OAuth 2.0 na potrzeby aplikacji telewizyjnych i urządzeń o ograniczonych wejściach

w zakresie 0

Ten dokument wyjaśnia, jak wdrożyć autoryzację OAuth 2.0 na potrzeby uzyskiwania dostępu do interfejsów API Google za pomocą aplikacji działających na urządzeniach takich jak telewizory, konsole do gier i drukarki. Dokładniej rzecz ujmując, jest on przeznaczony dla urządzeń, które nie mają dostępu do przeglądarki lub mają ograniczone możliwości wprowadzania danych.

Protokół OAuth 2.0 umożliwia użytkownikom udostępnianie określonych danych aplikacji przy jednoczesnym zachowaniu prywatności nazw użytkowników, haseł i innych informacji. Na przykład aplikacja TV może korzystać z protokołu OAuth 2.0, aby uzyskać uprawnienia do wyboru pliku zapisanego na Dysku Google.

Aplikacje, które używają tego procesu, są rozpowszechniane na poszczególnych urządzeniach, dlatego zakłada się, że nie mogą one zachować obiektów tajnych. Mogą korzystać z interfejsów API Google, gdy użytkownik korzysta z aplikacji lub gdy aplikacja działa w tle.

Alternatywy

Jeśli tworzysz aplikację na urządzenia takie jak Android, iOS, macOS, Linux czy Windows (w tym uniwersalna platforma Windows), która ma dostęp do przeglądarki i wszystkie możliwości wprowadzania, stosuj protokół OAuth 2.0 dla aplikacji mobilnych i komputerowych. Z tego procesu należy korzystać nawet wtedy, gdy aplikacja jest narzędziem wiersza poleceń bez interfejsu graficznego.

Jeśli chcesz logować się tylko użytkownikom na ich konta Google i uzyskać podstawowe informacje z profilu użytkownika przy użyciu tokena identyfikatora JWT, zapoznaj się z artykułem Logowanie się na telewizorach i urządzeniach z ograniczonym dostępem.

Wymagania wstępne

Włącz interfejsy API w projekcie

Każda aplikacja wywołująca interfejsy API Google musi włączyć te interfejsy API w: API Console.

Aby włączyć interfejs API w projekcie:

  1. Open the API Library w: Google API Console.
  2. If prompted, select a project, or create a new one.
  3. API Library zawiera listę wszystkich dostępnych interfejsów API uporządkowanych według rodziny usług i popularności. Jeśli interfejs API, który chcesz włączyć, nie jest widoczny na liście, znajdź go przy użyciu wyszukiwarki lub kliknij Wyświetl wszystkie w rodzinie usług, do której należy.
  4. Wybierz interfejs API, który chcesz włączyć, a następnie kliknij przycisk Włącz.
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

Tworzenie danych uwierzytelniających

Każda aplikacja korzystająca z OAuth 2.0 do uzyskiwania dostępu do interfejsów API Google musi mieć dane uwierzytelniające, które identyfikują aplikację z serwerem Google OAuth 2.0. Podane niżej kroki wyjaśniają, jak utworzyć dane logowania w projekcie. Aplikacje mogą dzięki temu używać tych danych logowania, aby uzyskiwać dostęp do interfejsów API włączonych w danym projekcie.

  1. Go to the Credentials page.
  2. Kliknij Utwórz dane logowania > Identyfikator klienta OAuth.
  3. Wybierz typ aplikacji Telewizory i urządzenia wejściowe z ograniczonym dostępem.
  4. Nazwij klienta OAuth 2.0 i kliknij Utwórz.

Identyfikowanie zakresów dostępu

Zakresy umożliwiają aplikacji żądanie dostępu tylko do potrzebnych zasobów, a jednocześnie pozwalają użytkownikom kontrolować zakres dostępu, który przyznają aplikacji. Z tego powodu może występować odwrotny związek między liczbą żądanych zakresów a prawdopodobieństwem uzyskania zgody użytkownika.

Przed rozpoczęciem implementacji autoryzacji OAuth 2.0 zalecamy wskazanie zakresów, do których aplikacja będzie potrzebować uprawnień.

Zobacz listę Dozwolonych zakresów, aby zobaczyć listę zainstalowanych aplikacji i urządzeń.

Uzyskiwanie tokenów dostępu OAuth 2.0

Mimo że Twoja aplikacja działa na urządzeniu z ograniczonymi możliwościami wprowadzania danych, użytkownik musi mieć oddzielny dostęp do urządzenia z większymi możliwościami wprowadzania danych, by ukończyć ten proces autoryzacji. Proces składa się z tych etapów:

  1. Aplikacja wysyła żądanie do serwera autoryzacji Google identyfikującego zakresy, o dostęp do których aplikacja będzie prosić o pozwolenie.
  2. Serwer wysyła w odpowiedzi kilka informacji używanych w kolejnych krokach, np. kod urządzenia i kod użytkownika.
  3. Wyświetlasz informacje, które użytkownik może wpisać na innym urządzeniu, aby autoryzować aplikację.
  4. Aplikacja rozpoczyna odpytywanie serwera autoryzacji Google w celu określenia, czy użytkownik autoryzował aplikację.
  5. Użytkownik przełącza się na urządzenie z większymi możliwościami wprowadzania tekstu, uruchamia przeglądarkę, przechodzi do adresu URL wyświetlonego w kroku 3 i wprowadza kod, który jest widoczny także w kroku 3. Użytkownik może następnie przyznać (lub odrzucić) dostęp do aplikacji.
  6. Następna odpowiedź na żądanie odpytywania zawiera tokeny, których aplikacja potrzebuje do autoryzacji żądań w imieniu użytkownika. Jeśli użytkownik odmówił dostępu do Twojej aplikacji, odpowiedź nie będzie zawierać tokenów.

Proces ten przedstawiono na poniższej ilustracji:

Użytkownik loguje się na innym urządzeniu z przeglądarką.

W poniższych sekcjach opisano szczegółowo te kroki. Ze względu na różne możliwości i środowiska wykonawcze, z których korzystają urządzenia, w przykładach pokazanych w tym dokumencie użyto narzędzia wiersza poleceń curl. Przykłady powinny być łatwe do przeniesienia do różnych języków i środowisk wykonawczych.

Krok 1. Poproś o kody urządzeń i użytkowników

W tym kroku urządzenie wysyła żądanie HTTP POST do serwera autoryzacji Google pod adresem https://oauth2.googleapis.com/device/code, które identyfikuje Twoją aplikację oraz zakresy dostępu, do których chce uzyskać dostęp w imieniu użytkownika. Ten adres URL należy pobrać z dokumentu Discovery, używając wartości metadanych device_authorization_endpoint. Uwzględnij te parametry żądania HTTP:

Parametry
client_id Wymagane

Identyfikator klienta aplikacji. Tę wartość znajdziesz w API Console Credentials page.

scope Wymagane

Rozdzielona spacjami lista zakresów identyfikujących zasoby, do których aplikacja może uzyskiwać dostęp w imieniu użytkownika. Wartości te informują o ekranie zgody wyświetlanym przez Google użytkownikowi. Zobacz listę Dozwolone zakresy dla zainstalowanych aplikacji lub urządzeń.

Zakresy umożliwiają aplikacji żądanie dostępu tylko do potrzebnych zasobów, a także pozwalają użytkownikom kontrolować zakres dostępu, który przyznają aplikacji. Dlatego istnieje odwrotny zależność między liczbą żądanych zakresów a prawdopodobieństwem uzyskania zgody użytkownika.

Przykłady

Ten fragment kodu pokazuje przykładowe żądanie:

POST /device/code HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

client_id=client_id&scope=email%20profile

Ten przykład przedstawia polecenie curl wysyłające to samo żądanie:

curl -d "client_id=client_id&scope=email%20profile" \
     https://oauth2.googleapis.com/device/code

Krok 2. Przetwórz odpowiedź serwera autoryzacji

Serwer autoryzacji zwróci jedną z tych odpowiedzi:

Odpowiedź pomyślna

Jeśli żądanie jest prawidłowe, odpowiedź będzie obiektem JSON zawierającym te właściwości:

Właściwości
device_code Unikalna wartość przypisywana przez Google do identyfikowania urządzenia, na którym działa aplikacja żądająca autoryzacji. Użytkownik autoryzuje to urządzenie za pomocą innego urządzenia z większymi możliwościami wprowadzania danych. Użytkownik może na przykład autoryzować aplikację działającą na telewizorze, korzystając z laptopa lub telefonu komórkowego. W tym przypadku device_code identyfikuje telewizor.

Ten kod pozwala urządzeniu, na którym uruchomiono aplikację, bezpiecznie określić, czy użytkownik przyznał lub odmówił dostępu.

expires_in Czas (w sekundach), przez jaki wartości device_code i user_code są prawidłowe. Jeśli w tym czasie użytkownik nie ukończy procesu autoryzacji, a urządzenie nie wyśle także sondowania w celu pobrania informacji o decyzji użytkownika, konieczne może być ponowne uruchomienie tego procesu od kroku 1.
interval Czas oczekiwania (w sekundach) między kolejnymi żądaniami odpytywania urządzenia. Jeśli na przykład wartość to 5, urządzenie powinno co 5 sekund wysyłać żądanie odpytywania do serwera autoryzacji Google. Więcej informacji znajdziesz w kroku 3.
user_code Wartość (z uwzględnieniem wielkości liter) identyfikująca Google zakresy, do których aplikacja żąda dostępu. Interfejs poinformuje użytkownika, że ma wpisać tę wartość na osobnym urządzeniu, które ma więcej funkcji. Następnie Google używa tej wartości do wyświetlania prawidłowego zestawu zakresów, gdy prosi użytkownika o przyznanie dostępu do aplikacji.
verification_url Adres URL, na który użytkownik musi przejść na innym urządzeniu, aby wpisać user_code i przyznać lub zablokować dostęp do aplikacji. Ta wartość także będzie widoczna w Twoim interfejsie.

Ten fragment kodu zawiera przykładową odpowiedź:

{
  "device_code": "4/4-GMMhmHCXhWEzkobqIHGG_EnNYYsAkukHspeYUk9E8",
  "user_code": "GQVQ-JKEC",
  "verification_url": "https://www.google.com/device",
  "expires_in": 1800,
  "interval": 5
}

Odpowiedź na przekroczenie limitu

Jeśli żądania kodu urządzenia przekroczą limit powiązany z Twoim identyfikatorem klienta, otrzymasz odpowiedź 403 z tym błędem:

{
  "error_code": "rate_limit_exceeded"
}

W takim przypadku użyj strategii ponawiania, aby zmniejszyć liczbę żądań.

Krok 3. Wyświetl kod użytkownika

Wyświetl użytkownikowi verification_url i user_code uzyskane w kroku 2. Obie wartości mogą zawierać dowolne możliwe do wydrukowania znaki z zestawu US-ASCII. Treści, które wyświetlasz użytkownikowi, powinny zawierać instrukcje, aby przejść do sekcji verification_url na innym urządzeniu i wpisać user_code.

Zaprojektuj interfejs, pamiętając o tych regułach:

  • user_code
    • user_code musi wyświetlać się w polu, które może obsłużyć 15 znaków o rozmiarze „W”. Inaczej mówiąc, jeśli możesz poprawnie wyświetlić kod WWWWWWWWWWWWWWW, interfejs użytkownika jest prawidłowy. Zalecamy użycie tej wartości ciągu znaków podczas testowania sposobu wyświetlania user_code w UI.
    • Wielkość liter w polu user_code jest rozróżniana i nie należy jej w żaden sposób zmieniać – np. nie można jej zmieniać ani wstawiać innych znaków formatowania.
  • verification_url
    • Przestrzeń, w której wyświetla się element verification_url, musi być wystarczająco szeroka, aby umożliwić obsługę ciągu adresu URL o długości 40 znaków.
    • Nie wolno w żaden sposób modyfikować elementu verification_url, chyba że możesz usunąć schemat na potrzeby wyświetlania. Jeśli planujesz usunąć schemat (np. https://) z adresu URL na potrzeby wyświetlania, upewnij się, że aplikacja obsługuje zarówno wariant http, jak i https.

Krok 4. Odpytanie serwera autoryzacji Google

Ponieważ użytkownik będzie używał innego urządzenia do przechodzenia do interfejsu verification_url i przyznawania (lub odrzucania) dostępu, urządzenie wysyłające żądanie nie jest automatycznie powiadamiane, gdy użytkownik odpowie na prośbę o dostęp. Z tego powodu urządzenie wysyłające żądanie musi sondować serwer autoryzacji Google, by określić, kiedy użytkownik odpowiedział na to żądanie.

Urządzenie wysyłające żądania powinno dalej wysyłać żądania odpytywania, dopóki nie otrzyma odpowiedzi z informacją, że użytkownik odpowiedział na prośbę o dostęp, lub do wygaśnięcia device_code i user_code uzyskanych w kroku 2. Wartość interval zwrócona w kroku 2 określa czas (w sekundach) oczekiwania między żądaniami.

Adres URL punktu końcowego do ankietowania to https://oauth2.googleapis.com/token. Żądanie odpytywania zawiera te parametry:

Parametry
client_id Identyfikator klienta aplikacji. Tę wartość znajdziesz w API Console Credentials page.
client_secret Klucz klienta dla podanego elementu client_id. Tę wartość znajdziesz w API Console Credentials page.
device_code Wartość device_code zwrócona przez serwer autoryzacji w kroku 2.
grant_type Ustaw tę wartość na urn:ietf:params:oauth:grant-type:device_code.

Przykłady

Ten fragment kodu pokazuje przykładowe żądanie:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

client_id=client_id&
client_secret=client_secret&
device_code=device_code&
grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Adevice_code

Ten przykład przedstawia polecenie curl wysyłające to samo żądanie:

curl -d "client_id=client_id&client_secret=client_secret& \
         device_code=device_code& \
         grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Adevice_code" \
         -H "Content-Type: application/x-www-form-urlencoded" \
         https://oauth2.googleapis.com/token

Krok 5. Użytkownik odpowiada na prośbę o dostęp

Poniższy obraz przedstawia stronę podobną do strony wyświetlanej użytkownikom po przejściu do elementu verification_url wyświetlonego w kroku 3:

Połącz urządzenie, wpisując kod

Po wpisaniu user_code i zalogowaniu się w Google, użytkownik widzi ekran zgody podobny do tego poniżej:

Przykładowy ekran zgody dla klienta urządzenia

Krok 6. Obsługuj odpowiedzi na żądania odpytywania

Serwer autoryzacji Google odpowiada na każde żądanie odpytywania, jedną z tych odpowiedzi:

Dostęp przyznany

Jeśli użytkownik przyznał dostęp do urządzenia (klikając Allow na ekranie zgody), odpowiedź zawiera token dostępu i token odświeżania. Tokeny umożliwiają urządzeniu dostęp do interfejsów API Google w imieniu użytkownika. (Właściwość scope w odpowiedzi określa, do których interfejsów API urządzenie ma dostęp).

W tym przypadku odpowiedź interfejsu API zawiera te pola:

Pola
access_token Token wysyłany przez aplikację w celu autoryzacji żądania do interfejsu API Google.
expires_in Pozostały czas życia tokena dostępu w sekundach.
refresh_token Token, za pomocą którego można uzyskać nowy token dostępu. Tokeny odświeżania są ważne do momentu unieważnienia dostępu przez użytkownika. Pamiętaj, że w przypadku urządzeń zawsze są zwracane tokeny odświeżania.
scope Zakresy dostępu przyznane przez funkcję access_token, wyrażone w postaci listy ciągów rozdzielanych spacjami z uwzględnieniem wielkości liter.
token_type Typ zwracanego tokena. Obecnie wartość tego pola jest zawsze ustawiona na Bearer.

Ten fragment kodu zawiera przykładową odpowiedź:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "scope": "openid https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email",
  "token_type": "Bearer",
  "refresh_token": "1/xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

Tokeny dostępu mają ograniczony czas ważności. Jeśli Twoja aplikacja potrzebuje dostępu do interfejsu API przez dłuższy czas, może użyć tokena odświeżania, aby uzyskać nowy token dostępu. Jeśli Twoja aplikacja wymaga tego typu dostępu, powinna przechowywać token odświeżania do późniejszego użycia.

Odmowa dostępu

Jeśli użytkownik odmówi udzielenia dostępu do urządzenia, odpowiedź serwera zawiera kod stanu odpowiedzi HTTP 403 (Forbidden). Odpowiedź zawiera ten błąd:

{
  "error": "access_denied",
  "error_description": "Forbidden"
}

Oczekiwanie na autoryzację

Jeśli użytkownik nie zakończył jeszcze procesu autoryzacji, serwer zwraca kod stanu odpowiedzi HTTP 428 (Precondition Required). Odpowiedź zawiera ten błąd:

{
  "error": "authorization_pending",
  "error_description": "Precondition Required"
}

Zbyt częste przeprowadzanie ankiet

Jeśli urządzenie zbyt często wysyła żądania odpytywania, serwer zwraca kod stanu odpowiedzi HTTP 403 (Forbidden). Odpowiedź zawiera ten błąd:

{
  "error": "slow_down",
  "error_description": "Forbidden"
}

Inne błędy

Serwer autoryzacji zwraca błędy również wtedy, gdy w żądaniu odpytywania brakuje jakichkolwiek wymaganych parametrów lub jego wartość jest nieprawidłowa. Te żądania mają zazwyczaj kod stanu odpowiedzi HTTP 400 (Bad Request) lub 401 (Unauthorized). Błędy te obejmują:

Błąd Kod stanu HTTP Opis
admin_policy_enforced 400 Na koncie Google nie można autoryzować co najmniej jednego żądanego zakresu z powodu zasad jego administratora Google Workspace. Przeczytaj artykuł pomocy dla administratorów Google Workspace Określanie, które aplikacje innych firm i aplikacje wewnętrzne mają dostęp do danych Google Workspace, aby dowiedzieć się więcej o tym, jak administrator może ograniczać dostęp do zakresów, dopóki nie zostanie wyraźnie przyznany dostęp do Twojego identyfikatora klienta OAuth.
invalid_client 401

Nie znaleziono klienta OAuth. Ten błąd występuje np. wtedy, gdy wartość parametru client_id jest nieprawidłowa.

Typ klienta OAuth jest nieprawidłowy. Upewnij się, że typ aplikacji dla identyfikatora klienta jest ustawiony na Telewizory i urządzenia z ograniczonym wejściem.

invalid_grant 400 Wartość parametru code jest nieprawidłowa, została już zgłoszona lub nie można jej przeanalizować.
unsupported_grant_type 400 Wartość parametru grant_type jest nieprawidłowa.
org_internal 403 Identyfikator klienta OAuth w żądaniu jest częścią projektu ograniczającego dostęp do kont Google w określonej organizacji Google Cloud. Potwierdź konfigurację typu użytkownika aplikacji OAuth.

wywoływanie interfejsów API Google,

Gdy aplikacja uzyska token dostępu, możesz za jego pomocą wywoływać interfejs API Google w imieniu danego konta użytkownika, o ile został przyznany zakres dostępu wymagany przez interfejs API. Aby to zrobić, umieść token dostępu w żądaniu wysyłanym do interfejsu API, uwzględniając parametr zapytania access_token lub wartość nagłówka HTTP Authorization Bearer. W miarę możliwości preferowany jest nagłówek HTTP, ponieważ ciągi zapytań są zazwyczaj widoczne w logach serwera. W większości przypadków możesz użyć biblioteki klienta do skonfigurowania wywołań interfejsów API Google (np. podczas wywoływania interfejsu Drive Files API).

Możesz wypróbować wszystkie interfejsy API Google i wyświetlić ich zakresy w narzędziu OAuth 2.0 Playground.

Przykłady HTTP GET

Wywołanie punktu końcowego drive.files (interfejsu Drive Files API) przy użyciu nagłówka HTTP Authorization: Bearer może wyglądać tak. Pamiętaj, że musisz określić własny token dostępu:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

Oto wywołanie tego samego interfejsu API dla uwierzytelnionego użytkownika za pomocą parametru ciągu zapytania access_token:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

Przykłady zapytań z operatorem curl

Możesz przetestować te polecenia za pomocą aplikacji wiersza poleceń curl. Oto przykład, w którym użyto opcji nagłówka HTTP (preferowana):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

Możesz też użyć opcji parametrów ciągu zapytania:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

Odświeżanie tokena dostępu

Tokeny dostępu okresowo tracą ważność i stają się nieprawidłowymi danymi uwierzytelniającymi w przypadku powiązanego żądania do interfejsu API. Możesz odświeżyć token dostępu bez pytania użytkownika o zgodę (również wtedy, gdy użytkownika nie ma), jeśli poprosisz o dostęp offline do zakresów powiązanych z tokenem.

Aby odświeżyć token dostępu, aplikacja wysyła żądanie HTTPS POST do serwera autoryzacji Google (https://oauth2.googleapis.com/token) zawierające te parametry:

Pola
client_id Identyfikator klienta uzyskany z: API Console.
client_secret Tajny klucz klienta uzyskany z API Console.
grant_type Zgodnie z definicją w specyfikacji OAuth 2.0 wartość tego pola musi być ustawiona na refresh_token.
refresh_token Token odświeżania zwrócony z wymiany kodów autoryzacji.

Ten fragment kodu pokazuje przykładowe żądanie:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

client_id=your_client_id&
client_secret=your_client_secret&
refresh_token=refresh_token&
grant_type=refresh_token

Dopóki użytkownik nie anuluje dostępu przyznanego aplikacji, serwer tokenów zwraca obiekt JSON zawierający nowy token dostępu. Ten fragment kodu zawiera przykładową odpowiedź:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "token_type": "Bearer"
}

Zwróć uwagę, że istnieją limity liczby wystawionych tokenów odświeżania: 1 limit na kombinację klienta/użytkownika i 1 na użytkownika w przypadku wszystkich klientów. Zapisz tokeny odświeżania w pamięci długoterminowej i używaj ich, dopóki pozostają ważne. Jeśli aplikacja żąda zbyt wielu tokenów odświeżania, może przekroczyć te limity. W takim przypadku starsze tokeny odświeżania przestaną działać.

Unieważnianie tokena

W niektórych przypadkach użytkownik może zechcieć anulować dostęp przyznany aplikacji. Użytkownik może anulować dostęp w Ustawieniach konta. Więcej informacji znajdziesz w sekcji dotyczącej usuwania dostępu witryny lub aplikacji w dokumencie „Witryny i aplikacje innych firm, które mają dostęp do Twojego konta”.

Aplikacja może też automatycznie anulować przyznany jej dostęp. Automatyczne unieważnianie jest ważne w przypadkach, gdy użytkownik anuluje subskrypcję, usunie aplikację lub znacząco zmieniły się zasoby interfejsu API wymagane przez aplikację. Innymi słowy, część procesu usuwania może obejmować żądanie do interfejsu API, aby mieć pewność, że uprawnienia przyznane wcześniej aplikacji zostały usunięte.

Aby programowo unieważnić token, aplikacja wysyła żądanie do https://oauth2.googleapis.com/revoke i uwzględnia ten token jako parametr:

curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
        https://oauth2.googleapis.com/revoke?token={token}

Token może być tokenem dostępu lub tokenem odświeżania. Jeśli token jest tokenem dostępu i ma odpowiedni token odświeżania, token odświeżania również zostanie unieważniony.

Jeśli odwołanie zostanie przetworzone, kod stanu HTTP odpowiedzi to 200. W przypadku błędu zwracany jest kod stanu HTTP 400 wraz z kodem błędu.

Dozwolone zakresy

Proces OAuth 2.0 dla urządzeń jest obsługiwany tylko w tych zakresach:

OpenID Connect, Logowanie przez Google

  • email
  • openid
  • profile

Interfejs Drive API

  • https://www.googleapis.com/auth/drive.appdata
  • https://www.googleapis.com/auth/drive.file

Interfejs API YouTube

  • https://www.googleapis.com/auth/youtube
  • https://www.googleapis.com/auth/youtube.readonly