントを識別するために、この名前がプロジェクトの Credentials page に表示されます。
- アプリの 12 文字の Microsoft Store ID を入力します。この値は Microsoft Partner Center の [App management] セクションにある [App identity] ページで確認できます。
- [作成] をクリックします。
UWP アプリのカスタム URI スキームは 39 文字以内にする必要があります。
ループバック IP アドレス(macOS、Linux、Windows のパソコン)
この URL を使用して認証コードを受信するには、アプリケーションがローカル ウェブサーバーでリッスンしている必要があります。これは、多くのプラットフォームで可能です。ただし、プラットフォームでサポートしている場合は、認可コードを取得するための推奨メカニズムとなります。
認証レスポンスを受信したら、ブラウザを閉じてアプリに戻るように指示する HTML ページを表示し、ユーザビリティを高めることができます。
推奨される使用方法 | macOS、Linux、Windows のデスクトップ アプリ(ユニバーサル Windows プラットフォームを除く) |
フォームの値 | アプリケーションの種類を [デスクトップ アプリ] に設定します。 |
手動コピーして貼り付け
アクセス スコープを特定する
スコープを使用すると、アプリケーションは必要なリソースへのアクセス権のみをリクエストでき、ユーザーはアプリケーションに付与するアクセス権の量を制御できます。したがって、リクエストするスコープの数とユーザーの同意を取得する可能性の間には、反比例の関係がある可能性があります。
OAuth 2.0 認証の実装を開始する前に、アプリがアクセスする必要があるスコープを特定することをおすすめします。
他の動画を管理するYouTube Data API v3 では、次のスコープが使用されます。
スコープ | |
---|---|
https://www.googleapis.com/auth/youtube | YouTube アカウントの管理 |
https://www.googleapis.com/auth/youtube.channel-memberships.creator | 現在アクティブなチャンネル メンバー、メンバーの現在のレベル、いつメンバーになったかをリストで確認する |
https://www.googleapis.com/auth/youtube.force-ssl | YouTube 動画、評価、コメント、字幕の表示、編集、完全削除 |
https://www.googleapis.com/auth/youtube.readonly | YouTube アカウントの表示 |
https://www.googleapis.com/auth/youtube.upload | YouTube 動画の管理 |
https://www.googleapis.com/auth/youtubepartner | YouTube のアセットや関連するコンテンツの表示と管理 |
https://www.googleapis.com/auth/youtubepartner-channel-audit | YouTube パートナーの監査プロセス時に関連する YouTube チャンネルの個人情報の表示 |
OAuth 2.0 API スコープのドキュメントに、Google API へのアクセスに使用できるすべてのスコープが記載されています。
OAuth 2.0 アクセス トークンの取得
次の手順では、アプリケーションが Google の OAuth 2.0 サーバーとやり取りし、ユーザーに代わって API リクエストを実行することをユーザーの同意を得ています。アプリケーションは、ユーザーの承認が必要な Google API リクエストを実行する前に、ユーザーの同意を得る必要があります。
ステップ 1: コード検証ツールを生成してチャレンジする
Google は、インストール済みのアプリフローをより安全にするために、Proof Key for Code Exchange(PKCE)プロトコルをサポートしています。認証リクエストごとに一意のコード検証ツールが作成され、「code_challenge」という変換された値が認証サーバーに送信されて認証コードが取得されます。
コード検証ツールを作成する
code_verifier
は、予約されていない文字 [A-Z] / [a-z] / [0-9] / "-" / "." / "_" / "" を使用する高エントロピー暗号のランダム文字列で、長さは 43 文字以下、最大長は 128 文字です。
コードベリファイアには、値を推測するのを実践できないようなエントロピーが必要です。
コード チャレンジを作成する
コード チャレンジを作成する方法は 2 つあります。
コード チャレンジの生成方法 | |
---|---|
S256(推奨) | コードチャレンジは、Base64URL(パディングなし)でエンコードされた、コード検証ツールの SHA256 ハッシュです。
|
プレーン | コードによる確認の値は、上で生成したコード検証ツールと同じです。
|
ステップ 2: Google の OAuth 2.0 サーバーにリクエストを送信する
ユーザーの承認を取得するには、https://accounts.google.com/o/oauth2/v2/auth
のリクエストを Google の認可サーバーに送信します。このエンドポイントは、アクティブなセッション検索を処理し、ユーザーを認証してユーザーの同意を取得します。エンドポイントへのアクセスは SSL 経由でのみ可能で、HTTP(非 SSL)接続は拒否されます。
認可サーバーは、インストールされているアプリケーションに対して次のクエリ文字列パラメータをサポートしています。
パラメータ | |||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
client_id |
必須
アプリケーションのクライアント ID。この値は API Console Credentials pageにあります。 |
||||||||||||||||
redirect_uri |
必須
Google の認可サーバーがアプリにレスポンスを送信する方法を指定します。インストール済みアプリで使用できるリダイレクト オプションはいくつかあります。また、特定のリダイレクト方法を念頭に置いて、認証情報を設定する必要があります。 この値は、クライアントの API Consoleの Credentials pageで構成した OAuth 2.0 クライアントの承認済みリダイレクト URI のいずれかと完全に一致する必要があります。この値が承認済み URI と一致しない場合は、 次の表に、メソッドごとに適切な
|
||||||||||||||||
response_type |
必須
Google OAuth 2.0 エンドポイントで認証コードを返すかどうかを決定します。 インストール済みのアプリケーションのパラメータ値を |
||||||||||||||||
scope |
必須
アプリケーションがユーザーに代わってアクセスできるリソースを識別するスコープをスペースで区切ったリスト。これらの値は、Google がユーザーに表示する同意画面を通知するものです。 スコープを使用すると、アプリケーションは必要なリソースへのアクセスのみをリクエストできます。また、ユーザーはアプリケーションに付与するアクセス権の量を制御できます。したがって、リクエストされたスコープの数とユーザーの同意を取得する可能性の間には反比例があります。 YouTube Data API v3 では、次のスコープが使用されます。
Google API へのアクセスに使用できるスコープの一覧については、OAuth 2.0 API スコープをご覧ください。 |
||||||||||||||||
code_challenge |
推奨
認可コードの交換中に、サーバー側のチャレンジとして使用されるエンコード済みの |
||||||||||||||||
code_challenge_method |
推奨
認証コードの交換中に使用される |
||||||||||||||||
state |
推奨
アプリケーションが認証リクエストと認可サーバーのレスポンスとの間の状態を維持するために使用する文字列値を指定します。
ユーザーがアプリのアクセス リクエストを承認または拒否した後、サーバーは このパラメータは、アプリ内の適切なリソースにユーザーを誘導する、ノンスを送信する、クロスサイト リクエスト フォージェリを軽減するなど、複数の目的で使用できます。 |
||||||||||||||||
login_hint |
省略可 どのユーザーが認証しようとしているかをアプリケーションが認識している場合、このパラメータを使用して Google 認証サーバーにヒントを提供できます。サーバーはヒントを使用して、ログイン フォームにメールアドレスを事前入力するか、適切なマルチログイン セッションを選択することで、ログインフローを簡素化します。 パラメータ値をメールアドレスまたは |
認可 URL の例
以下のタブは、各リダイレクト URI オプションの承認 URL の例を示しています。
各 URL は、ユーザーの YouTube アカウントを表示するためのスコープへのアクセスをリクエストします。URL は、redirect_uri
パラメータの値を除いて同じです。また、URL には、必須の response_type
パラメータと client_id
パラメータに加え、オプションの state
パラメータも含まれます。各 URL には、読みやすくするために改行とスペースが含まれています。
カスタム URI スキーム
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.readonly& response_type=code& state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken& redirect_uri=com.example.app%3A/oauth2redirect& client_id=client_id
ループバック IP アドレス
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.readonly& response_type=code& state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken& redirect_uri=http%3A//127.0.0.1%3A9004& client_id=client_id
ステップ 3: Google がユーザーに同意を求める
このステップでは、ユーザーはリクエストされたリクエストをアプリケーションに付与するかどうかを決定します。この段階で、アプリケーションの名前と、ユーザーの認証情報を使用してアクセスをリクエストする Google API サービス、および付与されるアクセス範囲の概要を示す同意ウィンドウが表示されます。これにより、ユーザーは、アプリケーションからリクエストされた 1 つ以上のスコープへのアクセスを許可すること、またはリクエストを拒否することに同意できます。
このアプリケーションは、アクセス権が付与されたかどうかを示す Google の OAuth 2.0 サーバーからのレスポンスを待機するため、この段階では何もする必要はありません。この応答については、次のステップで説明します。
エラー
Google の OAuth 2.0 認可エンドポイントへのリクエストには、想定される認証と認可のフローではなく、ユーザー向けのエラー メッセージが表示されることがあります。一般的なエラーコードとおすすめの解決方法を以下に示します。
admin_policy_enforced
Google Workspace 管理者のポリシーにより、リクエストされた 1 つ以上のスコープを Google アカウントで承認できません。管理者が OAuth クライアント ID に明示的にアクセス権が付与されるまで、すべてのスコープまたは機密性の高いスコープと制限付きスコープへのアクセスを制限する方法については、Google Workspace 管理者用ヘルプ記事の Google Workspace のデータにアクセスできるサードパーティ製アプリと内部アプリを制御するをご覧ください。
disallowed_useragent
認可エンドポイントは、Google の OAuth 2.0 ポリシーで許可されていない埋め込みユーザー エージェント内に表示されます。
Android
Android デベロッパーが android.webkit.WebView
で承認リクエストを開いたときに、このエラー メッセージが表示されることがあります。代わりに Android 向け Google ログインや、OpenID Foundation の AppAuth for Android などの Android ライブラリを使用する必要があります。
このエラーは、Android アプリが埋め込みユーザー エージェントで一般的なウェブリンクを開き、ユーザーがサイトから Google の OAuth 2.0 認可エンドポイントに移動したときに、このエラーが発生することがあります。デベロッパーは、一般的なリンクをオペレーティング システムのデフォルト リンクハンドラで開く必要があります。オペレーティング システムのデフォルト ハンドラは、Android アプリリンク ハンドラとデフォルトのブラウザアプリの両方を含みます。Android カスタムタブ ライブラリもサポートされています。
iOS
iOS や macOS のデベロッパーが WKWebView
で承認リクエストを開くと、このエラーが発生することがあります。代わりに iOS 向け Google ログインや、OpenID Foundation の AppAuth for iOS などの iOS ライブラリを使用する必要があります。
このエラーは、iOS または macOS アプリが埋め込みユーザー エージェントで一般的なウェブリンクを開き、ユーザーがサイトから Google の OAuth 2.0 認可エンドポイントに移動したときに、このエラーが発生することがあります。デベロッパーは、一般的なリンクがオペレーティング システムのデフォルト リンクハンドラ(Universal Links ハンドラまたはデフォルトのブラウザアプリの両方を含む)で開かれるようにする必要があります。SFSafariViewController
ライブラリもサポートされています。
org_internal
リクエストの OAuth クライアント ID は、特定の Google Cloud 組織の Google アカウントへのアクセスを制限するプロジェクトの一部です。この構成オプションの詳細については、OAuth 同意画面の設定ヘルプ記事のユーザータイプのセクションをご覧ください。
invalid_grant
コード検証ツールとチャレンジを使用している場合、code_callenge
パラメータが無効であるか、指定されていません。code_challenge
パラメータが正しく設定されていることを確認します。
アクセス トークンを更新するときに、トークンが期限切れになっているか、無効になっている可能性があります。ユーザーを再度認証し、新しいトークンの取得についてユーザーの同意を得ます。このエラーが引き続き表示される場合は、アプリケーションが正しく構成されていることと、リクエスト内で正しいトークンとパラメータを使用していることを確認してください。それ以外の場合は、ユーザー アカウントが削除または無効化されている可能性があります。
redirect_uri_mismatch
承認リクエストで渡された redirect_uri
が、OAuth クライアント ID の承認済みのリダイレクト URI と一致しません。 Google API Console Credentials pageで、承認済みのリダイレクト URI を確認します。
渡された redirect_uri
は、クライアント タイプに対して無効である可能性があります。
redirect_uri
パラメータは、サポートが終了し、サポートされなくなった OAuth 帯域外(OOB)フローを参照する場合があります。統合を更新するには、移行ガイドをご覧ください。
ステップ 4: OAuth 2.0 サーバー レスポンスを処理する
アプリケーションが承認レスポンスを受信する方法は、使用するリダイレクト URI スキームによって異なります。スキームに関係なく、レスポンスには認証コード(code
)またはエラー(error
)が含まれます。たとえば、error=access_denied
はユーザーがリクエストを拒否したことを示します。
ユーザーがアプリケーションにアクセス権を付与した場合は、次の手順で説明するように、認証コードをアクセス トークンおよび更新トークンと交換できます。
ステップ 5: 更新トークンとアクセス トークンの認証コードを交換する
認証コードをアクセス トークンと交換するには、https://oauth2.googleapis.com/token
エンドポイントを呼び出して、次のパラメータを設定します。
フィールド | |
---|---|
client_id |
API Console Credentials pageから取得したクライアント ID。 |
client_secret |
API Console Credentials pageから取得したクライアント シークレット。 |
code |
最初のリクエストから返された認証コード。 |
code_verifier |
ステップ 1 で作成したコード検証ツール |
grant_type |
OAuth 2.0 仕様で定義されているように、このフィールドの値は authorization_code に設定する必要があります。 |
redirect_uri |
特定の client_id の API Console
Credentials page にあるプロジェクトのリダイレクト URI の 1 つ。 |
次のスニペットに、サンプル リクエストを示します。
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7& client_id=your_client_id& client_secret=your_client_secret& redirect_uri=http://127.0.0.1:9004& grant_type=authorization_code
Google は、このリクエストに応答して、有効期間の短いアクセス トークンと更新トークンを含む JSON オブジェクトを返します。
レスポンスには、次のフィールドが含まれます。
フィールド | |
---|---|
access_token |
Google API リクエストを承認するためにアプリケーションから送信されたトークン。 |
expires_in |
アクセス トークンの残りの有効期間(秒)。 |
id_token |
注: このプロパティは、リクエストに ID スコープ(openid 、profile 、email など)が含まれる場合にのみ返されます。この値は、ユーザーに関するデジタル署名された ID 情報を含む JSON Web Token(JWT)です。 |
refresh_token |
新しいアクセス トークンの取得に使用できるトークン。更新トークンは、ユーザーがアクセス権を取り消すまで有効です。 インストール済みのアプリケーションでは、更新トークンが常に返されます。 |
scope |
access_token によって付与されるアクセス スコープ。スペース区切りの大文字と小文字が区別される文字列のリストとして表されます。 |
token_type |
返されるトークンのタイプ。現時点では、このフィールドの値は常に Bearer に設定されます。 |
次のスニペットに、サンプル レスポンスを示します。
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "token_type": "Bearer", "scope": "https://www.googleapis.com/auth/youtube.force-ssl", "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI" }
Google API の呼び出し
アプリケーションがアクセス トークンを取得した後、その API で必要なアクセス スコープが付与されている場合は、そのトークンを使用して、特定のユーザー アカウントに代わって Google API を呼び出すことができます。これを行うには、access_token
クエリ パラメータまたは Authorization
HTTP ヘッダー Bearer
値を指定して、API のリクエストにアクセス トークンを含めます。可能であれば、HTTP ヘッダーの使用をおすすめします。クエリ文字列はサーバーログに表示されることが多いためです。ほとんどの場合、クライアント ライブラリを使用して Google API への呼び出しを設定できます(YouTube Data API を呼び出す場合など)。
YouTube Data API では、レコード レーベルや映画制作会社など、複数の YouTube チャンネルを所有および管理する YouTube コンテンツ所有者のみがサービス アカウントをサポートしています。
すべての Google API を試して、そのスコープを OAuth 2.0 Playground で確認できます。
HTTP GET の例
Authorization: Bearer
HTTP ヘッダーを使用して
youtube.channels
エンドポイント(YouTube Data API)を呼び出すと、次のようになります。独自のアクセス トークンを指定する必要があることに注意してください。
GET /youtube/v3/channels?part=snippet&mine=true HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
次に示すのは、access_token
クエリ文字列パラメータを使って認証済みユーザーの同じ API を呼び出す例です。
GET https://www.googleapis.com/youtube/v3/channels?access_token=access_token&part=snippet&mine=true
curl
の例
これらのコマンドは curl
コマンドライン アプリケーションでテストできます。HTTP ヘッダー オプションを使用した推奨の例を次に示します。
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/youtube/v3/channels?part=snippet&mine=true
別の方法として、クエリ文字列パラメータ オプションを次のように使用することもできます。
curl https://www.googleapis.com/youtube/v3/channels?access_token=access_token&part=snippet&mine=true
アクセス トークンをリフレッシュする
アクセス トークンは定期的に期限が切れ、関連する API リクエストに対する無効な認証情報になります。トークンに関連付けられたスコープへのオフライン アクセスをリクエストした場合、アクセス トークンの更新許可をユーザーに求めることなく(ユーザーが存在しない場合を含む)、更新できます。
アクセス トークンを更新するため、アプリケーションは HTTPS の POST
リクエストを Google の承認サーバー(https://oauth2.googleapis.com/token
)に送信します。このリクエストには次のパラメータが含まれます。
フィールド | |
---|---|
client_id |
API Consoleから取得したクライアント ID。 |
client_secret |
API Consoleから取得したクライアント シークレット。
(Android、iOS、Chrome アプリケーションとして登録されたクライアントからのリクエストには client_secret は適用されません)。 |
grant_type |
OAuth 2.0 仕様で定義されているように、このフィールドの値は refresh_token に設定する必要があります。 |
refresh_token |
認証コード交換から返された更新トークン。 |
次のスニペットに、サンプル リクエストを示します。
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded client_id=your_client_id& client_secret=your_client_secret& refresh_token=refresh_token& grant_type=refresh_token
アプリケーションに付与されたアクセス権をユーザーが取り消していない限り、トークン サーバーは新しいアクセス トークンを含む JSON オブジェクトを返します。次のスニペットは、レスポンスの例を示しています。
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "scope": "https://www.googleapis.com/auth/drive.metadata.readonly", "token_type": "Bearer" }
発行される更新トークンの数には上限があります。1 つのクライアントとユーザーの組み合わせごとに 1 つの上限があり、すべてのクライアントで 1 つの上限があります。更新トークンは長期ストレージに保存し、有効な間は継続して使用する必要があります。アプリケーションが更新トークンの数が多すぎると、これらの制限に達し、古い更新トークンが動作しなくなります。
トークンの取り消し
ユーザーは、アプリケーションに付与されたアクセス権を取り消すことを希望する場合もあります。ユーザーは アカウント設定にアクセスして、アクセス権を取り消すことができます。詳しくは、アカウントにアクセスできるサードパーティのサイトやアプリのアクセス権を削除するをご覧ください。
アプリケーションに付与されているアクセス権をプログラムで取り消すことも可能です。ユーザーがサブスクリプションの登録を解除したり、アプリを削除したり、アプリが必要とする API リソースが大幅に変更したりする場合は、プログラムによる取り消しが重要となります。言い換えると、削除プロセスの一部には、以前アプリケーションに付与された権限が確実に削除されるよう API リクエストが含まれることがあります。
プログラムでトークンを取り消すには、アプリケーションが https://oauth2.googleapis.com/revoke
にリクエストを送信し、トークンをパラメータとして含めます。
curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \ https://oauth2.googleapis.com/revoke?token={token}
トークンには、アクセス トークンまたは更新トークンを指定できます。トークンがアクセス トークンであり、対応する更新トークンがある場合、更新トークンも取り消されます。
取り消しが正常に処理されると、レスポンスの HTTP ステータス コードが 200
になります。エラー状態の場合、HTTP ステータス コード 400
がエラーコードとともに返されます。
関連情報
IETF の現在のベスト プラクティスである Native Apps 向けの OAuth 2.0 は、ここに記載されているベスト プラクティスの多くを確立しています。