OAuth 2.0 cho Ứng dụng web phía máy khách

Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

Tài liệu này giải thích cách triển khai lệnh ủy quyền OAuth 2.0 để truy cập vào các API của Google qua một ứng dụng web dùng JavaScript. OAuth 2.0 cho phép người dùng chia sẻ dữ liệu cụ thể với một ứng dụng, đồng thời giữ bí mật tên người dùng, mật khẩu và các thông tin khác. Ví dụ: một ứng dụng có thể sử dụng OAuth 2.0 để xin phép người dùng lưu trữ tệp trong Google Drive của họ.

Luồng OAuth 2.0 này được gọi là luồng cấp ngầm ẩn. API này được thiết kế cho các ứng dụng chỉ truy cập vào API khi người dùng có mặt tại ứng dụng. Những ứng dụng này không thể lưu trữ thông tin mật.

Trong quy trình này, ứng dụng của bạn sẽ mở một URL của Google. URL này sử dụng các tham số truy vấn để xác định ứng dụng của bạn và loại quyền truy cập của API mà ứng dụng yêu cầu. Bạn có thể mở URL trong cửa sổ trình duyệt hiện tại hoặc một cửa sổ bật lên. Người dùng có thể xác thực với Google và cấp các quyền được yêu cầu. Sau đó, Google sẽ chuyển hướng người dùng trở lại ứng dụng của bạn. Lệnh chuyển hướng đó có một mã truy cập mà ứng dụng của bạn sẽ xác minh, sau đó dùng để tạo các yêu cầu API.

Điều kiện tiên quyết

Bật API cho dự án của bạn

Mọi ứng dụng gọi API của Google đều phải bật các API đó trong API Console.

Cách bật API cho dự án:

  1. Open the API Library trong Google API Console.
  2. If prompted, select a project, or create a new one.
  3. API Library Danh sách tất cả API có sẵn, được nhóm theo nhóm sản phẩm và mức độ phổ biến. Nếu API bạn muốn bật không hiển thị trong danh sách, hãy sử dụng tính năng tìm kiếm để tìm API đó hoặc nhấp vào Xem tất cả trong nhóm sản phẩm chứa API đó.
  4. Chọn API bạn muốn bật, sau đó nhấp vào nút Bật.
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

Tạo thông tin đăng nhập ủy quyền

Bất kỳ ứng dụng nào sử dụng OAuth 2.0 để truy cập API của Google đều phải có thông tin đăng nhập ủy quyền để nhận dạng ứng dụng đó bằng máy chủ OAuth 2.0 của Google. Sau đây là các bước giải thích cách tạo thông tin đăng nhập cho dự án của bạn. Sau đó, các ứng dụng của bạn có thể sử dụng thông tin xác thực để truy cập các API mà bạn đã bật cho dự án đó.

  1. Go to the Credentials page.
  2. Nhấp vào Tạo thông tin xác thực > Mã ứng dụng OAuth.
  3. Chọn loại ứng dụng Ứng dụng web.
  4. Hoàn thành biểu mẫu. Những ứng dụng sử dụng JavaScript để yêu cầu Google API được ủy quyền phải chỉ định nguồn gốc JavaScript được ủy quyền. Nguồn gốc xác định các miền mà từ đó ứng dụng của bạn có thể gửi yêu cầu đến máy chủ OAuth 2.0. Những nguồn gốc này phải tuân thủ các quy tắc xác thực của Google.

Xác định phạm vi truy cập

Phạm vi cho phép ứng dụng của bạn chỉ yêu cầu quyền truy cập vào các tài nguyên cần thiết, đồng thời cho phép người dùng kiểm soát số lượng quyền truy cập mà họ cấp cho ứng dụng của bạn. Do đó, có thể có mối quan hệ nghịch đảo giữa số lượng phạm vi đã yêu cầu và khả năng có được sự đồng ý của người dùng.

Trước khi bắt đầu triển khai ủy quyền OAuth 2.0, bạn nên xác định các phạm vi mà ứng dụng của bạn sẽ cần quyền truy cập.

Tài liệu về Phạm vi API OAuth 2.0 chứa danh sách đầy đủ các phạm vi mà bạn có thể dùng để truy cập vào các API của Google.

Lấy mã truy cập OAuth 2.0

Các bước sau đây cho thấy cách ứng dụng của bạn tương tác với máy chủ OAuth 2.0 của Google để nhận được sự đồng ý của người dùng để thực hiện yêu cầu API thay mặt người dùng. Ứng dụng của bạn phải có được sự đồng ý đó thì mới có thể thực thi yêu cầu API của Google yêu cầu sự cho phép của người dùng.

Bước 1: Định cấu hình đối tượng máy khách

Nếu bạn đang sử dụng thư viện ứng dụng JavaScript của Google cho JavaScript để xử lý quy trình OAuth 2.0, bước đầu tiên là định cấu hình đối tượng gapi.auth2gapi.client. Những đối tượng này cho phép ứng dụng của bạn nhận được sự cho phép của người dùng và đưa ra yêu cầu API được ủy quyền.

Đối tượng máy khách xác định các phạm vi mà ứng dụng của bạn đang yêu cầu quyền truy cập. Những giá trị này cho biết màn hình đồng ý mà Google hiển thị cho người dùng.

Thư viện ứng dụng JS

Thư viện ứng dụng JavaScript đơn giản hóa nhiều khía cạnh của quy trình cấp phép:

  1. Tính năng này tạo URL chuyển hướng cho máy chủ ủy quyền của Google và cung cấp một phương thức để chuyển người dùng đến URL đó.
  2. Xử lý chuyển hướng từ máy chủ đó trở lại ứng dụng của bạn.
  3. Xác thực mã thông báo truy cập do máy chủ ủy quyền trả về.
  4. Mã này lưu trữ mã truy cập mà máy chủ ủy quyền gửi tới ứng dụng của bạn và truy xuất mã này khi ứng dụng của bạn thực hiện các lệnh gọi API được ủy quyền sau đó.

Đoạn mã bên dưới là phần trích dẫn từ ví dụ đầy đủ hiển thị ở phần sau của tài liệu này. Mã này sẽ khởi tạo đối tượng gapi.client mà sau này ứng dụng của bạn sẽ sử dụng để thực hiện các lệnh gọi API. Khi đối tượng đó được tạo, đối tượng gapi.auth2 mà ứng dụng của bạn sử dụng để kiểm tra và theo dõi trạng thái ủy quyền của người dùng cũng sẽ được khởi tạo.

Lệnh gọi đến gapi.client.init chỉ định các trường sau:

  • Giá trị apiKeyclientId chỉ định thông tin cấp phép của ứng dụng. Như đã thảo luận trong phần tạo thông tin xác thực, bạn có thể lấy các giá trị này trong API Console. Xin lưu ý rằng bạn phải nhập clientId nếu ứng dụng của bạn đưa ra yêu cầu API được ủy quyền. Ứng dụng chỉ thực hiện các yêu cầu trái phép có thể chỉ định một khoá API.
  • Trường scope chỉ định danh sách các phạm vi truy cập được phân tách bằng dấu cách tương ứng với các tài nguyên mà ứng dụng của bạn có thể truy cập thay mặt cho người dùng. Những giá trị này cho biết màn hình đồng ý mà Google hiển thị cho người dùng.

    Yêu cầu ứng dụng của bạn yêu cầu quyền truy cập vào phạm vi ủy quyền theo ngữ cảnh bất cứ khi nào có thể. Bằng cách yêu cầu quyền truy cập vào dữ liệu người dùng theo ngữ cảnh, thông qua uỷ quyền tăng dần, bạn sẽ giúp người dùng dễ dàng hiểu được lý do ứng dụng của bạn cần quyền truy cập mà ứng dụng đang yêu cầu.

  • Trường discoveryDocs xác định danh sách các tài liệu Khám phá API mà ứng dụng của bạn sử dụng. Tài liệu Khám phá mô tả giao diện của API, bao gồm giản đồ tài nguyên của API đó, còn thư viện ứng dụng JavaScript sử dụng thông tin đó để tạo phương thức mà các ứng dụng có thể sử dụng. Trong ví dụ này, mã truy xuất tài liệu khám phá cho phiên bản 3 của API Google Drive.

Sau khi lệnh gọi gapi.client.init hoàn tất, mã này sẽ đặt biến GoogleAuth để xác định đối tượng Xác thực trên Google. Cuối cùng, mã này đặt một trình xử lý gọi một hàm khi trạng thái đăng nhập của người dùng thay đổi. (Hàm đó không được xác định trong đoạn trích.)

var GoogleAuth; // Google Auth object.
function initClient() {
  gapi.client.init({
      'apiKey': 'YOUR_API_KEY',
      'clientId': 'YOUR_CLIENT_ID',
      'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
      'discoveryDocs': ['https://www.googleapis.com/discovery/v1/apis/drive/v3/rest']
  }).then(function () {
      GoogleAuth = gapi.auth2.getAuthInstance();

      // Listen for sign-in state changes.
      GoogleAuth.isSignedIn.listen(updateSigninStatus);
  });
}

Thiết bị đầu cuối OAuth 2.0

Nếu đang truy cập trực tiếp vào điểm cuối OAuth 2.0, bạn có thể chuyển sang bước tiếp theo.

Bước 2: Chuyển hướng đến máy chủ OAuth 2.0 của Google

Để yêu cầu quyền truy cập vào dữ liệu của người dùng, hãy chuyển hướng người dùng đến máy chủ OAuth 2.0 của Google.

Thư viện ứng dụng JS

Gọi phương thức GoogleAuth.signIn() để hướng người dùng đến máy chủ ủy quyền của Google.

GoogleAuth.signIn();

Trong thực tế, ứng dụng của bạn có thể đặt một giá trị Boolean để xác định xem có gọi phương thức signIn() hay không trước khi tìm cách thực hiện lệnh gọi API.

Đoạn mã bên dưới minh họa cách bạn sẽ bắt đầu quy trình cho phép người dùng. Hãy lưu ý những điểm sau về đoạn trích:

  • Đối tượng GoogleAuth được tham chiếu trong mã giống với biến toàn cục được xác định trong đoạn mã ở bước 1.

  • Hàm updateSigninStatus là một trình xử lý xử lý các thay đổi đối với trạng thái ủy quyền của người dùng. Vai trò của người nghe cũng được xác định trong đoạn mã ở bước 1:
    GoogleAuth.isSignedIn.listen(updateSigninStatus);
  • Đoạn mã xác định hai biến toàn cục bổ sung:

    • isAuthorized là một biến Boolean cho biết liệu người dùng đã đăng nhập hay chưa. Bạn có thể đặt giá trị này khi tải và cập nhật ứng dụng nếu người dùng đăng nhập hoặc đăng xuất ứng dụng.

      Trong đoạn mã này, hàm sendAuthorizedApiRequest sẽ kiểm tra giá trị của biến &

    • currentApiRequest là một đối tượng lưu trữ thông tin chi tiết về yêu cầu API gần đây nhất mà người dùng đã thử. Giá trị của đối tượng được đặt khi ứng dụng gọi hàm sendAuthorizedApiRequest.

      Nếu người dùng đã ủy quyền cho ứng dụng, yêu cầu sẽ được thực thi ngay lập tức. Nếu không, hàm sẽ chuyển hướng người dùng để đăng nhập. Sau khi người dùng đăng nhập, hàm updateSignInStatus sẽ gọi sendAuthorizedApiRequest, chuyển vào cùng một yêu cầu đã được thử trước khi luồng ủy quyền bắt đầu.

var isAuthorized;
var currentApiRequest;

/**
 * Store the request details. Then check to determine whether the user
 * has authorized the application.
 *   - If the user has granted access, make the API request.
 *   - If the user has not granted access, initiate the sign-in flow.
 */
function sendAuthorizedApiRequest(requestDetails) {
  currentApiRequest = requestDetails;
  if (isAuthorized) {
    // Make API request
    // gapi.client.request(requestDetails)

    // Reset currentApiRequest variable.
    currentApiRequest = {};
  } else {
    GoogleAuth.signIn();
  }
}

/**
 * Listener called when user completes auth flow. If the currentApiRequest
 * variable is set, then the user was prompted to authorize the application
 * before the request executed. In that case, proceed with that API request.
 */
function updateSigninStatus(isSignedIn) {
  if (isSignedIn) {
    isAuthorized = true;
    if (currentApiRequest) {
      sendAuthorizedApiRequest(currentApiRequest);
    }
  } else {
    isAuthorized = false;
  }
}

Thiết bị đầu cuối OAuth 2.0

Tạo một URL để yêu cầu quyền truy cập từ điểm cuối OAuth 2.0 của Google tại https://accounts.google.com/o/oauth2/v2/auth. Bạn có thể truy cập điểm cuối này qua HTTPS. Các kết nối HTTP thuần túy bị từ chối.

Máy chủ ủy quyền của Google hỗ trợ các tham số chuỗi truy vấn sau cho các ứng dụng máy chủ web:

Các thông số
client_id Bắt buộc

ID ứng dụng khách cho ứng dụng của bạn. Bạn có thể tìm thấy giá trị này trong Credentials page API Console.

redirect_uri Bắt buộc

Xác định nơi máy chủ API chuyển hướng người dùng sau khi người dùng hoàn thành luồng ủy quyền. Giá trị này phải khớp chính xác với một trong các URI chuyển hướng được ủy quyền của ứng dụng OAuth 2.0 mà bạn đã định cấu hình trong API Consolecủa Credentials page. Nếu giá trị này không khớp với URI chuyển hướng được ủy quyền cho client_id đã cho, bạn sẽ gặp lỗi redirect_uri_mismatch.

Xin lưu ý rằng lược đồ http hoặc https, cách viết hoa và dấu gạch chéo theo sau (×39;/#39;) phải khớp hoàn toàn.

response_type Bắt buộc

Ứng dụng JavaScript cần đặt giá trị của thông số\39;s thành token. Giá trị này hướng dẫn Máy chủ ủy quyền của Google trả về mã truy cập dưới dạng một cặp name=value trong giá trị nhận dạng phân đoạn của URI (#) mà người dùng được chuyển hướng đến sau khi hoàn tất quá trình ủy quyền.

scope Bắt buộc

Danh sách các phạm vi được phân tách bằng dấu cách xác định các tài nguyên mà ứng dụng của bạn có thể truy cập thay mặt cho người dùng. Những giá trị này cho biết màn hình đồng ý mà Google hiển thị cho người dùng.

Phạm vi cho phép ứng dụng của bạn chỉ yêu cầu quyền truy cập vào các tài nguyên cần thiết, đồng thời cho phép người dùng kiểm soát số lượng quyền truy cập mà họ cấp cho ứng dụng của bạn. Do đó, có mối quan hệ nghịch đảo giữa số lượng phạm vi đã yêu cầu và khả năng có được sự đồng ý của người dùng.

Yêu cầu ứng dụng của bạn yêu cầu quyền truy cập vào phạm vi ủy quyền theo ngữ cảnh bất cứ khi nào có thể. Bằng cách yêu cầu quyền truy cập vào dữ liệu người dùng theo bối cảnh, thông qua quy trình ủy quyền gia tăng, bạn giúp người dùng dễ dàng hơn để hiểu lý do ứng dụng của bạn cần quyền truy cập vào ứng dụng.

state Nên

Chỉ định mọi giá trị chuỗi mà ứng dụng dùng để duy trì trạng thái giữa yêu cầu ủy quyền của bạn và phản hồi của máy chủ ủy quyền. Máy chủ trả về giá trị chính xác mà bạn gửi dưới dạng một cặp name=value trong giá trị nhận dạng phân đoạn URL (#) của redirect_uri sau khi người dùng đồng ý hoặc từ chối yêu cầu truy cập của ứng dụng.

Bạn có thể sử dụng thông số này cho nhiều mục đích, chẳng hạn như chuyển hướng người dùng đến tài nguyên chính xác trong ứng dụng của bạn, gửi nonces và giảm thiểu hành vi giả mạo yêu cầu trên nhiều trang web. Vì redirect_uri của bạn có thể được đoán ra, nên việc sử dụng giá trị state có thể làm tăng mức độ chắc chắn của bạn rằng kết nối đến là kết quả của một yêu cầu xác thực. Nếu bạn tạo một chuỗi ngẫu nhiên hoặc mã hóa giá trị băm của cookie hoặc giá trị khác thu thập trạng thái của ứng dụng, thì bạn có thể xác thực phản hồi để đảm bảo rằng yêu cầu và phản hồi bắt nguồn trong cùng một trình duyệt, qua đó bảo vệ bạn khỏi các cuộc tấn công như giả mạo yêu cầu trên nhiều trang web. Hãy xem tài liệu về OpenID Connect để xem ví dụ về cách tạo và xác nhận mã thông báo state.

include_granted_scopes Tùy chọn

Cho phép các ứng dụng dùng thông tin ủy quyền gia tăng để yêu cầu quyền truy cập vào các phạm vi bổ sung trong bối cảnh. Nếu bạn đặt giá trị của thông số này là true và yêu cầu ủy quyền được cấp, thì mã truy cập mới cũng sẽ đề cập đến mọi phạm vi mà người dùng trước đây đã cấp quyền truy cập vào ứng dụng. Hãy xem phần ủy quyền gia hạn để biết ví dụ.

login_hint Tùy chọn

Nếu biết ứng dụng nào đang cố gắng xác thực, ứng dụng của bạn có thể sử dụng thông số này để cung cấp gợi ý cho Máy chủ xác thực của Google. Máy chủ sử dụng gợi ý để đơn giản hóa quy trình đăng nhập bằng cách điền sẵn trường email trong biểu mẫu đăng nhập hoặc bằng cách chọn phiên đăng nhập nhiều tài khoản thích hợp.

Đặt giá trị thông số thành địa chỉ email hoặc giá trị nhận dạng sub, tương đương với mã nhận dạng Google của người dùng.

prompt Tùy chọn

Danh sách lời nhắc có phân biệt chữ hoa chữ thường và được phân tách bằng dấu cách để hiển thị cho người dùng. Nếu bạn không chỉ định tham số này, người dùng sẽ chỉ được nhắc vào lần đầu tiên dự án của bạn yêu cầu quyền truy cập. Hãy xem phần Nhắc lại sự đồng ý để biết thêm thông tin.

Các giá trị có thể là:

none Không hiển thị bất kỳ màn hình xác thực hoặc màn hình đồng ý nào. Không được chỉ định cùng với các giá trị khác.
consent Nhắc người dùng đồng ý.
select_account Nhắc người dùng chọn tài khoản.

Mẫu chuyển hướng đến máy chủ ủy quyền của Google

Dưới đây là một ví dụ về URL được phân tách bằng dấu ngắt dòng và khoảng trắng để dễ đọc.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 include_granted_scopes=true&
 response_type=token&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

Sau khi bạn tạo URL yêu cầu, hãy chuyển hướng người dùng đến URL đó.

Mã mẫu JavaScript

Đoạn mã JavaScript sau đây cho thấy cách bắt đầu quy trình cho phép trong JavaScript mà không cần sử dụng Thư viện ứng dụng JavaScript của Google cho JavaScript. Vì điểm cuối OAuth 2.0 này không hỗ trợ tính năng Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS) nên đoạn mã sẽ tạo một biểu mẫu mở yêu cầu tới điểm cuối đó.

/*
 * Create form to request access token from Google's OAuth 2.0 server.
 */
function oauthSignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

  // Create <form> element to submit parameters to OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'GET'); // Send as a GET request.
  form.setAttribute('action', oauth2Endpoint);

  // Parameters to pass to OAuth 2.0 endpoint.
  var params = {'client_id': 'YOUR_CLIENT_ID',
                'redirect_uri': 'YOUR_REDIRECT_URI',
                'response_type': 'token',
                'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
                'include_granted_scopes': 'true',
                'state': 'pass-through value'};

  // Add form parameters as hidden input values.
  for (var p in params) {
    var input = document.createElement('input');
    input.setAttribute('type', 'hidden');
    input.setAttribute('name', p);
    input.setAttribute('value', params[p]);
    form.appendChild(input);
  }

  // Add form to page and submit it to open the OAuth 2.0 endpoint.
  document.body.appendChild(form);
  form.submit();
}

Bước 3: Google nhắc người dùng đồng ý

Trong bước này, người dùng quyết định có cấp cho ứng dụng của bạn quyền truy cập đã yêu cầu hay không. Ở giai đoạn này, Google sẽ hiển thị một cửa sổ yêu cầu đồng ý, trong đó hiển thị tên ứng dụng và các dịch vụ API của Google mà ứng dụng đó đang yêu cầu quyền truy cập bằng thông tin ủy quyền của người dùng và bản tóm tắt các phạm vi quyền truy cập sẽ được cấp. Sau đó, người dùng có thể đồng ý cấp quyền truy cập vào một hoặc nhiều phạm vi theo yêu cầu của bạn hoặc từ chối yêu cầu.

Ứng dụng của bạn không cần làm gì trong giai đoạn này vì đang chờ phản hồi của máy chủ OAuth 2.0 của Google cho biết liệu có cấp quyền truy cập nào không. Phản hồi đó sẽ được giải thích trong bước sau.

Lỗi

Các yêu cầu đến điểm cuối ủy quyền OAuth 2.0 của Google có thể hiển thị các thông báo lỗi mà người dùng thấy được thay vì các quy trình xác thực và ủy quyền dự kiến. Bên dưới là các mã lỗi phổ biến và cách giải quyết được đề xuất.

admin_policy_enforced

Tài khoản Google không thể ủy quyền một hoặc nhiều phạm vi được yêu cầu do các chính sách của quản trị viên Google Workspace của họ. Hãy xem bài viết trợ giúp dành cho Quản trị viên Google Workspace Kiểm soát những nội dung &amp của bên thứ ba; các ứng dụng nội bộ truy cập vào dữ liệu trong Google Workspace để biết thêm thông tin về cách quản trị viên có thể hạn chế quyền truy cập vào tất cả các phạm vi hoặc phạm vi nhạy cảm và bị hạn chế cho đến khi quyền truy cập được cấp rõ ràng vào mã ứng dụng OAuth của bạn.

disallowed_useragent

Điểm cuối ủy quyền được hiển thị bên trong tác nhân người dùng đã nhúng theo Chính sách OAuth 2.0 của Google.

Android

Nhà phát triển Android có thể nhận được thông báo lỗi này khi mở yêu cầu ủy quyền trong android.webkit.WebView. Thay vào đó, nhà phát triển nên sử dụng các thư viện Android như Đăng nhập bằng Google cho Android hoặc AppAuth cho Android.

Các nhà phát triển web có thể gặp lỗi này khi ứng dụng Android mở một đường liên kết web chung trong một tác nhân người dùng được nhúng và người dùng chuyển đến điểm cuối ủy quyền OAuth 2.0 của Google trên trang web của bạn. Nhà phát triển nên cho phép mở đường liên kết chung trong trình xử lý đường liên kết mặc định của hệ điều hành (bao gồm cả trình xử lý Đường liên kết trong ứng dụng Android hoặc ứng dụng trình duyệt mặc định). Thư viện Các thẻ tùy chỉnh Android cũng là một tùy chọn được hỗ trợ.

iOS

Các nhà phát triển iOS và macOS có thể gặp lỗi này khi mở các yêu cầu ủy quyền trong WKWebView. Thay vào đó, nhà phát triển nên sử dụng các thư viện dành cho iOS như Đăng nhập bằng Google dành cho iOS hoặc AppAuth for iOS của OpenID Foundation.

Các nhà phát triển web có thể gặp lỗi này khi ứng dụng iOS hoặc macOS mở một đường liên kết web chung trong một tác nhân người dùng được nhúng và người dùng chuyển đến điểm cuối ủy quyền OAuth 2.0 của Google trên trang web của bạn. Nhà phát triển nên cho phép mở các đường liên kết chung trong trình xử lý đường liên kết mặc định của hệ điều hành, bao gồm cả trình xử lý Đường liên kết phổ quát hoặc ứng dụng trình duyệt mặc định. Thư viện SFSafariViewController cũng là một tuỳ chọn được hỗ trợ.

org_internal

Mã ứng dụng OAuth trong yêu cầu là một phần của dự án hạn chế quyền truy cập vào Tài khoản Google trong một tổ chức Google Cloud cụ thể. Để biết thêm thông tin về tùy chọn cấu hình này, hãy xem phần Loại người dùng trong bài viết trợ giúp về Thiết lập màn hình đồng ý OAuth.

origin_mismatch

Lược đồ, miền và/hoặc cổng của JavaScript khởi tạo yêu cầu ủy quyền có thể không khớp với URI gốc JavaScript đã được đăng ký cho mã ứng dụng OAuth. Hãy tham khảo nguồn gốc JavaScript được cho phép trong Google API ConsoleCredentials page.

redirect_uri_mismatch

redirect_uri được chuyển trong yêu cầu ủy quyền không khớp với URI chuyển hướng được ủy quyền cho mã ứng dụng OAuth. Xem lại các URI chuyển hướng được ủy quyền trong Google API Console Credentials page.

Lược đồ, miền và/hoặc cổng của JavaScript khởi tạo yêu cầu ủy quyền có thể không khớp với URI gốc JavaScript đã được đăng ký cho mã ứng dụng OAuth. Hãy xem xét nguồn gốc JavaScript được cho phép trong Google API Console Credentials page.

Bước 4: Xử lý phản hồi của máy chủ OAuth 2.0

Thư viện ứng dụng JS

Thư viện ứng dụng JavaScript xử lý phản hồi từ máy chủ ủy quyền của Google. Nếu bạn đặt trình xử lý theo dõi các thay đổi về trạng thái đăng nhập của người dùng hiện tại, thì hàm đó sẽ được gọi khi người dùng cấp quyền truy cập được yêu cầu vào ứng dụng.

Thiết bị đầu cuối OAuth 2.0

Máy chủ OAuth 2.0 gửi phản hồi tới redirect_uri đã chỉ định trong yêu cầu mã thông báo truy cập của bạn.

Nếu người dùng đồng ý với yêu cầu thì phản hồi sẽ chứa một mã truy cập. Nếu người dùng không phê duyệt yêu cầu, thì phản hồi sẽ chứa một thông báo lỗi. Mã truy cập hoặc thông báo lỗi được trả về trên mảnh băm của URI chuyển hướng, như minh họa dưới đây:

  • Phản hồi của mã truy cập:

    https://oauth2.example.com/callback#access_token=4/P7q7W91&token_type=Bearer&expires_in=3600

    Ngoài thông số access_token, chuỗi mảnh cũng chứa thông số token_type, luôn đặt thành Bearer và thông số expires_in giúp chỉ định thời gian tồn tại của mã thông báo (tính bằng giây). Nếu thông số state được chỉ định trong yêu cầu mã thông báo truy cập, thì giá trị của thông số đó cũng được bao gồm trong phản hồi.

  • Phản hồi về lỗi:
    https://oauth2.example.com/callback#error=access_denied

Phản hồi của máy chủ OAuth 2.0 mẫu

Bạn có thể kiểm tra quy trình này bằng cách nhấp vào URL mẫu sau. URL này yêu cầu quyền chỉ có quyền đọc để xem siêu dữ liệu cho tệp trong Google Drive của bạn:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 include_granted_scopes=true&
 response_type=token&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

Sau khi hoàn tất quy trình OAuth 2.0, bạn sẽ được chuyển hướng đến http://localhost/oauth2callback. URL đó sẽ gây ra lỗi 404 NOT FOUND trừ khi máy cục bộ của bạn tình trạng phân phát tệp tại địa chỉ đó. Bước tiếp theo sẽ cung cấp thêm thông tin chi tiết về thông tin được trả về trong URI khi người dùng được chuyển hướng trở lại ứng dụng của bạn.

Gọi API Google

Thư viện ứng dụng JS

Sau khi ứng dụng của bạn nhận được mã truy cập, bạn có thể dùng thư viện ứng dụng JavaScript để thực hiện yêu cầu API thay mặt cho người dùng. Thư viện ứng dụng quản lý mã truy cập cho bạn và bạn không cần phải làm gì đặc biệt để gửi mã trong yêu cầu.

Thư viện ứng dụng hỗ trợ hai cách để gọi phương thức API. Nếu bạn đã tải một tài liệu khám phá, API sẽ xác định các hàm dành riêng cho phương thức của bạn. Bạn cũng có thể dùng hàm gapi.client.request để gọi một phương thức API. Hai đoạn mã sau minh họa các tùy chọn này cho phương thức about.get của API Drive.

// Example 1: Use method-specific function
var request = gapi.client.drive.about.get({'fields': 'user'});

// Execute the API request.
request.execute(function(response) {
  console.log(response);
});


// Example 2: Use gapi.client.request(args) function
var request = gapi.client.request({
  'method': 'GET',
  'path': '/drive/v3/about',
  'params': {'fields': 'user'}
});
// Execute the API request.
request.execute(function(response) {
  console.log(response);
});

Thiết bị đầu cuối OAuth 2.0

Sau khi ứng dụng của bạn nhận được mã truy cập, bạn có thể sử dụng mã đó để gọi điện đến API Google thay mặt cho một tài khoản người dùng nhất định nếu(các) phạm vi quyền truy cập mà API yêu cầu đã cấp. Để làm điều này, hãy đưa mã truy cập vào yêu cầu API bằng cách thêm thông số truy vấn access_token hoặc tiêu đề Authorization tiêu đề HTTP Bearer. Khi có thể, bạn nên dùng tiêu đề HTTP vì các chuỗi truy vấn có xu hướng xuất hiện trong nhật ký máy chủ. Trong hầu hết trường hợp, bạn có thể sử dụng thư viện ứng dụng để thiết lập lệnh gọi đến API Google (ví dụ: khi gọi API Drive Files).

Bạn có thể dùng thử tất cả API của Google và xem phạm vi của các API này tại OAuth 2.0 Playground.

Ví dụ về HTTP GET

Lệnh gọi đến điểm cuối drive.files (API Drive Drive) bằng cách sử dụng tiêu đề HTTP Authorization: Bearer có thể có dạng như sau. Xin lưu ý rằng bạn cần chỉ định mã truy cập của riêng mình:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

Dưới đây là lệnh gọi đến cùng một API cho người dùng đã xác thực bằng cách sử dụng thông số chuỗi truy vấn access_token:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

Ví dụ về curl

Bạn có thể kiểm tra các lệnh này bằng ứng dụng dòng lệnh curl. Sau đây là ví dụ về cách sử dụng tùy chọn tiêu đề HTTP (ưu tiên):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

Hoặc tùy chọn tham số chuỗi truy vấn:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

Mã mẫu JavaScript

Đoạn mã dưới đây minh họa cách sử dụng CORS (Chia sẻ tài nguyên trên nhiều nguồn gốc) để gửi yêu cầu đến API Google. Ví dụ này không sử dụng Thư viện ứng dụng JavaScript của Google cho JavaScript. Tuy nhiên, ngay cả khi bạn không sử dụng thư viện ứng dụng, thì hướng dẫn của nhóm hỗ trợ CORS trong tài liệu của thư viện đó sẽ có thể giúp bạn hiểu rõ hơn các yêu cầu này.

Trong đoạn mã này, biến access_token đại diện cho mã thông báo mà bạn đã nhận được để thực hiện các yêu cầu API thay mặt cho người dùng được ủy quyền. Ví dụ hoàn chỉnh minh họa cách lưu trữ mã thông báo đó trong bộ nhớ cục bộ của trình duyệt và truy xuất mã đó khi đưa ra yêu cầu API.

var xhr = new XMLHttpRequest();
xhr.open('GET',
    'https://www.googleapis.com/drive/v3/about?fields=user&' +
    'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
  console.log(xhr.response);
};
xhr.send(null);

Ví dụ đầy đủ

Thư viện ứng dụng JS

Bản minh họa mã mẫu

Phần này minh họa cách hoạt động của mã mẫu sau đây để minh họa cách mã hoạt động trong một ứng dụng thực tế. Sau khi bạn cho phép, ứng dụng sẽ được liệt kê trong số các ứng dụng kết nối với Tài khoản Google của bạn. Ứng dụng này có tên là OAuth 2.0 Demo cho Google API Documents. Tương tự như vậy, nếu bạn thu hồi quyền truy cập và làm mới trang đó, thì ứng dụng đó sẽ không xuất hiện trong danh sách nữa.

Xin lưu ý rằng ứng dụng này yêu cầu quyền truy cập vào phạm vi https://www.googleapis.com/auth/drive.metadata.readonly. Chúng tôi chỉ yêu cầu quyền truy cập để minh họa cách bắt đầu quy trình OAuth 2.0 trong ứng dụng JavaScript. Ứng dụng này không đưa ra yêu cầu API nào.

Mã mẫu JavaScript

Như minh họa ở trên, mẫu mã này dành cho một trang (một ứng dụng) tải Thư viện ứng dụng API của Google cho JavaScript và bắt đầu quy trình OAuth 2.0. Trang sẽ hiển thị:

  • Một nút cho phép người dùng đăng nhập vào ứng dụng. Nếu trước đó người dùng chưa cho phép ứng dụng, thì ứng dụng sẽ chạy luồng OAuth 2.0.
  • Hai nút cho phép người dùng đăng xuất khỏi ứng dụng hoặc thu hồi quyền truy cập đã được cấp trước đó cho ứng dụng. Nếu bạn đăng xuất khỏi một ứng dụng, thì bạn chưa thu hồi quyền truy cập nào được cấp cho ứng dụng đó. Tuy nhiên, bạn sẽ không cần cấp lại quyền truy cập vào lần tiếp theo.

Bạn cũng có thể thu hồi quyền truy cập vào ứng dụng thông qua trang Quyền đối với Tài khoản Google của mình. Ứng dụng sẽ được liệt kê là Bản minh họa OAuth 2.0 cho Tài liệu Google API.

<script>
  var GoogleAuth;
  var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly';
  function handleClientLoad() {
    // Load the API's client and auth2 modules.
    // Call the initClient function after the modules load.
    gapi.load('client:auth2', initClient);
  }

  function initClient() {
    // In practice, your app can retrieve one or more discovery documents.
    var discoveryUrl = 'https://www.googleapis.com/discovery/v1/apis/drive/v3/rest';

    // Initialize the gapi.client object, which app uses to make API requests.
    // Get API key and client ID from API Console.
    // 'scope' field specifies space-delimited list of access scopes.
    gapi.client.init({
        'apiKey': 'YOUR_API_KEY',
        'clientId': 'YOUR_CLIENT_ID',
        'discoveryDocs': [discoveryUrl],
        'scope': SCOPE
    }).then(function () {
      GoogleAuth = gapi.auth2.getAuthInstance();

      // Listen for sign-in state changes.
      GoogleAuth.isSignedIn.listen(updateSigninStatus);

      // Handle initial sign-in state. (Determine if user is already signed in.)
      var user = GoogleAuth.currentUser.get();
      setSigninStatus();

      // Call handleAuthClick function when user clicks on
      //      "Sign In/Authorize" button.
      $('#sign-in-or-out-button').click(function() {
        handleAuthClick();
      });
      $('#revoke-access-button').click(function() {
        revokeAccess();
      });
    });
  }

  function handleAuthClick() {
    if (GoogleAuth.isSignedIn.get()) {
      // User is authorized and has clicked "Sign out" button.
      GoogleAuth.signOut();
    } else {
      // User is not signed in. Start Google auth flow.
      GoogleAuth.signIn();
    }
  }

  function revokeAccess() {
    GoogleAuth.disconnect();
  }

  function setSigninStatus() {
    var user = GoogleAuth.currentUser.get();
    var isAuthorized = user.hasGrantedScopes(SCOPE);
    if (isAuthorized) {
      $('#sign-in-or-out-button').html('Sign out');
      $('#revoke-access-button').css('display', 'inline-block');
      $('#auth-status').html('You are currently signed in and have granted ' +
          'access to this app.');
    } else {
      $('#sign-in-or-out-button').html('Sign In/Authorize');
      $('#revoke-access-button').css('display', 'none');
      $('#auth-status').html('You have not authorized this app or you are ' +
          'signed out.');
    }
  }

  function updateSigninStatus() {
    setSigninStatus();
  }
</script>

<button id="sign-in-or-out-button"
        style="margin-left: 25px">Sign In/Authorize</button>
<button id="revoke-access-button"
        style="display: none; margin-left: 25px">Revoke access</button>

<div id="auth-status" style="display: inline; padding-left: 25px"></div><hr>

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
<script async defer src="https://apis.google.com/js/api.js"
        onload="this.onload=function(){};handleClientLoad()"
        onreadystatechange="if (this.readyState === 'complete') this.onload()">
</script>

Thiết bị đầu cuối OAuth 2.0

Mẫu mã này minh họa cách hoàn tất quy trình OAuth 2.0 trong JavaScript mà không cần sử dụng Thư viện ứng dụng JavaScript của Google. Mã này dành cho một trang HTML hiển thị nút để thử một yêu cầu API. Nếu bạn nhấp vào nút này, mã sẽ kiểm tra xem trang có lưu trữ mã truy cập API trong bộ nhớ cục bộ của trình duyệt hay không. Nếu có thì Analytics sẽ thực thi yêu cầu API. Nếu không, phương thức này sẽ bắt đầu quy trình OAuth 2.0.

Đối với quy trình OAuth 2.0, trang sẽ làm theo các bước sau:

  1. Tính năng này chuyển người dùng đến máy chủ OAuth 2.0 của Google và yêu cầu quyền truy cập vào phạm vi https://www.googleapis.com/auth/drive.metadata.readonly.
  2. Sau khi cấp (hoặc từ chối) quyền truy cập vào một hoặc nhiều phạm vi được yêu cầu, người dùng được chuyển hướng đến trang gốc. Trang này sẽ phân tích cú pháp mã truy cập từ chuỗi giá trị nhận dạng phân đoạn.
  3. Trang này sử dụng mã truy cập để tạo yêu cầu API mẫu.

    Yêu cầu API gọi phương thức about.get của API Drive để truy xuất thông tin về tài khoản Google Drive của người dùng được uỷ quyền.

  4. Nếu yêu cầu thực thi thành công, phản hồi API sẽ được ghi lại trong bảng điều khiển gỡ lỗi của trình duyệt.

Bạn có thể thu hồi quyền truy cập vào ứng dụng thông qua trang Quyền đối với Tài khoản Google của mình. Ứng dụng sẽ được liệt kê là Bản minh họa OAuth 2.0 cho Tài liệu Google API.

Để chạy mã này trên máy, bạn cần đặt giá trị cho các biến YOUR_CLIENT_IDYOUR_REDIRECT_URI tương ứng với thông tin đăng nhập ủy quyền. Biến YOUR_REDIRECT_URI phải được đặt thành cùng một URL nơi trang đang được phân phát. Giá trị này phải khớp chính xác với một trong các URI chuyển hướng được ủy quyền cho ứng dụng OAuth 2.0 mà bạn đã thiết lập trong API Console Credentials page. Nếu giá trị này không khớp với URI được ủy quyền, bạn sẽ gặp lỗi redirect_uri_mismatch. Dự án của bạn cũng phải bật API phù hợp cho yêu cầu này.

<html><head></head><body>
<script>
  var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
  var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';
  var fragmentString = location.hash.substring(1);

  // Parse query string to see if page request is coming from OAuth 2.0 server.
  var params = {};
  var regex = /([^&=]+)=([^&]*)/g, m;
  while (m = regex.exec(fragmentString)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }
  if (Object.keys(params).length > 0) {
    localStorage.setItem('oauth2-test-params', JSON.stringify(params) );
    if (params['state'] && params['state'] == 'try_sample_request') {
      trySampleRequest();
    }
  }

  // If there's an access token, try an API request.
  // Otherwise, start OAuth 2.0 flow.
  function trySampleRequest() {
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    if (params && params['access_token']) {
      var xhr = new XMLHttpRequest();
      xhr.open('GET',
          'https://www.googleapis.com/drive/v3/about?fields=user&' +
          'access_token=' + params['access_token']);
      xhr.onreadystatechange = function (e) {
        if (xhr.readyState === 4 && xhr.status === 200) {
          console.log(xhr.response);
        } else if (xhr.readyState === 4 && xhr.status === 401) {
          // Token invalid, so prompt for user permission.
          oauth2SignIn();
        }
      };
      xhr.send(null);
    } else {
      oauth2SignIn();
    }
  }

  /*
   * Create form to request access token from Google's OAuth 2.0 server.
   */
  function oauth2SignIn() {
    // Google's OAuth 2.0 endpoint for requesting an access token
    var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

    // Create element to open OAuth 2.0 endpoint in new window.
    var form = document.createElement('form');
    form.setAttribute('method', 'GET'); // Send as a GET request.
    form.setAttribute('action', oauth2Endpoint);

    // Parameters to pass to OAuth 2.0 endpoint.
    var params = {'client_id': YOUR_CLIENT_ID,
                  'redirect_uri': YOUR_REDIRECT_URI,
                  'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
                  'state': 'try_sample_request',
                  'include_granted_scopes': 'true',
                  'response_type': 'token'};

    // Add form parameters as hidden input values.
    for (var p in params) {
      var input = document.createElement('input');
      input.setAttribute('type', 'hidden');
      input.setAttribute('name', p);
      input.setAttribute('value', params[p]);
      form.appendChild(input);
    }

    // Add form to page and submit it to open the OAuth 2.0 endpoint.
    document.body.appendChild(form);
    form.submit();
  }
</script>

<button onclick="trySampleRequest();">Try sample request</button>
</body></html>

Quy tắc xác thực nguồn gốc JavaScript

Google áp dụng các quy tắc xác thực sau đây cho những nguồn gốc JavaScript để giúp nhà phát triển bảo mật ứng dụng của họ. Nguồn gốc JavaScript của bạn phải tuân thủ các quy tắc này. Hãy xem RFC 3986 mục 3 để biết định nghĩa về miền, máy chủ và giao thức được đề cập bên dưới.

Các quy tắc xác thực
Lược đồ

Nguồn gốc JavaScript phải sử dụng giao thức HTTPS, không phải HTTP thuần. Các URI của máy chủ cục bộ (bao gồm cả URI địa chỉ của máy chủ cục bộ) không được áp dụng cho quy tắc này.

Máy chủ lưu trữ

Máy chủ không thể là địa chỉ IP thô. Địa chỉ IP máy chủ cục bộ được miễn khỏi quy tắc này.

Miền
  • Các TLD lưu trữ (Miền cấp cao nhất) phải thuộc danh sách hậu tố công khai.
  • Tên miền lưu trữ không được là “googleusercontent.com”.
  • Nguồn gốc JavaScript không được chứa các miền rút ngắn URL (ví dụ: goo.gl) trừ phi ứng dụng sở hữu miền.
  • Thông tin người dùng

    Nguồn gốc JavaScript không được chứa thành phần phụ chứa thông tin người dùng.

    Đường dẫn

    Nguồn gốc JavaScript không được chứa thành phần đường dẫn.

    Cụm từ tìm kiếm

    Nguồn gốc JavaScript không thể chứa thành phần truy vấn.

    Mảnh

    Nguồn gốc JavaScript không thể chứa thành phần mảnh.

    Ký tự Nguồn gốc JavaScript không được chứa một số ký tự, bao gồm:
    • Ký tự đại diện ('*')
    • Ký tự ASCII không thể in được
    • Mã hóa phần trăm không hợp lệ (mọi phần mã hóa phần trăm không tuân theo dạng mã hóa URL của dấu phần trăm, theo sau là hai chữ số thập lục phân)
    • Ký tự rỗng (một ký tự NULL được mã hóa, ví dụ: %00, %C0%80)

    Ủy quyền gia tăng

    Trong giao thức OAuth 2.0, ứng dụng của bạn yêu cầu ủy quyền truy cập vào các tài nguyên mà chúng tôi xác định theo phạm vi. Việc yêu cầu ủy quyền cho các tài nguyên tại thời điểm bạn cần sẽ được coi là phương pháp hay nhất cho trải nghiệm người dùng. Để bật tính năng này, máy chủ ủy quyền của Google sẽ hỗ trợ việc ủy quyền gia tăng. Tính năng này cho phép bạn yêu cầu các phạm vi khi cần thiết và nếu người dùng cấp quyền cho phạm vi mới, sẽ trả về một mã ủy quyền có thể được đổi lấy mã thông báo chứa tất cả phạm vi mà người dùng đã cấp dự án.

    Ví dụ: một ứng dụng cho phép mọi người lấy mẫu bản nhạc và tạo danh sách nhạc kết hợp có thể cần rất ít tài nguyên tại thời điểm đăng nhập, và có thể sẽ không cần gì ngoài tên của người đang đăng nhập. Tuy nhiên, bạn phải có quyền truy cập vào Google Drive để lưu danh sách kết hợp hoàn chỉnh. Hầu hết mọi người sẽ cảm thấy tự nhiên nếu họ chỉ được yêu cầu cấp quyền truy cập vào Google Drive vào thời điểm thực sự cần ứng dụng.

    Trong trường hợp này, vào thời điểm đăng nhập, ứng dụng có thể yêu cầu phạm vi openidprofile để thực hiện việc đăng nhập cơ bản, sau đó yêu cầu phạm vi https://www.googleapis.com/auth/drive.file tại thời điểm yêu cầu đầu tiên lưu kết hợp.

    Các quy tắc sau đây áp dụng cho mã truy cập nhận được từ một ủy quyền gia tăng:

    • Bạn có thể dùng mã thông báo này để truy cập vào các tài nguyên tương ứng với mọi phạm vi được đưa vào sự ủy quyền kết hợp mới.
    • Khi bạn sử dụng mã làm mới cho lệnh ủy quyền kết hợp để lấy mã truy cập, mã truy cập này đại diện cho mã ủy quyền kết hợp và có thể dùng cho bất kỳ giá trị scope nào trong phản hồi.
    • Quy trình ủy quyền kết hợp bao gồm tất cả các phạm vi mà người dùng được cấp cho dự án API ngay cả khi các ứng dụng khác nhau yêu cầu cấp quyền. Ví dụ: nếu người dùng cấp quyền truy cập vào một phạm vi bằng ứng dụng dành cho máy tính của một ứng dụng, sau đó cấp một phạm vi khác cho ứng dụng đó thông qua ứng dụng dành cho thiết bị di động, thì lệnh ủy quyền kết hợp đó sẽ bao gồm cả hai phạm vi.
    • Nếu bạn thu hồi một mã thông báo đại diện cho một lệnh ủy quyền kết hợp, quyền truy cập vào tất cả các phạm vi ủy quyền đó thay mặt cho người dùng được liên kết sẽ bị thu hồi đồng thời.

    Các mã mẫu bên dưới cho bạn biết cách thêm phạm vi vào mã thông báo truy cập hiện có. Phương pháp này cho phép ứng dụng của bạn tránh phải quản lý nhiều mã thông báo truy cập.

    Thư viện ứng dụng JS

    Để thêm phạm vi vào một mã truy cập hiện có, hãy gọi phương thức GoogleUser.grant(options). Đối tượng options xác định các phạm vi bổ sung mà bạn muốn cấp quyền truy cập.

    // Space-separated list of additional scope(s) you are requesting access to.
    // This code adds read-only access to the user's calendars via the Calendar API.
    var NEW_SCOPES = 'https://www.googleapis.com/auth/calendar.readonly';
    
    // Retrieve the GoogleUser object for the current user.
    var GoogleUser = GoogleAuth.currentUser.get();
    GoogleUser.grant({'scope': NEW_SCOPES});

    Thiết bị đầu cuối OAuth 2.0

    Để thêm phạm vi vào một mã thông báo truy cập hiện có, hãy đưa thông số include_granted_scopes vào yêu cầu của bạn tới máy chủ OAuth 2.0 của Google.

    Đoạn mã sau đây minh họa cách làm việc đó. Đoạn mã giả định rằng bạn đã lưu trữ các phạm vi mà mã truy cập của bạn hợp lệ trong bộ nhớ cục bộ của trình duyệt. (Mã mẫu đầy đủ lưu trữ danh sách các phạm vi mà mã truy cập hợp lệ bằng cách đặt thuộc tính oauth2-test-params.scope trong bộ nhớ cục bộ của trình duyệt.)

    Đoạn mã này sẽ so sánh các phạm vi mà mã truy cập hợp lệ với phạm vi mà bạn muốn sử dụng cho một truy vấn cụ thể. Nếu mã truy cập không bao gồm phạm vi đó, luồng OAuth 2.0 sẽ bắt đầu. Ở đây, hàm oauth2SignIn giống với hàm được cung cấp trong bước 2 (và được cung cấp sau đó trong ví dụ đầy đủ).

    var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly';
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    
    var current_scope_granted = false;
    if (params.hasOwnProperty('scope')) {
      var scopes = params['scope'].split(' ');
      for (var s = 0; s < scopes.length; s++) {
        if (SCOPE == scopes[s]) {
          current_scope_granted = true;
        }
      }
    }
    
    if (!current_scope_granted) {
      oauth2SignIn(); // This function is defined elsewhere in this document.
    } else {
      // Since you already have access, you can proceed with the API request.
    }

    Thu hồi mã thông báo

    Trong một số trường hợp, người dùng có thể muốn thu hồi quyền truy cập được cấp cho một ứng dụng. Người dùng có thể thu hồi quyền truy cập bằng cách truy cập vào phần Cài đặt tài khoản. Hãy xem phần Xóa quyền truy cập vào trang web hoặc ứng dụng của trang web bên thứ ba và amp; các ứng dụng có quyền truy cập vào tài khoản của bạn tài liệu hỗ trợ để biết thêm thông tin.

    Ứng dụng cũng có thể thu hồi quyền truy cập được cấp theo phương thức lập trình. Tính năng thu hồi có lập trình đóng vai trò quan trọng trong các trường hợp người dùng hủy đăng ký, xoá một ứng dụng hoặc các tài nguyên API mà một ứng dụng yêu cầu đã thay đổi đáng kể. Nói cách khác, quy trình xoá có thể chứa một yêu cầu API để đảm bảo những quyền trước đây đã cấp cho ứng dụng này bị xoá.

    Thư viện ứng dụng JS

    Để lập trình để thu hồi một mã thông báo, hãy gọi GoogleAuth.disconnect():

    GoogleAuth.disconnect();

    Thiết bị đầu cuối OAuth 2.0

    Để thu hồi mã thông báo theo phương thức lập trình, ứng dụng của bạn sẽ yêu cầu https://oauth2.googleapis.com/revoke và đưa mã thông báo làm thông số:

    curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
            https://oauth2.googleapis.com/revoke?token={token}

    Mã này có thể là mã truy cập hoặc mã làm mới. Nếu mã này là mã truy cập và có mã mới, thì mã làm mới cũng sẽ bị thu hồi.

    Nếu quá trình thu hồi được xử lý thành công, thì mã trạng thái HTTP của phản hồi sẽ là 200. Đối với điều kiện lỗi, mã trạng thái HTTP 400 sẽ được trả về cùng với mã lỗi.

    Đoạn mã JavaScript sau đây cho thấy cách thu hồi một mã thông báo trong JavaScript mà không cần sử dụng Thư viện ứng dụng JavaScript của Google. Vì điểm cuối OAuth 2.0 của Google để thu hồi mã thông báo không hỗ trợ tính năng Chia sẻ tài nguyên trên nhiều nguồn gốc (CORS), nên mã sẽ tạo một biểu mẫu và gửi biểu mẫu đó cho điểm cuối thay vì sử dụng phương thức XMLHttpRequest() để đăng yêu cầu.

    function revokeAccess(accessToken) {
      // Google's OAuth 2.0 endpoint for revoking access tokens.
      var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke';
    
      // Create <form> element to use to POST data to the OAuth 2.0 endpoint.
      var form = document.createElement('form');
      form.setAttribute('method', 'post');
      form.setAttribute('action', revokeTokenEndpoint);
    
      // Add access token to the form so it is set as value of 'token' parameter.
      // This corresponds to the sample curl request, where the URL is:
      //      https://oauth2.googleapis.com/revoke?token={token}
      var tokenField = document.createElement('input');
      tokenField.setAttribute('type', 'hidden');
      tokenField.setAttribute('name', 'token');
      tokenField.setAttribute('value', accessToken);
      form.appendChild(tokenField);
    
      // Add form to page and submit it to actually revoke the token.
      document.body.appendChild(form);
      form.submit();
    }