ক্লায়েন্ট-সাইড ওয়েব অ্যাপ্লিকেশনের জন্য OAuth 2.0

এই ডকুমেন্টটিতে ব্যাখ্যা করা হয়েছে কিভাবে একটি জাভাস্ক্রিপ্ট ওয়েব অ্যাপ্লিকেশন থেকে গুগল এপিআই (Google APIs) অ্যাক্সেস করার জন্য OAuth 2.0 অথরাইজেশন প্রয়োগ করতে হয়। OAuth 2.0 ব্যবহারকারীদের ইউজারনেম, পাসওয়ার্ড এবং অন্যান্য তথ্য গোপন রেখে কোনো অ্যাপ্লিকেশনের সাথে নির্দিষ্ট ডেটা শেয়ার করার সুযোগ দেয়। উদাহরণস্বরূপ, একটি অ্যাপ্লিকেশন ব্যবহারকারীদের গুগল ড্রাইভে ফাইল সংরক্ষণের জন্য তাদের কাছ থেকে অনুমতি পেতে OAuth 2.0 ব্যবহার করতে পারে।

এই OAuth 2.0 ফ্লো-কে ইমপ্লিসিট গ্র্যান্ট ফ্লো বলা হয়। এটি এমন অ্যাপ্লিকেশনগুলির জন্য ডিজাইন করা হয়েছে যেগুলি শুধুমাত্র ব্যবহারকারী অ্যাপ্লিকেশনটিতে উপস্থিত থাকাকালীন API অ্যাক্সেস করে। এই অ্যাপ্লিকেশনগুলি গোপনীয় তথ্য সংরক্ষণ করতে পারে না।

এই প্রক্রিয়ায়, আপনার অ্যাপ একটি গুগল ইউআরএল খোলে, যা কোয়েরি প্যারামিটার ব্যবহার করে আপনার অ্যাপ এবং অ্যাপটির প্রয়োজনীয় এপিআই অ্যাক্সেসের ধরন শনাক্ত করে। আপনি ইউআরএলটি বর্তমান ব্রাউজার উইন্ডোতে বা একটি পপআপে খুলতে পারেন। ব্যবহারকারী গুগলের সাথে প্রমাণীকরণ করতে এবং অনুরোধ করা অনুমতিগুলো প্রদান করতে পারেন। এরপর গুগল ব্যবহারকারীকে আপনার অ্যাপে ফিরিয়ে পাঠায়। এই পুনঃনির্দেশে একটি অ্যাক্সেস টোকেন অন্তর্ভুক্ত থাকে, যা আপনার অ্যাপ যাচাই করে এবং তারপর এপিআই অনুরোধ করার জন্য ব্যবহার করে।

গুগল এপিআই ক্লায়েন্ট লাইব্রেরি এবং গুগল আইডেন্টিটি সার্ভিসেস

যদি আপনি গুগলে অনুমোদিত কল করার জন্য জাভাস্ক্রিপ্টের জন্য গুগল এপিআই ক্লায়েন্ট লাইব্রেরি ব্যবহার করেন, তাহলে OAuth 2.0 ফ্লো পরিচালনা করার জন্য আপনার গুগল আইডেন্টিটি সার্ভিসেস জাভাস্ক্রিপ্ট লাইব্রেরি ব্যবহার করা উচিত। অনুগ্রহ করে গুগল আইডেন্টিটি সার্ভিসেস-এর টোকেন মডেলটি দেখুন, যা OAuth 2.0 ইমপ্লিসিট গ্র্যান্ট ফ্লো-এর উপর ভিত্তি করে তৈরি।

পূর্বশর্ত

আপনার প্রোজেক্টের জন্য এপিআই (API) সক্রিয় করুন

যে কোনো অ্যাপ্লিকেশন যা গুগল এপিআই কল করে, তাকে এপিআই কনসোলে সেই এপিআইগুলো সক্রিয় করতে হবে।

আপনার প্রোজেক্টের জন্য একটি API সক্রিয় করতে:

1. গুগল এপিআই কনসোলে এপিআই লাইব্রেরিটি খুলুন ।
2. অনুরোধ করা হলে, একটি প্রজেক্ট নির্বাচন করুন অথবা নতুন একটি তৈরি করুন।
3. এপিআই লাইব্রেরিতে প্রোডাক্ট ফ্যামিলি এবং জনপ্রিয়তা অনুসারে শ্রেণীবদ্ধ করে সমস্ত উপলব্ধ এপিআই তালিকাভুক্ত করা আছে। আপনি যে এপিআইটি সক্রিয় করতে চান তা যদি তালিকায় দৃশ্যমান না হয়, তবে সেটি খুঁজে পেতে সার্চ ব্যবহার করুন, অথবা এটি যে প্রোডাক্ট ফ্যামিলির অন্তর্গত, সেখানে 'ভিউ অল'-এ ক্লিক করুন।
4. যে API-টি সক্রিয় করতে চান, সেটি নির্বাচন করুন, তারপর ' Enable' বোতামে ক্লিক করুন।
5. অনুরোধ করা হলে, বিলিং চালু করুন।
6. অনুরোধ করা হলে, এপিআই-এর পরিষেবার শর্তাবলী পড়ুন এবং গ্রহণ করুন।

অনুমোদনের প্রমাণপত্র তৈরি করুন

যে কোনো অ্যাপ্লিকেশন যা গুগল এপিআই (Google API) অ্যাক্সেস করার জন্য OAuth 2.0 ব্যবহার করে, সেটির অবশ্যই এমন অনুমোদন ক্রেডেনশিয়াল (authorization credentials) থাকতে হবে যা গুগলের OAuth 2.0 সার্ভারের কাছে অ্যাপ্লিকেশনটিকে শনাক্ত করে। নিম্নলিখিত ধাপগুলোতে আপনার প্রোজেক্টের জন্য ক্রেডেনশিয়াল তৈরি করার পদ্ধতি ব্যাখ্যা করা হয়েছে। এরপর আপনার অ্যাপ্লিকেশনগুলো সেই ক্রেডেনশিয়াল ব্যবহার করে আপনার প্রোজেক্টের জন্য সক্রিয় করা এপিআইগুলো অ্যাক্সেস করতে পারবে।

1. ক্লায়েন্ট পৃষ্ঠায় যান।
2. ক্লায়েন্ট তৈরি করুন -এ ক্লিক করুন।
3. ওয়েব অ্যাপ্লিকেশনটির ধরন নির্বাচন করুন।
4. ফর্মটি পূরণ করুন। যে অ্যাপ্লিকেশনগুলি অনুমোদিত গুগল এপিআই অনুরোধ করার জন্য জাভাস্ক্রিপ্ট ব্যবহার করে, সেগুলিকে অবশ্যই অনুমোদিত জাভাস্ক্রিপ্ট অরিজিন নির্দিষ্ট করতে হবে। এই অরিজিনগুলি সেই ডোমেনগুলিকে শনাক্ত করে যেখান থেকে আপনার অ্যাপ্লিকেশন OAuth 2.0 সার্ভারে অনুরোধ পাঠাতে পারে। এই অরিজিনগুলিকে অবশ্যই গুগলের বৈধতা যাচাইয়ের নিয়ম মেনে চলতে হবে।

অ্যাক্সেসের পরিধি শনাক্ত করুন

স্কোপ আপনার অ্যাপ্লিকেশনকে শুধুমাত্র প্রয়োজনীয় রিসোর্সগুলিতে অ্যাক্সেসের অনুরোধ করার সুযোগ দেয় এবং একই সাথে ব্যবহারকারীদেরকে আপনার অ্যাপ্লিকেশনকে দেওয়া অ্যাক্সেসের পরিমাণ নিয়ন্ত্রণ করতে সক্ষম করে। সুতরাং, অনুরোধ করা স্কোপের সংখ্যা এবং ব্যবহারকারীর সম্মতি পাওয়ার সম্ভাবনার মধ্যে একটি বিপরীত সম্পর্ক থাকতে পারে।

OAuth 2.0 অথরাইজেশন প্রয়োগ করা শুরু করার আগে, আমরা আপনাকে সেই স্কোপগুলি চিহ্নিত করার পরামর্শ দিই যেগুলিতে আপনার অ্যাপের অ্যাক্সেসের জন্য অনুমতির প্রয়োজন হবে।

OAuth 2.0 API Scopes ডকুমেন্টটিতে সেই সমস্ত স্কোপের একটি সম্পূর্ণ তালিকা রয়েছে যা আপনি গুগল এপিআই অ্যাক্সেস করতে ব্যবহার করতে পারেন।

OAuth 2.0 অ্যাক্সেস টোকেন প্রাপ্তি

নিম্নলিখিত ধাপগুলোতে দেখানো হয়েছে, কীভাবে আপনার অ্যাপ্লিকেশনটি কোনো ব্যবহারকারীর পক্ষ থেকে একটি এপিআই (API) অনুরোধ সম্পাদন করার জন্য তার সম্মতি পেতে গুগলের OAuth 2.0 সার্ভারের সাথে যোগাযোগ করে। ব্যবহারকারীর অনুমোদন প্রয়োজন এমন কোনো গুগল এপিআই অনুরোধ কার্যকর করার আগে আপনার অ্যাপ্লিকেশনটির অবশ্যই সেই সম্মতি থাকতে হবে।

ধাপ ১: গুগলের OAuth 2.0 সার্ভারে রিডাইরেক্ট করুন

কোনো ব্যবহারকারীর ডেটা অ্যাক্সেস করার অনুমতি চাইতে, ব্যবহারকারীকে গুগলের OAuth 2.0 সার্ভারে রিডাইরেক্ট করুন।

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly%20https%3A//www.googleapis.com/auth/calendar.readonly&
 include_granted_scopes=true&
 response_type=token&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//developers.google.com/oauthplayground&
 client_id=client_id

/*
 * Create form to request access token from Google's OAuth 2.0 server.
 */
function oauthSignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

  // Create <form> element to submit parameters to OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'GET'); // Send as a GET request.
  form.setAttribute('action', oauth2Endpoint);

  // Parameters to pass to OAuth 2.0 endpoint.
  var params = {'client_id': 'YOUR_CLIENT_ID',
                'redirect_uri': 'YOUR_REDIRECT_URI',
                'response_type': 'token',
                'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly',
                'include_granted_scopes': 'true',
                'state': 'pass-through value'};

  // Add form parameters as hidden input values.
  for (var p in params) {
    var input = document.createElement('input');
    input.setAttribute('type', 'hidden');
    input.setAttribute('name', p);
    input.setAttribute('value', params[p]);
    form.appendChild(input);
  }

  // Add form to page and submit it to open the OAuth 2.0 endpoint.
  document.body.appendChild(form);
  form.submit();
}

ধাপ ২: গুগল ব্যবহারকারীর কাছে সম্মতি চায়

এই ধাপে, ব্যবহারকারী আপনার অ্যাপ্লিকেশনকে অনুরোধ করা অ্যাক্সেস দেবেন কিনা, সেই সিদ্ধান্ত নেন। এই পর্যায়ে, গুগল একটি সম্মতি উইন্ডো প্রদর্শন করে, যেখানে আপনার অ্যাপ্লিকেশনের নাম, ব্যবহারকারীর অনুমোদন ক্রেডেনশিয়াল ব্যবহার করে যে গুগল এপিআই পরিষেবাগুলিতে অ্যাক্সেসের অনুমতি চাওয়া হচ্ছে তার নাম এবং যে অ্যাক্সেসের পরিধিগুলো মঞ্জুর করা হবে তার একটি সারসংক্ষেপ দেখানো হয়। এরপর ব্যবহারকারী আপনার অ্যাপ্লিকেশনের অনুরোধ করা এক বা একাধিক পরিধিতে অ্যাক্সেস মঞ্জুর করতে সম্মতি দিতে পারেন অথবা অনুরোধটি প্রত্যাখ্যান করতে পারেন।

এই পর্যায়ে আপনার অ্যাপ্লিকেশনের কিছু করার প্রয়োজন নেই, কারণ এটি গুগলের OAuth 2.0 সার্ভার থেকে অ্যাক্সেস দেওয়া হয়েছে কিনা সেই প্রতিক্রিয়ার জন্য অপেক্ষা করে। সেই প্রতিক্রিয়াটি পরবর্তী ধাপে ব্যাখ্যা করা হয়েছে।

ধাপ ৩: OAuth 2.0 সার্ভারের প্রতিক্রিয়া পরিচালনা করুন

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly%20https%3A//www.googleapis.com/auth/calendar.readonly&
 include_granted_scopes=true&
 response_type=token&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//developers.google.com/oauthplayground&
 client_id=client_id

ধাপ ৪: ব্যবহারকারীরা কোন কোন স্কোপ মঞ্জুর করেছেন তা যাচাই করুন।

একাধিক অনুমতি (স্কোপ) অনুরোধ করার সময়, ব্যবহারকারীরা আপনার অ্যাপকে সেগুলোর সবগুলোতে অ্যাক্সেস নাও দিতে পারেন। আপনার অ্যাপকে অবশ্যই যাচাই করতে হবে যে কোন স্কোপগুলো আসলে মঞ্জুর করা হয়েছে এবং কিছু অনুমতি প্রত্যাখ্যান করা হলে পরিস্থিতিটি সুষ্ঠুভাবে সামাল দিতে হবে; সাধারণত, সেই প্রত্যাখ্যান করা স্কোপগুলোর উপর নির্ভরশীল ফিচারগুলোকে নিষ্ক্রিয় করার মাধ্যমে এটি করা হয়।

তবে, এর ব্যতিক্রম রয়েছে। যে Google Workspace Enterprise অ্যাপগুলিতে ডোমেন-ব্যাপী কর্তৃত্ব অর্পণ করা থাকে, অথবা যে অ্যাপগুলিকে 'বিশ্বস্ত' (Trusted) হিসাবে চিহ্নিত করা হয়েছে, সেগুলি সুনির্দিষ্ট অনুমতির সম্মতি স্ক্রিনটি এড়িয়ে যায়। এই অ্যাপগুলির ক্ষেত্রে, ব্যবহারকারীরা সুনির্দিষ্ট অনুমতির সম্মতি স্ক্রিনটি দেখতে পাবেন না। এর পরিবর্তে, আপনার অ্যাপটি হয় অনুরোধ করা সমস্ত স্কোপ পাবে, অথবা কোনোটিই পাবে না।

আরও বিস্তারিত তথ্যের জন্য, কীভাবে সূক্ষ্ম অনুমতি পরিচালনা করতে হয় তা দেখুন।

  {
    "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
    "expires_in": 3920,
    "token_type": "Bearer",
    "scope": "https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly",
    "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
  }

গুগল এপিআই কল করা

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

var xhr = new XMLHttpRequest();
xhr.open('GET',
    'https://www.googleapis.com/drive/v3/about?fields=user&' +
    'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
  console.log(xhr.response);
};
xhr.send(null);

সম্পূর্ণ উদাহরণ

<html><head></head><body>
<script>
  var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
  var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';

  // Parse query string to see if page request is coming from OAuth 2.0 server.
  var fragmentString = location.hash.substring(1);
  var params = {};
  var regex = /([^&=]+)=([^&]*)/g, m;
  while (m = regex.exec(fragmentString)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }
  if (Object.keys(params).length > 0 && params['state']) {
    if (params['state'] == localStorage.getItem('state')) {
      localStorage.setItem('oauth2-test-params', JSON.stringify(params) );

      trySampleRequest();
    } else {
      console.log('State mismatch. Possible CSRF attack');
    }
  }

  // Function to generate a random state value
  function generateCryptoRandomState() {
    const randomValues = new Uint32Array(2);
    window.crypto.getRandomValues(randomValues);

    // Encode as UTF-8
    const utf8Encoder = new TextEncoder();
    const utf8Array = utf8Encoder.encode(
      String.fromCharCode.apply(null, randomValues)
    );

    // Base64 encode the UTF-8 data
    return btoa(String.fromCharCode.apply(null, utf8Array))
      .replace(/\+/g, '-')
      .replace(/\//g, '_')
      .replace(/=+$/, '');
  }

  // If there's an access token, try an API request.
  // Otherwise, start OAuth 2.0 flow.
  function trySampleRequest() {
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    if (params && params['access_token']) { 
      // User authorized the request. Now, check which scopes were granted.
      if (params['scope'].includes('https://www.googleapis.com/auth/drive.metadata.readonly')) {
        // User authorized read-only Drive activity permission.
        // Calling the APIs, etc.
        var xhr = new XMLHttpRequest();
        xhr.open('GET',
          'https://www.googleapis.com/drive/v3/about?fields=user&' +
          'access_token=' + params['access_token']);
        xhr.onreadystatechange = function (e) {
          if (xhr.readyState === 4 && xhr.status === 200) {
            console.log(xhr.response);
          } else if (xhr.readyState === 4 && xhr.status === 401) {
            // Token invalid, so prompt for user permission.
            oauth2SignIn();
          }
        };
        xhr.send(null);
      }
      else {
        // User didn't authorize read-only Drive activity permission.
        // Update UX and application accordingly
        console.log('User did not authorize read-only Drive activity permission.');
      }

      // Check if user authorized Calendar read permission.
      if (params['scope'].includes('https://www.googleapis.com/auth/calendar.readonly')) {
        // User authorized Calendar read permission.
        // Calling the APIs, etc.
        console.log('User authorized Calendar read permission.');
      }
      else {
        // User didn't authorize Calendar read permission.
        // Update UX and application accordingly
        console.log('User did not authorize Calendar read permission.');
      } 
    } else {
      oauth2SignIn();
    }
  }

  /*
   * Create form to request access token from Google's OAuth 2.0 server.
   */
  function oauth2SignIn() {
    // create random state value and store in local storage
    var state = generateCryptoRandomState();
    localStorage.setItem('state', state);

    // Google's OAuth 2.0 endpoint for requesting an access token
    var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

    // Create element to open OAuth 2.0 endpoint in new window.
    var form = document.createElement('form');
    form.setAttribute('method', 'GET'); // Send as a GET request.
    form.setAttribute('action', oauth2Endpoint);

    // Parameters to pass to OAuth 2.0 endpoint.
    var params = {'client_id': YOUR_CLIENT_ID,
                  'redirect_uri': YOUR_REDIRECT_URI,
                  'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly',
                  'state': state,
                  'include_granted_scopes': 'true',
                  'response_type': 'token'};

    // Add form parameters as hidden input values.
    for (var p in params) {
      var input = document.createElement('input');
      input.setAttribute('type', 'hidden');
      input.setAttribute('name', p);
      input.setAttribute('value', params[p]);
      form.appendChild(input);
    }

    // Add form to page and submit it to open the OAuth 2.0 endpoint.
    document.body.appendChild(form);
    form.submit();
  }
</script>

<button onclick="trySampleRequest();">Try sample request</button>
</body></html>

জাভাস্ক্রিপ্ট উৎস যাচাইকরণ নিয়ম

ডেভেলপারদের তাদের অ্যাপ্লিকেশন সুরক্ষিত রাখতে সাহায্য করার জন্য গুগল জাভাস্ক্রিপ্ট অরিজিনের ক্ষেত্রে নিম্নলিখিত যাচাইকরণ নিয়মগুলি প্রয়োগ করে। আপনার জাভাস্ক্রিপ্ট অরিজিনকে অবশ্যই এই নিয়মগুলি মেনে চলতে হবে। নীচে উল্লিখিত ডোমেইন, হোস্ট এবং স্কিমের সংজ্ঞার জন্য RFC 3986-এর ৩ নং ধারা দেখুন।

ক্রমবর্ধমান অনুমোদন

OAuth 2.0 প্রোটোকলে, আপনার অ্যাপ রিসোর্স অ্যাক্সেস করার জন্য অনুমোদনের অনুরোধ করে, যা স্কোপ দ্বারা চিহ্নিত করা হয়। যখন আপনার রিসোর্সগুলির প্রয়োজন হয়, তখনই সেগুলির জন্য অনুমোদনের অনুরোধ করাকে একটি সেরা ব্যবহারকারী-অভিজ্ঞতার অনুশীলন হিসাবে বিবেচনা করা হয়। এই অনুশীলনটি সক্ষম করার জন্য, গুগলের অনুমোদন সার্ভার ইনক্রিমেন্টাল অথরাইজেশন সমর্থন করে। এই বৈশিষ্ট্যটি আপনাকে প্রয়োজন অনুযায়ী স্কোপের জন্য অনুরোধ করতে দেয় এবং, যদি ব্যবহারকারী নতুন স্কোপের জন্য অনুমতি দেয়, তবে একটি অনুমোদন কোড ফেরত দেয় যা একটি টোকেনের জন্য বিনিময় করা যেতে পারে, যে টোকেনটিতে ব্যবহারকারীর দ্বারা প্রজেক্টকে দেওয়া সমস্ত স্কোপ অন্তর্ভুক্ত থাকে।

উদাহরণস্বরূপ, এমন একটি অ্যাপ যা ব্যবহারকারীদের মিউজিক ট্র্যাকের নমুনা শুনতে এবং মিক্স তৈরি করতে দেয়, সেটির সাইন-ইন করার সময় খুব কম রিসোর্সের প্রয়োজন হতে পারে; সম্ভবত সাইন-ইনকারী ব্যক্তির নাম ছাড়া আর কিছুই নয়। তবে, একটি সম্পূর্ণ মিক্স সেভ করার জন্য তাদের গুগল ড্রাইভে অ্যাক্সেসের প্রয়োজন হবে। বেশিরভাগ মানুষই এটিকে স্বাভাবিক মনে করবে যদি অ্যাপটির প্রয়োজনের সময়ই কেবল তাদের গুগল ড্রাইভে অ্যাক্সেসের জন্য অনুরোধ করা হয়।

এক্ষেত্রে, সাইন-ইন করার সময় অ্যাপটি সাধারণ সাইন-ইন সম্পন্ন করার জন্য openid এবং profile স্কোপগুলোর জন্য অনুরোধ করতে পারে, এবং পরে একটি মিক্স সংরক্ষণ করার জন্য প্রথম অনুরোধের সময় https://www.googleapis.com/auth/drive.file স্কোপটির জন্য অনুরোধ করতে পারে।

ইনক্রিমেন্টাল অথরাইজেশন থেকে প্রাপ্ত অ্যাক্সেস টোকেনের ক্ষেত্রে নিম্নলিখিত নিয়মগুলি প্রযোজ্য:

• নতুন, সমন্বিত অনুমোদন ব্যবস্থার অন্তর্ভুক্ত যেকোনো স্কোপের সাথে সংশ্লিষ্ট রিসোর্স অ্যাক্সেস করার জন্য এই টোকেনটি ব্যবহার করা যাবে।
• যখন আপনি সম্মিলিত অনুমোদনের জন্য রিফ্রেশ টোকেন ব্যবহার করে একটি অ্যাক্সেস টোকেন পান, তখন সেই অ্যাক্সেস টোকেনটি সম্মিলিত অনুমোদনকে প্রতিনিধিত্ব করে এবং রেসপন্সে অন্তর্ভুক্ত যেকোনো scope ভ্যালুর জন্য ব্যবহার করা যেতে পারে।
• সম্মিলিত অনুমোদনে সেই সমস্ত স্কোপ অন্তর্ভুক্ত থাকে যা ব্যবহারকারী এপিআই প্রজেক্টকে মঞ্জুর করেছেন, এমনকি যদি মঞ্জুরিগুলো ভিন্ন ভিন্ন ক্লায়েন্ট থেকে অনুরোধ করা হয়ে থাকে। উদাহরণস্বরূপ, যদি কোনো ব্যবহারকারী একটি অ্যাপ্লিকেশনের ডেস্কটপ ক্লায়েন্ট ব্যবহার করে একটি স্কোপে অ্যাক্সেস মঞ্জুর করেন এবং তারপর একটি মোবাইল ক্লায়েন্টের মাধ্যমে একই অ্যাপ্লিকেশনে আরেকটি স্কোপ মঞ্জুর করেন, তাহলে সম্মিলিত অনুমোদনে উভয় স্কোপই অন্তর্ভুক্ত হবে।
• যদি আপনি একটি সম্মিলিত অনুমোদনের প্রতিনিধিত্বকারী কোনো টোকেন বাতিল করেন, তাহলে সংশ্লিষ্ট ব্যবহারকারীর পক্ষ থেকে সেই অনুমোদনের সমস্ত স্কোপে প্রবেশাধিকার একই সাথে বাতিল হয়ে যায়।

নিচের কোড নমুনাগুলোতে দেখানো হয়েছে কীভাবে একটি বিদ্যমান অ্যাক্সেস টোকেনে স্কোপ যোগ করতে হয়। এই পদ্ধতিটি আপনার অ্যাপকে একাধিক অ্যাক্সেস টোকেন পরিচালনা করার ঝামেলা থেকে মুক্তি দেয়।

var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly';
var params = JSON.parse(localStorage.getItem('oauth2-test-params'));

var current_scope_granted = false;
if (params.hasOwnProperty('scope')) {
  var scopes = params['scope'].split(' ');
  for (var s = 0; s < scopes.length; s++) {
    if (SCOPE == scopes[s]) {
      current_scope_granted = true;
    }
  }
}

if (!current_scope_granted) {
  oauth2SignIn(); // This function is defined elsewhere in this document.
} else {
  // Since you already have access, you can proceed with the API request.
}

টোকেন প্রত্যাহার

কিছু ক্ষেত্রে একজন ব্যবহারকারী কোনো অ্যাপ্লিকেশনকে দেওয়া অ্যাক্সেস প্রত্যাহার করতে চাইতে পারেন। ব্যবহারকারী অ্যাকাউন্ট সেটিংস-এ গিয়ে অ্যাক্সেস প্রত্যাহার করতে পারেন। আরও তথ্যের জন্য, আপনার অ্যাকাউন্টে অ্যাক্সেস থাকা তৃতীয় পক্ষের সাইট ও অ্যাপস সম্পর্কিত সাপোর্ট ডকুমেন্টের ‘সাইট বা অ্যাপের অ্যাক্সেস সরান’ অংশটি দেখুন।

কোনো অ্যাপ্লিকেশনের পক্ষে প্রোগ্রাম্যাটিকভাবে তাকে দেওয়া অ্যাক্সেস প্রত্যাহার করাও সম্ভব। প্রোগ্রাম্যাটিক প্রত্যাহার সেইসব ক্ষেত্রে গুরুত্বপূর্ণ যেখানে একজন ব্যবহারকারী আনসাবস্ক্রাইব করেন, কোনো অ্যাপ্লিকেশন সরিয়ে ফেলেন, অথবা কোনো অ্যাপের জন্য প্রয়োজনীয় এপিআই রিসোর্স উল্লেখযোগ্যভাবে পরিবর্তিত হয়। অন্য কথায়, অপসারণ প্রক্রিয়ার একটি অংশ হিসেবে অ্যাপ্লিকেশনটিকে পূর্বে দেওয়া অনুমতিগুলো মুছে ফেলা নিশ্চিত করার জন্য একটি এপিআই অনুরোধ অন্তর্ভুক্ত থাকতে পারে।

curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
        https://oauth2.googleapis.com/revoke?token={token}

function revokeAccess(accessToken) {
  // Google's OAuth 2.0 endpoint for revoking access tokens.
  var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke';

  // Create <form> element to use to POST data to the OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'post');
  form.setAttribute('action', revokeTokenEndpoint);

  // Add access token to the form so it is set as value of 'token' parameter.
  // This corresponds to the sample curl request, where the URL is:
  //      https://oauth2.googleapis.com/revoke?token={token}
  var tokenField = document.createElement('input');
  tokenField.setAttribute('type', 'hidden');
  tokenField.setAttribute('name', 'token');
  tokenField.setAttribute('value', accessToken);
  form.appendChild(tokenField);

  // Add form to page and submit it to actually revoke the token.
  document.body.appendChild(form);
  form.submit();
}