本文档定义了 SASL XOAUTH2 机制,以便与 IMAP AUTHENTICATE
、POP AUTH
和 SMTP AUTH
命令搭配使用。借助此机制,您可以使用 OAuth 2.0 访问令牌对用户的 Gmail 账号进行身份验证。
使用 OAuth 2.0
首先,请熟悉使用 OAuth 2.0 访问 Google API。该文档介绍了 OAuth 2.0 的工作原理以及编写客户端所需的步骤。
您还可以浏览 XOAUTH2 示例代码,查看有效示例。
OAuth 2.0 范围
IMAP、POP 和 SMTP 访问权限的范围为 https://mail.google.com/
。如果您请求为 IMAP、POP 或 SMTP 应用请求访问完整邮件范围的权限,则该应用必须遵守我们的 Google API 服务:用户数据政策。
- 为了获得批准,您的应用必须显示已充分利用
https://mail.google.com/
。 - 如果您的应用不需要
https://mail.google.com/
,请迁移到 Gmail API 并使用更精细的受限范围。
Google Workspace的全网域授权
如果您打算使用服务账号通过 IMAP 访问用户的邮箱,并使用Google Workspace 全网域授权,则可以改为使用范围 https://www.googleapis.com/auth/gmail.imap_admin
授权客户端。 Google Workspace
使用此范围授权后,IMAP 连接的行为会有所不同:
- 所有标签都会通过 IMAP 显示,即使用户在 Gmail 设置中为标签停用了“在 IMAP 中显示”也不例外。
- 无论用户在 Gmail 设置的“文件夹大小限制”中设置了什么,系统都会通过 IMAP 显示所有邮件。
SASL XOAUTH2 机制
XOAUTH2 机制允许客户端向服务器发送 OAuth 2.0 访问令牌。该协议使用下一部分中所示的编码值。
初始客户端响应
SASL XOAUTH2 初始客户端响应的格式如下:
base64("user=" {User} "^Aauth=Bearer " {Access Token} "^A^A")
使用 RFC 4648 中定义的 base64 编码机制。^A
表示 Ctrl+A (\001)。
例如,在进行 base64 编码之前,初始客户端响应可能如下所示:
user=someuser@example.com^Aauth=Bearer ya29.vF9dft4qmTc2Nvb3RlckBhdHRhdmlzdGEuY29tCg^A^A
经过 base64 编码后,它会变成这样(插入换行符以便于阅读):
dXNlcj1zb21ldXNlckBleGFtcGxlLmNvbQFhdXRoPUJlYXJlciB5YTI5LnZGOWRmdDRxbVRjMk52
YjNSbGNrQmhkSFJoZG1semRHRXVZMjl0Q2cBAQ==
错误响应
如果初始客户端响应导致错误,服务器会发送一个包含错误消息的质询,格式如下:
base64({JSON-Body})
JSON-Body 包含三个值:status
、schemes
和 scope
。例如:
eyJzdGF0dXMiOiI0MDEiLCJzY2hlbWVzIjoiYmVhcmVyIG1hYyIsInNjb3BlIjoiaHR0cHM6Ly9t
YWlsLmdvb2dsZS5jb20vIn0K
经过 base64 解码后,此字符串会变成(格式经过了调整以便于理解):
{
"status":"401",
"schemes":"bearer",
"scope":"https://mail.google.com/"
}
SASL 协议要求客户端对此质询发送空响应。
IMAP 协议交换
本部分介绍了如何将 SASL XOAUTH2 与 Gmail IMAP 服务器搭配使用。
初始客户端响应
如需使用 SASL XOAUTH2 机制登录,客户端会使用机制参数 XOAUTH2
和上面构建的初始客户端响应调用 AUTHENTICATE
命令。例如:
[connection begins]
C: C01 CAPABILITY
S: * CAPABILITY IMAP4rev1 UNSELECT IDLE NAMESPACE QUOTA XLIST
CHILDREN XYZZY SASL-IR AUTH=XOAUTH2 AUTH=XOAUTH
S: C01 OK Completed
C: A01 AUTHENTICATE XOAUTH2 dXNlcj1zb21ldXNlckBleGFtcGxlLmNvb
QFhdXRoPUJlYXJlciB5YTI5LnZGOWRmdDRxbVRjMk52YjNSbGNrQmhkSFJoZG
1semRHRXVZMjl0Q2cBAQ==
S: A01 OK Success
[connection continues...]
关于 IMAP 协议交换的注意事项:
- IMAP
AUTHENTICATE
命令记录在 RFC 3501 中。 - SASL-IR 功能允许在
AUTHENTICATE
命令的第一行中发送初始客户端响应,因此只需一次往返即可完成身份验证。SASL-IR 在 RFC 4959 中有所介绍。 - AUTH=XOAUTH2 capability 声明服务器支持本文档定义的 SASL 机制,通过将 XOAUTH2 指定为
AUTHENTICATE
命令的第一个参数来激活此机制。 AUTHENTICATE
和CAPABILITY
命令中的换行符是为了清晰起见,实际命令数据中不会出现。整个 base64 参数应为一个连续的字符串,不含嵌入的空格,以便整个AUTHENTICATE
命令由单行文本组成。
错误响应
系统还会通过 IMAP AUTHENTICATE
命令返回身份验证失败:
[connection begins]
S: * CAPABILITY IMAP4rev1 UNSELECT IDLE NAMESPACE QUOTA XLIST
CHILDREN XYZZY SASL-IR AUTH=XOAUTH2
S: C01 OK Completed
C: A01 AUTHENTICATE XOAUTH2 dXNlcj1zb21ldXNlckBleGFtcGxlLmNvbQ
FhdXRoPUJlYXJlciB5YTI5LnZGOWRmdDRxbVRjMk52YjNSbGNrQmhkSFJoZG1s
emRHRXVZMjl0Q2cBAQ==
S: + eyJzdGF0dXMiOiI0MDEiLCJzY2hlbWVzIjoiYmVhcmVyIG1hYyIsInNjb
3BlIjoiaHR0cHM6Ly9tYWlsLmdvb2dsZS5jb20vIn0K
C:
S: A01 NO SASL authentication failed
关于 IMAP 协议交换的注意事项:
- 客户端向包含错误消息的质询发送空响应 ("\r\n")。
POP 协议交换
本部分介绍了如何将 SASL XOAUTH2 与 Gmail POP 服务器搭配使用。
初始客户端响应
如需使用 SASL XOAUTH2 机制登录,客户端会使用机制参数 XOAUTH2
和上面构建的初始客户端响应调用 AUTH
命令。例如:
[connection begins]
C: AUTH XOAUTH2 dXNlcj1zb21ldXNlckBleGFtcGxlLmNvbQFhdXRoPUJlYX
JlciB5YTI5LnZGOWRmdDRxbVRjMk52YjNSbGNrQmhkSFJoZG1semRHRXVZMjl0
Q2cBAQ==
S: +OK Welcome.
[connection continues...]
关于 POP 协议交换的注意事项:
- POP
AUTH
命令记录在 RFC 1734 中。 AUTH
命令中的换行符是为了清晰起见,实际命令数据中不会出现。整个 base64 参数应为一个连续的字符串,不含嵌入的空格,以便整个AUTH
命令由单行文本组成。
错误响应
系统还会通过 POP AUTH
命令返回身份验证失败:
[connection begins]
C: AUTH XOAUTH2 dXNlcj1zb21ldXNlckBleGFtcGxlLmNvbQFhdXRoPUJlY
XJlciB5YTI5LnZGOWRmdDRxbVRjMk52YjNSbGNrQmhkSFJoZG1semRHRXVZMj
l0Q2cBAQ==
S: + eyJzdGF0dXMiOiI0MDAiLCJzY2hlbWVzIjoiQmVhcmVyIiwic2NvcGUi
OiJodHRwczovL21haWwuZ29vZ2xlLmNvbS8ifQ==
SMTP 协议交换
本部分介绍了如何将 SASL XOAUTH2 与 Gmail SMTP 服务器搭配使用。
初始客户端响应
如需使用 XOAUTH2 机制登录,客户端会使用机制参数 XOAUTH2
和上面构建的初始客户端响应调用 AUTH
命令。例如:
[connection begins]
S: 220 mx.google.com ESMTP 12sm2095603fks.9
C: EHLO sender.example.com
S: 250-mx.google.com at your service, [172.31.135.47]
S: 250-SIZE 35651584
S: 250-8BITMIME
S: 250-AUTH LOGIN PLAIN XOAUTH XOAUTH2
S: 250-ENHANCEDSTATUSCODES
S: 250 PIPELINING
C: AUTH XOAUTH2 dXNlcj1zb21ldXNlckBleGFtcGxlLmNvbQFhdXRoPUJlY
XJlciB5YTI5LnZGOWRmdDRxbVRjMk52YjNSbGNrQmhkSFJoZG1semRHRXVZMj
l0Q2cBAQ==
S: 235 2.7.0 Accepted
[connection continues...]
关于 SMTP 协议交换的注意事项:
- SMTP
AUTH
命令在 RFC 4954 中有所记录。 AUTH
命令中的换行符是为了清晰起见,实际命令数据中不会出现。整个 base64 参数应为一个连续的字符串,不含嵌入的空格,以便整个AUTH
命令由单行文本组成。
错误响应
系统还会通过 SMTP AUTH
命令返回身份验证失败:
[connection begins]
S: 220 mx.google.com ESMTP 12sm2095603fks.9
C: EHLO sender.example.com
S: 250-mx.google.com at your service, [172.31.135.47]
S: 250-SIZE 35651584
S: 250-8BITMIME
S: 250-AUTH LOGIN PLAIN XOAUTH XOAUTH2
S: 250-ENHANCEDSTATUSCODES
S: 250 PIPELINING
C: AUTH XOAUTH2 dXNlcj1zb21ldXNlckBleGFtcGxlLmNvbQFhdXRoPUJlYXJl
ciB5YTI5LnZGOWRmdDRxbVRjMk52YjNSbGNrQmhkSFJoZG1semRHRXVZMjl0Q2cB
AQ==
S: 334 eyJzdGF0dXMiOiI0MDEiLCJzY2hlbWVzIjoiYmVhcmVyIG1hYyIsInNjb
3BlIjoiaHR0cHM6Ly9tYWlsLmdvb2dsZS5jb20vIn0K
C:
S: 535-5.7.1 Username and Password not accepted. Learn more at
S: 535 5.7.1 https://support.google.com/mail/?p=BadCredentials hx9sm5317360pbc.68
[connection continues...]
关于 SMTP 协议交换的注意事项:
- 客户端向包含错误消息的质询发送空响应 ("\r\n")。
参考
- OAUTH2:使用 OAuth 2.0 访问 Google API
- SMTP:RFC 2821:简单邮件传输协议
- IMAP:RFC 3501:INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1
- POP:RFC 1081:Post Office Protocol - Version 3
- SASL:RFC 4422:简单身份验证和安全层 (SASL)
- JSON:RFC 4627:适用于 JavaScript 对象表示法的 application/json 媒体类型
- BASE64:RFC 4648:Base16、Base32 和 Base64 数据编码
- SASL-IR:RFC 4959:适用于简单身份验证和安全层 (SASL) 初始客户端响应的 IMAP 扩展
- SMTP-AUTH:RFC 4954:用于身份验证的 SMTP 服务扩展