Menggunakan OAuth 2.0 untuk Aplikasi Server Web

Dokumen ini menjelaskan bagaimana aplikasi server web menggunakan Pustaka Klien Google API atau titik akhir Google OAuth 2.0 untuk menerapkan otorisasi OAuth 2.0 untuk mengakses Google API.

OAuth 2.0 memungkinkan pengguna untuk berbagi data tertentu dengan aplikasi sambil menjaga nama pengguna, kata sandi, dan informasi lainnya tetap pribadi. Misalnya, aplikasi dapat menggunakan OAuth 2.0 untuk mendapatkan izin dari pengguna untuk menyimpan file di Google Drive mereka.

Alur OAuth 2.0 ini khusus untuk otorisasi pengguna. Ini dirancang untuk aplikasi yang dapat menyimpan informasi rahasia dan mempertahankan status. Aplikasi server web yang diotorisasi dengan benar dapat mengakses API saat pengguna berinteraksi dengan aplikasi atau setelah pengguna meninggalkan aplikasi.

Server aplikasi web yang sering juga menggunakan layanan rekening untuk mengotorisasi permintaan API, terutama ketika memanggil Cloud API data berbasis proyek akses daripada data pengguna tertentu. Aplikasi server web dapat menggunakan akun layanan bersama dengan otorisasi pengguna.

Pustaka klien

Contoh bahasa khusus pada halaman ini penggunaan Google API Klien Perpustakaan menerapkan otorisasi OAuth 2.0. Untuk menjalankan contoh kode, Anda harus menginstal pustaka klien untuk bahasa Anda terlebih dahulu.

Saat Anda menggunakan Pustaka Klien Google API untuk menangani alur OAuth 2.0 aplikasi Anda, pustaka klien melakukan banyak tindakan yang seharusnya ditangani sendiri oleh aplikasi. Misalnya, menentukan kapan aplikasi dapat menggunakan atau menyegarkan token akses yang disimpan serta kapan aplikasi harus memperoleh kembali persetujuan. Pustaka klien juga menghasilkan URL pengalihan yang benar dan membantu menerapkan penangan pengalihan yang menukar kode otorisasi untuk token akses.

Pustaka klien tersedia untuk bahasa berikut:

Prasyarat

Aktifkan API untuk proyek Anda

Setiap aplikasi yang memanggil Google API perlu mengaktifkan mereka API di API Console.

Untuk mengaktifkan API untuk proyek Anda:

  1. Open the API Library di Google API Console.
  2. If prompted, select a project, or create a new one.
  3. The API Library daftar semua API yang tersedia, dikelompokkan berdasarkan produk keluarga dan popularitas. Jika API Anda ingin mengaktifkan tidak terlihat dalam daftar, penggunaan pencarian untuk menemukannya, atau klik Lihat Semua dalam keluarga produk itu milik.
  4. Pilih API Anda ingin mengaktifkan, kemudian klik tombol Enable.
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

Buat kredensial otorisasi

Aplikasi apa pun yang menggunakan OAuth 2.0 untuk mengakses Google API harus memiliki kredensial otorisasi yang mengidentifikasi aplikasi ke server OAuth 2.0 Google. Langkah-langkah berikut menjelaskan cara membuat kredensial untuk proyek Anda. Aplikasi Anda kemudian dapat menggunakan kredensial untuk mengakses API yang telah Anda aktifkan untuk proyek tersebut.

  1. Go to the Credentials page.
  2. Klik Buat kredensial> OAuth ID klien.
  3. Pilih jenis aplikasi aplikasi Web.
  4. Isi formulir dan klik Create. Aplikasi yang digunakan bahasa dan kerangka kerja seperti PHP, Java, Python, Ruby, dan NET harus menentukan URI redirect berwenang. URI pengalihan adalah titik akhir tempat server OAuth 2.0 dapat mengirim tanggapan. Endpoint tersebut harus mematuhi aturan validasi Google .

    Untuk pengujian, Anda dapat menentukan URI yang mengacu pada mesin lokal, seperti http://localhost:8080 . Dengan itu dalam pikiran, silakan perhatikan bahwa semua contoh dalam penggunaan dokumen ini http://localhost:8080 sebagai redirect URI.

    Kami menyarankan Anda merancang endpoint otentikasi aplikasi Anda sehingga aplikasi Anda tidak mengekspos kode otorisasi untuk sumber daya lain pada halaman.

Setelah membuat kredensial Anda, men-download file client_secret.json dari API Console. Simpan file dengan aman di lokasi yang hanya dapat diakses oleh aplikasi Anda.

Identifikasi cakupan akses

Cakupan memungkinkan aplikasi Anda hanya meminta akses ke sumber daya yang dibutuhkannya sekaligus memungkinkan pengguna untuk mengontrol jumlah akses yang mereka berikan ke aplikasi Anda. Dengan demikian, mungkin ada hubungan terbalik antara jumlah cakupan yang diminta dan kemungkinan mendapatkan persetujuan pengguna.

Sebelum Anda mulai menerapkan otorisasi OAuth 2.0, sebaiknya Anda mengidentifikasi cakupan yang memerlukan izin untuk diakses oleh aplikasi Anda.

Kami juga merekomendasikan bahwa permintaan aplikasi Anda akses ke otorisasi scopes melalui otorisasi tambahan proses, di mana aplikasi Anda meminta akses ke data pengguna dalam konteks. Praktik terbaik ini membantu pengguna untuk lebih mudah memahami mengapa aplikasi Anda memerlukan akses yang dimintanya.

The OAuth 2.0 Cakupan API dokumen berisi daftar lengkap lingkup yang mungkin Anda gunakan untuk mengakses Google API.

Persyaratan khusus bahasa

Untuk menjalankan salah satu contoh kode dalam dokumen ini, Anda memerlukan akun Google, akses ke Internet, dan browser web. Jika Anda menggunakan salah satu pustaka klien API, lihat juga persyaratan khusus bahasa di bawah ini.

PHP

Untuk menjalankan contoh kode PHP dalam dokumen ini, Anda memerlukan:

  • PHP 5.4 atau lebih tinggi dengan antarmuka baris perintah (CLI) dan ekstensi JSON diinstal.
  • The Composer alat manajemen ketergantungan.
  • Pustaka Klien Google API untuk PHP:

    php composer.phar require google/apiclient:^2.0

Python

Untuk menjalankan contoh kode Python dalam dokumen ini, Anda memerlukan:

  • Python 2.6 atau lebih tinggi
  • The pip alat manajemen paket.
  • Google API Perpustakaan Client untuk Python:
    pip install --upgrade google-api-python-client
  • The google-auth , google-auth-oauthlib , dan google-auth-httplib2 untuk otorisasi pengguna.
    pip install --upgrade google-auth google-auth-oauthlib google-auth-httplib2
  • Kerangka kerja aplikasi web Flask Python.
    pip install --upgrade flask
  • The requests HTTP perpustakaan.
    pip install --upgrade requests

Rubi

Untuk menjalankan contoh kode Ruby dalam dokumen ini, Anda memerlukan:

  • Ruby 2.2.2 atau lebih tinggi
  • Pustaka Klien Google API untuk Ruby:

    gem install google-api-client
  • Kerangka kerja aplikasi web Sinatra Ruby.

    gem install sinatra

HTTP/REST

Anda tidak perlu menginstal pustaka apa pun untuk dapat langsung memanggil titik akhir OAuth 2.0.

Mendapatkan token akses OAuth 2.0

Langkah-langkah berikut menunjukkan bagaimana aplikasi Anda berinteraksi dengan server OAuth 2.0 Google untuk mendapatkan persetujuan pengguna untuk melakukan permintaan API atas nama pengguna. Aplikasi Anda harus memiliki persetujuan tersebut sebelum dapat menjalankan permintaan Google API yang memerlukan otorisasi pengguna.

Daftar di bawah ini dengan cepat merangkum langkah-langkah ini:

  1. Aplikasi Anda mengidentifikasi izin yang dibutuhkan.
  2. Aplikasi Anda mengalihkan pengguna ke Google bersama dengan daftar izin yang diminta.
  3. Pengguna memutuskan apakah akan memberikan izin ke aplikasi Anda.
  4. Aplikasi Anda mengetahui apa yang diputuskan pengguna.
  5. Jika pengguna memberikan izin yang diminta, aplikasi Anda akan mengambil token yang diperlukan untuk membuat permintaan API atas nama pengguna.

Langkah 1: Tetapkan parameter otorisasi

Langkah pertama Anda adalah membuat permintaan otorisasi. Permintaan tersebut menetapkan parameter yang mengidentifikasi aplikasi Anda dan menentukan izin yang akan diminta pengguna untuk diberikan ke aplikasi Anda.

  • Jika Anda menggunakan pustaka klien Google untuk autentikasi dan otorisasi OAuth 2.0, Anda membuat dan mengonfigurasi objek yang menentukan parameter ini.
  • Jika Anda memanggil titik akhir Google OAuth 2.0 secara langsung, Anda akan membuat URL dan menyetel parameter pada URL tersebut.

Tab di bawah ini menentukan parameter otorisasi yang didukung untuk aplikasi server web. Contoh khusus bahasa juga menunjukkan cara menggunakan pustaka klien atau pustaka otorisasi untuk mengonfigurasi objek yang menyetel parameter tersebut.

PHP

Potongan kode di bawah ini menciptakan Google_Client() objek, yang mendefinisikan parameter dalam permintaan otorisasi.

Bahwa objek menggunakan informasi dari file client_secret.json Anda untuk mengidentifikasi aplikasi Anda. (Lihat menciptakan mandat otorisasi untuk lebih lanjut tentang file itu.) Objek juga mengidentifikasi lingkup bahwa aplikasi Anda meminta izin untuk mengakses dan URL untuk endpoint otentikasi aplikasi Anda, yang akan menangani respon dari OAuth 2.0 server Google. Akhirnya, kode menetapkan opsional access_type dan include_granted_scopes parameter.

Misalnya, kode ini meminta akses offline hanya baca ke Google Drive pengguna:

$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
// offline access will give you both an access and refresh token so that
// your app can refresh the access token without user interaction.
$client->setAccessType('offline');
// Using "consent" ensures that your application always receives a refresh token.
// If you are not using offline access, you can omit this.
$client->setApprovalPrompt("consent");
$client->setIncludeGrantedScopes(true);   // incremental auth

Permintaan menentukan informasi berikut:

Parameter
client_id Yg dibutuhkan

ID klien untuk aplikasi Anda. Anda dapat menemukan nilai ini di API ConsoleCredentials page.

Dalam PHP, memanggil setAuthConfig fungsi untuk memuat kredensial otorisasi dari file client_secret.json.

$client = new Google_Client();
$client->setAuthConfig('client_secret.json');
redirect_uri Yg dibutuhkan

Menentukan tempat server API mengalihkan pengguna setelah pengguna menyelesaikan alur otorisasi. Nilai harus sama persis dengan salah satu URI redirect berwenang untuk OAuth 2.0 klien, yang Anda dikonfigurasi dalam klien Anda API ConsoleCredentials page. Jika nilai ini tidak cocok dengan redirect URI yang berwenang untuk disediakan client_id Anda akan mendapatkan redirect_uri_mismatch error.

Perhatikan bahwa http atau https skema, kasus, dan trailing slash ( ' / ') semua harus pertandingan.

Untuk menetapkan nilai ini di PHP, memanggil setRedirectUri fungsi. Perhatikan bahwa Anda harus menentukan URI redirect berlaku untuk disediakan client_id .

$client->setRedirectUri('https://oauth2.example.com/code');
scope Yg dibutuhkan

Daftar cakupan yang dibatasi spasi yang mengidentifikasi sumber daya yang dapat diakses aplikasi Anda atas nama pengguna. Nilai-nilai ini menginformasikan layar persetujuan yang ditampilkan Google kepada pengguna.

Cakupan memungkinkan aplikasi Anda hanya meminta akses ke sumber daya yang dibutuhkannya sekaligus memungkinkan pengguna untuk mengontrol jumlah akses yang mereka berikan ke aplikasi Anda. Dengan demikian, ada hubungan terbalik antara jumlah cakupan yang diminta dan kemungkinan mendapatkan persetujuan pengguna.

Untuk menetapkan nilai ini di PHP, memanggil addScope fungsi:

$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

Kami menyarankan aplikasi Anda meminta akses ke cakupan otorisasi dalam konteks bila memungkinkan. Dengan meminta akses ke data pengguna dalam konteks, melalui otorisasi tambahan , Anda membantu pengguna untuk lebih mudah memahami mengapa aplikasi Anda membutuhkan akses itu meminta.

access_type Direkomendasikan

Menunjukkan apakah aplikasi Anda dapat menyegarkan token akses saat pengguna tidak ada di browser. Nilai parameter yang valid adalah online , yang merupakan nilai default, dan offline .

Mengatur nilai untuk offline jika kebutuhan aplikasi Anda untuk menyegarkan token akses saat pengguna tidak hadir pada browser. Ini adalah metode menyegarkan token akses yang dijelaskan nanti dalam dokumen ini. Nilai ini menginstruksikan otorisasi Server Google untuk kembali refresh token dan token akses pertama kalinya bahwa pertukaran aplikasi Anda kode otorisasi untuk token.

Untuk menetapkan nilai ini di PHP, memanggil setAccessType fungsi:

$client->setAccessType('offline');
state Direkomendasikan

Menentukan nilai string apa pun yang digunakan aplikasi Anda untuk mempertahankan status antara permintaan otorisasi Anda dan respons server otorisasi. Server mengembalikan nilai yang tepat yang Anda kirim sebagai name=value pasangan dalam komponen query URL ( ? ) Dari redirect_uri setelah persetujuan pengguna atau menolak permintaan akses aplikasi Anda.

Anda dapat menggunakan parameter ini untuk beberapa tujuan, seperti mengarahkan pengguna ke sumber daya yang benar di aplikasi Anda, mengirim nonces, dan mengurangi pemalsuan permintaan lintas situs. Karena Anda redirect_uri bisa ditebak, menggunakan state nilai dapat meningkatkan jaminan Anda bahwa koneksi masuk adalah hasil dari permintaan otentikasi. Jika Anda membuat string acak atau menyandikan hash cookie atau nilai lain yang menangkap status klien, Anda dapat memvalidasi respons untuk memastikan bahwa permintaan dan respons berasal dari browser yang sama, memberikan perlindungan terhadap serangan seperti lintas situs meminta pemalsuan. Lihat OpenID Connect dokumentasi untuk contoh bagaimana untuk membuat dan mengkonfirmasi state tanda.

Untuk menetapkan nilai ini di PHP, memanggil setState fungsi:

$client->setState($sample_passthrough_value);
include_granted_scopes Opsional

Memungkinkan aplikasi menggunakan otorisasi tambahan untuk meminta akses ke cakupan tambahan dalam konteks. Jika Anda menetapkan nilai ini parameter untuk true dan permintaan otorisasi dikabulkan, maka token akses baru juga akan mencakup lingkup yang pengguna sebelumnya yang diberikan akses aplikasi. Lihat otorisasi tambahan bagian untuk contoh.

Untuk menetapkan nilai ini di PHP, memanggil setIncludeGrantedScopes fungsi:

$client->setIncludeGrantedScopes(true);
login_hint Opsional

Jika aplikasi Anda mengetahui pengguna mana yang mencoba mengautentikasi, aplikasi dapat menggunakan parameter ini untuk memberikan petunjuk ke Server Google Authentication. Server menggunakan petunjuk untuk menyederhanakan alur login dengan mengisi kolom email di formulir login atau dengan memilih sesi multi-login yang sesuai.

Mengatur nilai parameter ke alamat email atau sub identifier, yang setara dengan Google ID pengguna.

Untuk menetapkan nilai ini di PHP, memanggil setLoginHint fungsi:

$client->setLoginHint('None');
prompt Opsional

Daftar permintaan yang dibatasi spasi dan peka huruf besar-kecil untuk menampilkan pengguna. Jika Anda tidak menentukan parameter ini, pengguna hanya akan diminta saat pertama kali proyek Anda meminta akses. Lihat Mendorong ulang consent untuk informasi lebih lanjut.

Untuk menetapkan nilai ini di PHP, memanggil setApprovalPrompt fungsi:

$client->setApprovalPrompt('consent');

Nilai yang mungkin adalah:

none Jangan tampilkan layar otentikasi atau persetujuan apa pun. Tidak boleh ditentukan dengan nilai lain.
consent Minta persetujuan pengguna.
select_account Minta pengguna untuk memilih akun.

Python

Potongan kode berikut menggunakan google-auth-oauthlib.flow modul untuk membangun permintaan otorisasi.

Kode membangun sebuah Flow objek, yang mengidentifikasi informasi aplikasi yang menggunakan Anda dari file client_secret.json yang Anda download setelah menciptakan kredensial otorisasi . Objek tersebut juga mengidentifikasi cakupan aplikasi Anda yang meminta izin untuk mengakses dan URL ke titik akhir autentikasi aplikasi Anda, yang akan menangani respons dari server OAuth 2.0 Google. Akhirnya, kode menetapkan opsional access_type dan include_granted_scopes parameter.

Misalnya, kode ini meminta akses offline hanya baca ke Google Drive pengguna:

import google.oauth2.credentials
import google_auth_oauthlib.flow

# Use the client_secret.json file to identify the application requesting
# authorization. The client ID (from that file) and access scopes are required.
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

# Indicate where the API server will redirect the user after the user completes
# the authorization flow. The redirect URI is required. The value must exactly
# match one of the authorized redirect URIs for the OAuth 2.0 client, which you
# configured in the API Console. If this value doesn't match an authorized URI,
# you will get a 'redirect_uri_mismatch' error.
flow.redirect_uri = 'https://www.example.com/oauth2callback'

# Generate URL for request to Google's OAuth 2.0 server.
# Use kwargs to set optional request parameters.
authorization_url, state = flow.authorization_url(
    # Enable offline access so that you can refresh an access token without
    # re-prompting the user for permission. Recommended for web server apps.
    access_type='offline',
    # Enable incremental authorization. Recommended as a best practice.
    include_granted_scopes='true')

Permintaan menentukan informasi berikut:

Parameter
client_id Yg dibutuhkan

ID klien untuk aplikasi Anda. Anda dapat menemukan nilai ini di API ConsoleCredentials page.

Dalam Python, memanggil from_client_secrets_file metode untuk mengambil ID klien dari file client_secret.json. (Anda juga dapat menggunakan from_client_config metode, yang melewati konfigurasi klien seperti awalnya muncul dalam file rahasia klien tetapi tidak mengakses file itu sendiri.)

flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])
redirect_uri Yg dibutuhkan

Menentukan tempat server API mengalihkan pengguna setelah pengguna menyelesaikan alur otorisasi. Nilai harus sama persis dengan salah satu URI redirect berwenang untuk OAuth 2.0 klien, yang Anda dikonfigurasi dalam klien Anda API ConsoleCredentials page. Jika nilai ini tidak cocok dengan redirect URI yang berwenang untuk disediakan client_id Anda akan mendapatkan redirect_uri_mismatch error.

Perhatikan bahwa http atau https skema, kasus, dan trailing slash ( ' / ') semua harus pertandingan.

Untuk menetapkan nilai ini dengan Python, mengatur flow objek redirect_uri properti:

flow.redirect_uri = 'https://oauth2.example.com/code'
scope Yg dibutuhkan

Daftar cakupan yang mengidentifikasi sumber daya yang dapat diakses aplikasi Anda atas nama pengguna. Nilai-nilai ini menginformasikan layar persetujuan yang ditampilkan Google kepada pengguna.

Cakupan memungkinkan aplikasi Anda hanya meminta akses ke sumber daya yang dibutuhkannya sekaligus memungkinkan pengguna untuk mengontrol jumlah akses yang mereka berikan ke aplikasi Anda. Dengan demikian, ada hubungan terbalik antara jumlah cakupan yang diminta dan kemungkinan mendapatkan persetujuan pengguna.

Dalam Python, menggunakan metode yang sama yang Anda gunakan untuk mengatur client_id untuk menentukan daftar lingkup.

flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'])

Kami menyarankan aplikasi Anda meminta akses ke cakupan otorisasi dalam konteks bila memungkinkan. Dengan meminta akses ke data pengguna dalam konteks, melalui otorisasi tambahan , Anda membantu pengguna untuk lebih mudah memahami mengapa aplikasi Anda membutuhkan akses itu meminta.

access_type Direkomendasikan

Menunjukkan apakah aplikasi Anda dapat menyegarkan token akses saat pengguna tidak ada di browser. Nilai parameter yang valid adalah online , yang merupakan nilai default, dan offline .

Mengatur nilai untuk offline jika kebutuhan aplikasi Anda untuk menyegarkan token akses saat pengguna tidak hadir pada browser. Ini adalah metode menyegarkan token akses yang dijelaskan nanti dalam dokumen ini. Nilai ini menginstruksikan otorisasi Server Google untuk kembali refresh token dan token akses pertama kalinya bahwa pertukaran aplikasi Anda kode otorisasi untuk token.

Dalam Python, mengatur access_type parameter dengan menentukan access_type sebagai argumen kata kunci saat memanggil flow.authorization_url metode:

authorization_url, state = flow.authorization_url(
    access_type='offline',
    include_granted_scopes='true')
state Direkomendasikan

Menentukan nilai string apa pun yang digunakan aplikasi Anda untuk mempertahankan status antara permintaan otorisasi Anda dan respons server otorisasi. Server mengembalikan nilai yang tepat yang Anda kirim sebagai name=value pasangan dalam komponen query URL ( ? ) Dari redirect_uri setelah persetujuan pengguna atau menolak permintaan akses aplikasi Anda.

Anda dapat menggunakan parameter ini untuk beberapa tujuan, seperti mengarahkan pengguna ke sumber daya yang benar di aplikasi Anda, mengirim nonces, dan mengurangi pemalsuan permintaan lintas situs. Karena Anda redirect_uri bisa ditebak, menggunakan state nilai dapat meningkatkan jaminan Anda bahwa koneksi masuk adalah hasil dari permintaan otentikasi. Jika Anda membuat string acak atau menyandikan hash cookie atau nilai lain yang menangkap status klien, Anda dapat memvalidasi respons untuk memastikan bahwa permintaan dan respons berasal dari browser yang sama, memberikan perlindungan terhadap serangan seperti lintas situs meminta pemalsuan. Lihat OpenID Connect dokumentasi untuk contoh bagaimana untuk membuat dan mengkonfirmasi state tanda.

Dalam Python, mengatur state parameter dengan menentukan state sebagai argumen kata kunci saat memanggil flow.authorization_url metode:

authorization_url, state = flow.authorization_url(
    access_type='offline',
    state=sample_passthrough_value,
    include_granted_scopes='true')
include_granted_scopes Opsional

Memungkinkan aplikasi menggunakan otorisasi tambahan untuk meminta akses ke cakupan tambahan dalam konteks. Jika Anda menetapkan nilai ini parameter untuk true dan permintaan otorisasi dikabulkan, maka token akses baru juga akan mencakup lingkup yang pengguna sebelumnya yang diberikan akses aplikasi. Lihat otorisasi tambahan bagian untuk contoh.

Dalam Python, mengatur include_granted_scopes parameter dengan menentukan include_granted_scopes sebagai argumen kata kunci saat memanggil flow.authorization_url metode:

authorization_url, state = flow.authorization_url(
    access_type='offline',
    include_granted_scopes='true')
login_hint Opsional

Jika aplikasi Anda mengetahui pengguna mana yang mencoba mengautentikasi, aplikasi dapat menggunakan parameter ini untuk memberikan petunjuk ke Server Google Authentication. Server menggunakan petunjuk untuk menyederhanakan alur login dengan mengisi kolom email di formulir login atau dengan memilih sesi multi-login yang sesuai.

Mengatur nilai parameter ke alamat email atau sub identifier, yang setara dengan Google ID pengguna.

Dalam Python, mengatur login_hint parameter dengan menentukan login_hint sebagai argumen kata kunci saat memanggil flow.authorization_url metode:

authorization_url, state = flow.authorization_url(
    access_type='offline',
    login_hint='None',
    include_granted_scopes='true')
prompt Opsional

Daftar permintaan yang dibatasi spasi dan peka huruf besar-kecil untuk menampilkan pengguna. Jika Anda tidak menentukan parameter ini, pengguna hanya akan diminta saat pertama kali proyek Anda meminta akses. Lihat Mendorong ulang consent untuk informasi lebih lanjut.

Dalam Python, mengatur prompt parameter dengan menentukan prompt sebagai argumen kata kunci saat memanggil flow.authorization_url metode:

authorization_url, state = flow.authorization_url(
      access_type='offline',
      prompt='consent',
      include_granted_scopes='true')

Nilai yang mungkin adalah:

none Jangan tampilkan layar autentikasi atau persetujuan apa pun. Tidak boleh ditentukan dengan nilai lain.
consent Minta persetujuan pengguna.
select_account Minta pengguna untuk memilih akun.

Rubi

Gunakan file client_secrets.json yang Anda buat untuk mengonfigurasi objek klien di aplikasi Anda. Saat Anda mengonfigurasi objek klien, Anda menentukan cakupan yang perlu diakses aplikasi Anda, bersama dengan URL ke titik akhir autentikasi aplikasi Anda, yang akan menangani respons dari server OAuth 2.0.

Misalnya, kode ini meminta akses offline hanya baca ke Google Drive pengguna:

require 'google/apis/drive_v2'
require 'google/api_client/client_secrets'

client_secrets = Google::APIClient::ClientSecrets.load
auth_client = client_secrets.to_authorization
auth_client.update!(
  :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly',
  :redirect_uri => 'http://www.example.com/oauth2callback',
  :additional_parameters => {
    "access_type" => "offline",         # offline access
    "include_granted_scopes" => "true"  # incremental auth
  }
)

Aplikasi Anda menggunakan objek klien untuk melakukan operasi OAuth 2.0, seperti membuat URL permintaan otorisasi dan menerapkan token akses ke permintaan HTTP.

HTTP/REST

Google OAuth 2.0 endpoint adalah di https://accounts.google.com/o/oauth2/v2/auth . Titik akhir ini hanya dapat diakses melalui HTTPS. Koneksi HTTP biasa ditolak.

Server otorisasi Google mendukung parameter string kueri berikut untuk aplikasi server web:

Parameter
client_id Yg dibutuhkan

ID klien untuk aplikasi Anda. Anda dapat menemukan nilai ini di API ConsoleCredentials page.

redirect_uri Yg dibutuhkan

Menentukan tempat server API mengalihkan pengguna setelah pengguna menyelesaikan alur otorisasi. Nilai harus sama persis dengan salah satu URI redirect berwenang untuk OAuth 2.0 klien, yang Anda dikonfigurasi dalam klien Anda API ConsoleCredentials page. Jika nilai ini tidak cocok dengan redirect URI yang berwenang untuk disediakan client_id Anda akan mendapatkan redirect_uri_mismatch error.

Perhatikan bahwa http atau https skema, kasus, dan trailing slash ( ' / ') semua harus pertandingan.

response_type Yg dibutuhkan

Menentukan apakah titik akhir Google OAuth 2.0 mengembalikan kode otorisasi.

Mengatur nilai parameter untuk code untuk aplikasi web server.

scope Yg dibutuhkan

Daftar cakupan yang dibatasi spasi yang mengidentifikasi sumber daya yang dapat diakses aplikasi Anda atas nama pengguna. Nilai-nilai ini menginformasikan layar persetujuan yang ditampilkan Google kepada pengguna.

Cakupan memungkinkan aplikasi Anda hanya meminta akses ke sumber daya yang dibutuhkannya sekaligus memungkinkan pengguna untuk mengontrol jumlah akses yang mereka berikan ke aplikasi Anda. Dengan demikian, ada hubungan terbalik antara jumlah cakupan yang diminta dan kemungkinan mendapatkan persetujuan pengguna.

Kami menyarankan aplikasi Anda meminta akses ke cakupan otorisasi dalam konteks bila memungkinkan. Dengan meminta akses ke data pengguna dalam konteks, melalui otorisasi tambahan , Anda membantu pengguna untuk lebih mudah memahami mengapa aplikasi Anda membutuhkan akses itu meminta.

access_type Direkomendasikan

Menunjukkan apakah aplikasi Anda dapat menyegarkan token akses saat pengguna tidak ada di browser. Nilai parameter yang valid adalah online , yang merupakan nilai default, dan offline .

Mengatur nilai untuk offline jika kebutuhan aplikasi Anda untuk menyegarkan token akses saat pengguna tidak hadir pada browser. Ini adalah metode menyegarkan token akses yang dijelaskan nanti dalam dokumen ini. Nilai ini menginstruksikan otorisasi Server Google untuk kembali refresh token dan token akses pertama kalinya bahwa pertukaran aplikasi Anda kode otorisasi untuk token.

state Direkomendasikan

Menentukan nilai string apa pun yang digunakan aplikasi Anda untuk mempertahankan status antara permintaan otorisasi Anda dan respons server otorisasi. Server mengembalikan nilai yang tepat yang Anda kirim sebagai name=value pasangan dalam komponen query URL ( ? ) Dari redirect_uri setelah persetujuan pengguna atau menolak permintaan akses aplikasi Anda.

Anda dapat menggunakan parameter ini untuk beberapa tujuan, seperti mengarahkan pengguna ke sumber daya yang benar di aplikasi Anda, mengirim nonces, dan mengurangi pemalsuan permintaan lintas situs. Karena Anda redirect_uri bisa ditebak, menggunakan state nilai dapat meningkatkan jaminan Anda bahwa koneksi masuk adalah hasil dari permintaan otentikasi. Jika Anda membuat string acak atau menyandikan hash cookie atau nilai lain yang menangkap status klien, Anda dapat memvalidasi respons untuk memastikan bahwa permintaan dan respons berasal dari browser yang sama, memberikan perlindungan terhadap serangan seperti lintas situs meminta pemalsuan. Lihat OpenID Connect dokumentasi untuk contoh bagaimana untuk membuat dan mengkonfirmasi state tanda.

include_granted_scopes Opsional

Memungkinkan aplikasi menggunakan otorisasi tambahan untuk meminta akses ke cakupan tambahan dalam konteks. Jika Anda menetapkan nilai ini parameter untuk true dan permintaan otorisasi dikabulkan, maka token akses baru juga akan mencakup lingkup yang pengguna sebelumnya yang diberikan akses aplikasi. Lihat otorisasi tambahan bagian untuk contoh.

login_hint Opsional

Jika aplikasi Anda mengetahui pengguna mana yang mencoba mengautentikasi, aplikasi dapat menggunakan parameter ini untuk memberikan petunjuk ke Server Google Authentication. Server menggunakan petunjuk untuk menyederhanakan alur login dengan mengisi kolom email di formulir login atau dengan memilih sesi multi-login yang sesuai.

Mengatur nilai parameter ke alamat email atau sub identifier, yang setara dengan Google ID pengguna.

prompt Opsional

Daftar permintaan yang dibatasi spasi dan peka huruf besar-kecil untuk menampilkan pengguna. Jika Anda tidak menentukan parameter ini, pengguna hanya akan diminta saat pertama kali proyek Anda meminta akses. Lihat Mendorong ulang consent untuk informasi lebih lanjut.

Nilai yang mungkin adalah:

none Jangan tampilkan layar otentikasi atau persetujuan apa pun. Tidak boleh ditentukan dengan nilai lain.
consent Minta persetujuan pengguna.
select_account Minta pengguna untuk memilih akun.

Langkah 2: Arahkan ulang ke server OAuth 2.0 Google

Arahkan ulang pengguna ke server OAuth 2.0 Google untuk memulai proses autentikasi dan otorisasi. Biasanya, ini terjadi saat aplikasi Anda pertama kali perlu mengakses data pengguna. Dalam kasus otorisasi tambahan , langkah ini juga terjadi ketika aplikasi Anda pertama perlu akses sumber daya tambahan yang belum memiliki izin untuk mengakses.

PHP

  1. Menghasilkan URL untuk mengakses permintaan dari Google OAuth 2.0 server:
    $auth_url = $client->createAuthUrl();
  2. Mengarahkan pengguna ke $auth_url :
    header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));

Python

Contoh ini menunjukkan cara mengarahkan pengguna ke URL otorisasi menggunakan kerangka aplikasi web Flask:

return flask.redirect(authorization_url)

Rubi

  1. Menghasilkan URL untuk mengakses permintaan dari Google OAuth 2.0 server:
    auth_uri = auth_client.authorization_uri.to_s
  2. Mengarahkan pengguna ke auth_uri .

HTTP/REST

Contoh pengalihan ke server otorisasi Google

Contoh URL ditampilkan di bawah, dengan jeda baris dan spasi agar mudah dibaca.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

Setelah Anda membuat URL permintaan, arahkan ulang pengguna ke sana.

Server OAuth 2.0 Google mengautentikasi pengguna dan mendapatkan persetujuan dari pengguna agar aplikasi Anda mengakses cakupan yang diminta. Tanggapan dikirim kembali ke aplikasi Anda menggunakan URL pengalihan yang Anda tentukan.

Langkah 3: Google meminta persetujuan pengguna

Pada langkah ini, pengguna memutuskan apakah akan memberikan aplikasi Anda akses yang diminta. Pada tahap ini, Google menampilkan jendela persetujuan yang menunjukkan nama aplikasi Anda dan layanan Google API yang meminta izin untuk diakses dengan kredensial otorisasi pengguna dan ringkasan cakupan akses yang akan diberikan. Pengguna kemudian dapat menyetujui untuk memberikan akses ke satu atau beberapa cakupan yang diminta oleh aplikasi Anda atau menolak permintaan tersebut.

Aplikasi Anda tidak perlu melakukan apa pun pada tahap ini karena menunggu respons dari server OAuth 2.0 Google yang menunjukkan apakah ada akses yang diberikan. Respon tersebut dijelaskan pada langkah berikut.

kesalahan

Permintaan ke titik akhir otorisasi OAuth 2.0 Google dapat menampilkan pesan kesalahan yang dihadapi pengguna, bukan alur autentikasi dan otorisasi yang diharapkan. Kode kesalahan umum dan resolusi yang disarankan tercantum di bawah ini.

admin_policy_enforced

Akun Google tidak dapat mengotorisasi satu atau beberapa cakupan yang diminta karena kebijakan administrator Google Workspace mereka. Lihat Google Workspace Admin artikel bantuan Control yang pihak ketiga & aplikasi internal mengakses data Google Workspace untuk informasi lebih lanjut tentang bagaimana administrator dapat membatasi akses ke semua lingkup atau cakupan sensitif dan dibatasi sampai akses secara eksplisit diberikan kepada ID OAuth klien Anda.

disallowed_useragent

Otorisasi endpoint ditampilkan dalam sebuah tertanam user-agent dianulir oleh Google OAuth 2.0 Kebijakan .

Android

Pengembang Android mungkin menemukan pesan kesalahan ini saat membuka permintaan otorisasi di android.webkit.WebView . Pengembang malah harus menggunakan perpustakaan Android seperti Google Sign-In untuk Android atau OpenID Foundation AppAuth untuk Android .

Pengembang web mungkin mengalami kesalahan ini saat aplikasi Android membuka tautan web umum di agen pengguna yang disematkan dan pengguna menavigasi ke titik akhir otorisasi OAuth 2.0 Google dari situs Anda. Pengembang harus memungkinkan link umum untuk membuka di link standar handler dari sistem operasi, yang meliputi Android App Links penangan atau aplikasi browser default. The Android Kustom Tab perpustakaan juga merupakan pilihan yang didukung.

iOS

iOS dan MacOS pengembang mungkin mengalami kesalahan ini saat membuka permintaan otorisasi di WKWebView . Pengembang malah harus menggunakan iOS perpustakaan seperti Google Sign-In untuk iOS atau OpenID Foundation AppAuth untuk iOS .

Pengembang web mungkin mengalami kesalahan ini saat aplikasi iOS atau macOS membuka tautan web umum di agen pengguna yang disematkan dan pengguna menavigasi ke titik akhir otorisasi OAuth 2.0 Google dari situs Anda. Pengembang harus memungkinkan link umum untuk membuka di link standar handler dari sistem operasi, yang meliputi Universal Link penangan atau aplikasi browser default. The SFSafariViewController perpustakaan juga merupakan pilihan yang didukung.

org_internal

ID klien OAuth dalam permintaan adalah bagian dari proyek membatasi akses ke Google Account di tertentu Cloud Organisasi Google . Untuk informasi lebih lanjut tentang opsi konfigurasi ini melihat jenis Pengguna bagian dalam Menyiapkan persetujuan OAuth layar bantuan artikel Anda.

redirect_uri_mismatch

The redirect_uri lulus dalam permintaan otorisasi tidak cocok dengan redirect berwenang URI untuk ID klien OAuth. Ulasan berwenang URI redirect di Google API Console Credentials page.

Langkah 4: Tangani respons server OAuth 2.0

Server OAuth 2.0 merespons permintaan akses aplikasi Anda dengan menggunakan URL yang ditentukan dalam permintaan.

Jika pengguna menyetujui permintaan akses, maka responsnya berisi kode otorisasi. Jika pengguna tidak menyetujui permintaan, respons berisi pesan kesalahan. Kode otorisasi atau pesan kesalahan yang dikembalikan ke server web muncul pada string kueri, seperti yang ditunjukkan di bawah ini:

Respons kesalahan:

https://oauth2.example.com/auth?error=access_denied

Respons kode otorisasi:

https://oauth2.example.com/auth?code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7

Contoh respons server OAuth 2.0

Anda dapat menguji alur ini dengan mengeklik contoh URL berikut, yang meminta akses hanya baca untuk melihat metadata file di Google Drive Anda:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly&
 access_type=offline&
 include_granted_scopes=true&
 response_type=code&
 state=state_parameter_passthrough_value&
 redirect_uri=https%3A//oauth2.example.com/code&
 client_id=client_id

After completing the OAuth 2.0 flow, you should be redirected to http://localhost/oauth2callback , which will likely yield a 404 NOT FOUND error unless your local machine serves a file at that address. The next step provides more detail about the information returned in the URI when the user is redirected back to your application.

Step 5: Exchange authorization code for refresh and access tokens

After the web server receives the authorization code, it can exchange the authorization code for an access token.

PHP

To exchange an authorization code for an access token, use the authenticate method:

$client->authenticate($_GET['code']);

You can retrieve the access token with the getAccessToken method:

$access_token = $client->getAccessToken();

Python

On your callback page, use the google-auth library to verify the authorization server response. Then, use the flow.fetch_token method to exchange the authorization code in that response for an access token:

state = flask.session['state']
flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
    'client_secret.json',
    scopes=['https://www.googleapis.com/auth/drive.metadata.readonly'],
    state=state)
flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

authorization_response = flask.request.url
flow.fetch_token(authorization_response=authorization_response)

# Store the credentials in the session.
# ACTION ITEM for developers:
#     Store user's access and refresh tokens in your data store if
#     incorporating this code into your real app.
credentials = flow.credentials
flask.session['credentials'] = {
    'token': credentials.token,
    'refresh_token': credentials.refresh_token,
    'token_uri': credentials.token_uri,
    'client_id': credentials.client_id,
    'client_secret': credentials.client_secret,
    'scopes': credentials.scopes}

Ruby

To exchange an authorization code for an access token, use the fetch_access_token! method:

auth_client.code = auth_code
auth_client.fetch_access_token!

HTTP/REST

To exchange an authorization code for an access token, call the https://oauth2.googleapis.com/token endpoint and set the following parameters:

Fields
client_id The client ID obtained from the API ConsoleCredentials page.
client_secret The client secret obtained from the API ConsoleCredentials page.
code The authorization code returned from the initial request.
grant_type As defined in the OAuth 2.0 specification , this field's value must be set to authorization_code .
redirect_uri One of the redirect URIs listed for your project in the API ConsoleCredentials page for the given client_id .

The following snippet shows a sample request:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your_client_id&
client_secret=your_client_secret&
redirect_uri=https%3A//oauth2.example.com/code&
grant_type=authorization_code

Google responds to this request by returning a JSON object that contains a short-lived access token and a refresh token. Note that the refresh token is only returned if your application set the access_type parameter to offline in the initial request to Google's authorization server .

The response contains the following fields:

Fields
access_token The token that your application sends to authorize a Google API request.
expires_in The remaining lifetime of the access token in seconds.
refresh_token A token that you can use to obtain a new access token. Refresh tokens are valid until the user revokes access. Again, this field is only present in this response if you set the access_type parameter to offline in the initial request to Google's authorization server.
scope The scopes of access granted by the access_token expressed as a list of space-delimited, case-sensitive strings.
token_type The type of token returned. At this time, this field's value is always set to Bearer .

The following snippet shows a sample response:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "token_type": "Bearer",
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
  "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

Calling Google APIs

PHP

Use the access token to call Google APIs by completing the following steps:

  1. If you need to apply an access token to a new Google_Client object—for example, if you stored the access token in a user session—use the setAccessToken method:
    $client->setAccessToken($access_token);
  2. Build a service object for the API that you want to call. You build a service object by providing an authorized Google_Client object to the constructor for the API you want to call. For example, to call the Drive API:
    $drive = new Google_Service_Drive($client);
  3. Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
    $files = $drive->files->listFiles(array())->getItems();

Python

After obtaining an access token, your application can use that token to authorize API requests on behalf of a given user account or service account. Use the user-specific authorization credentials to build a service object for the API that you want to call, and then use that object to make authorized API requests.

  1. Build a service object for the API that you want to call. You build a service object by calling the googleapiclient.discovery library's build method with the name and version of the API and the user credentials: For example, to call version 2 of the Drive API:
    from googleapiclient.discovery import build
    
    drive = build('drive', 'v2', credentials=credentials)
  2. Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
    files = drive.files().list().execute()

Ruby

Use the auth_client object to call Google APIs by completing the following steps:

  1. Build a service object for the API that you want to call. For example, to call version 2 of the Drive API:
    drive = Google::Apis::DriveV2::DriveService.new
  2. Set the credentials on the service:
    drive.authorization = auth_client
  3. Make requests to the API service using the interface provided by the service object . For example, to list the files in the authenticated user's Google Drive:
    files = drive.list_files

Alternately, authorization can be provided on a per-method basis by supplying the options parameter to a method:

files = drive.list_files(options: { authorization: auth_client })

HTTP/REST

After your application obtains an access token, you can use the token to make calls to a Google API on behalf of a given user account if the scope(s) of access required by the API have been granted. To do this, include the access token in a request to the API by including either an access_token query parameter or an Authorization HTTP header Bearer value. When possible, the HTTP header is preferable, because query strings tend to be visible in server logs. In most cases you can use a client library to set up your calls to Google APIs (for example, when calling the Drive Files API ).

You can try out all the Google APIs and view their scopes at the OAuth 2.0 Playground .

HTTP GET examples

A call to the drive.files endpoint (the Drive Files API) using the Authorization: Bearer HTTP header might look like the following. Note that you need to specify your own access token:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

Here is a call to the same API for the authenticated user using the access_token query string parameter:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl examples

You can test these commands with the curl command-line application. Here's an example that uses the HTTP header option (preferred):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

Or, alternatively, the query string parameter option:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

Complete example

The following example prints a JSON-formatted list of files in a user's Google Drive after the user authenticates and gives consent for the application to access the user's Drive metadata.

PHP

To run this example:

  1. In the API Console, add the URL of the local machine to the list of redirect URLs. For example, add http://localhost:8080 .
  2. Create a new directory and change to it. For example:
    mkdir ~/php-oauth2-example
    cd ~/php-oauth2-example
  3. Install the Google API Client Library for PHP using Composer :
    composer require google/apiclient:^2.0
  4. Create the files index.php and oauth2callback.php with the content below.
  5. Run the example with a web server configured to serve PHP. If you use PHP 5.4 or newer, you can use PHP's built-in test web server:
    php -S localhost:8080 ~/php-oauth2-example

index.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google_Client();
$client->setAuthConfig('client_secrets.json');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

if (isset($_SESSION['access_token']) && $_SESSION['access_token']) {
  $client->setAccessToken($_SESSION['access_token']);
  $drive = new Google_Service_Drive($client);
  $files = $drive->files->listFiles(array())->getItems();
  echo json_encode($files);
} else {
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

oauth2callback.php

<?php
require_once __DIR__.'/vendor/autoload.php';

session_start();

$client = new Google_Client();
$client->setAuthConfigFile('client_secrets.json');
$client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php');
$client->addScope(Google_Service_Drive::DRIVE_METADATA_READONLY);

if (! isset($_GET['code'])) {
  $auth_url = $client->createAuthUrl();
  header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));
} else {
  $client->authenticate($_GET['code']);
  $_SESSION['access_token'] = $client->getAccessToken();
  $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/';
  header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL));
}

Python

This example uses the Flask framework. It runs a web application at http://localhost:8080 that lets you test the OAuth 2.0 flow. If you go to that URL, you should see four links:

  • Test an API request: This link points to a page that tries to execute a sample API request. If necessary, it starts the authorization flow. If successful, the page displays the API response.
  • Test the auth flow directly: This link points to a page that tries to send the user through the authorization flow . The app requests permission to submit authorized API requests on the user's behalf.
  • Revoke current credentials: This link points to a page that revokes permissions that the user has already granted to the application.
  • Clear Flask session credentials: This link clears authorization credentials that are stored in the Flask session. This lets you see what would happen if a user who had already granted permission to your app tried to execute an API request in a new session. It also lets you see the API response your app would get if a user had revoked permissions granted to your app, and your app still tried to authorize a request with a revoked access token.
# -*- coding: utf-8 -*-

import os
import flask
import requests

import google.oauth2.credentials
import google_auth_oauthlib.flow
import googleapiclient.discovery

# This variable specifies the name of a file that contains the OAuth 2.0
# information for this application, including its client_id and client_secret.
CLIENT_SECRETS_FILE = "client_secret.json"

# This OAuth 2.0 access scope allows for full read/write access to the
# authenticated user's account and requires requests to use an SSL connection.
SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly']
API_SERVICE_NAME = 'drive'
API_VERSION = 'v2'

app = flask.Flask(__name__)
# Note: A secret key is included in the sample so that it works.
# If you use this code in your application, replace this with a truly secret
# key. See https://flask.palletsprojects.com/quickstart/#sessions.
app.secret_key = 'REPLACE ME - this value is here as a placeholder.'


@app.route('/')
def index():
  return print_index_table()


@app.route('/test')
def test_api_request():
  if 'credentials' not in flask.session:
    return flask.redirect('authorize')

  # Load credentials from the session.
  credentials = google.oauth2.credentials.Credentials(
      **flask.session['credentials'])

  drive = googleapiclient.discovery.build(
      API_SERVICE_NAME, API_VERSION, credentials=credentials)

  files = drive.files().list().execute()

  # Save credentials back to session in case access token was refreshed.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.jsonify(**files)


@app.route('/authorize')
def authorize():
  # Create flow instance to manage the OAuth 2.0 Authorization Grant Flow steps.
  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES)

  # The URI created here must exactly match one of the authorized redirect URIs
  # for the OAuth 2.0 client, which you configured in the API Console. If this
  # value doesn't match an authorized URI, you will get a 'redirect_uri_mismatch'
  # error.
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  authorization_url, state = flow.authorization_url(
      # Enable offline access so that you can refresh an access token without
      # re-prompting the user for permission. Recommended for web server apps.
      access_type='offline',
      # Enable incremental authorization. Recommended as a best practice.
      include_granted_scopes='true')

  # Store the state so the callback can verify the auth server response.
  flask.session['state'] = state

  return flask.redirect(authorization_url)


@app.route('/oauth2callback')
def oauth2callback():
  # Specify the state when creating the flow in the callback so that it can
  # verified in the authorization server response.
  state = flask.session['state']

  flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file(
      CLIENT_SECRETS_FILE, scopes=SCOPES, state=state)
  flow.redirect_uri = flask.url_for('oauth2callback', _external=True)

  # Use the authorization server's response to fetch the OAuth 2.0 tokens.
  authorization_response = flask.request.url
  flow.fetch_token(authorization_response=authorization_response)

  # Store credentials in the session.
  # ACTION ITEM: In a production app, you likely want to save these
  #              credentials in a persistent database instead.
  credentials = flow.credentials
  flask.session['credentials'] = credentials_to_dict(credentials)

  return flask.redirect(flask.url_for('test_api_request'))


@app.route('/revoke')
def revoke():
  if 'credentials' not in flask.session:
    return ('You need to <a href="/authorize">authorize</a> before ' +
            'testing the code to revoke credentials.')

  credentials = google.oauth2.credentials.Credentials(
    **flask.session['credentials'])

  revoke = requests.post('https://oauth2.googleapis.com/revoke',
      params={'token': credentials.token},
      headers = {'content-type': 'application/x-www-form-urlencoded'})

  status_code = getattr(revoke, 'status_code')
  if status_code == 200:
    return('Credentials successfully revoked.' + print_index_table())
  else:
    return('An error occurred.' + print_index_table())


@app.route('/clear')
def clear_credentials():
  if 'credentials' in flask.session:
    del flask.session['credentials']
  return ('Credentials have been cleared.<br><br>' +
          print_index_table())


def credentials_to_dict(credentials):
  return {'token': credentials.token,
          'refresh_token': credentials.refresh_token,
          'token_uri': credentials.token_uri,
          'client_id': credentials.client_id,
          'client_secret': credentials.client_secret,
          'scopes': credentials.scopes}

def print_index_table():
  return ('<table>' +
          '<tr><td><a href="/test">Test an API request</a></td>' +
          '<td>Submit an API request and see a formatted JSON response. ' +
          '    Go through the authorization flow if there are no stored ' +
          '    credentials for the user.</td></tr>' +
          '<tr><td><a href="/authorize">Test the auth flow directly</a></td>' +
          '<td>Go directly to the authorization flow. If there are stored ' +
          '    credentials, you still might not be prompted to reauthorize ' +
          '    the application.</td></tr>' +
          '<tr><td><a href="/revoke">Revoke current credentials</a></td>' +
          '<td>Revoke the access token associated with the current user ' +
          '    session. After revoking credentials, if you go to the test ' +
          '    page, you should see an <code>invalid_grant</code> error.' +
          '</td></tr>' +
          '<tr><td><a href="/clear">Clear Flask session credentials</a></td>' +
          '<td>Clear the access token currently stored in the user session. ' +
          '    After clearing the token, if you <a href="/test">test the ' +
          '    API request</a> again, you should go back to the auth flow.' +
          '</td></tr></table>')


if __name__ == '__main__':
  # When running locally, disable OAuthlib's HTTPs verification.
  # ACTION ITEM for developers:
  #     When running in production *do not* leave this option enabled.
  os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1'

  # Specify a hostname and port that are set as a valid redirect URI
  # for your API project in the Google API Console.
  app.run('localhost', 8080, debug=True)

Ruby

This example uses the Sinatra framework.

require 'google/apis/drive_v2'
require 'google/api_client/client_secrets'
require 'json'
require 'sinatra'

enable :sessions
set :session_secret, 'setme'

get '/' do
  unless session.has_key?(:credentials)
    redirect to('/oauth2callback')
  end
  client_opts = JSON.parse(session[:credentials])
  auth_client = Signet::OAuth2::Client.new(client_opts)
  drive = Google::Apis::DriveV2::DriveService.new
  files = drive.list_files(options: { authorization: auth_client })
  "<pre>#{JSON.pretty_generate(files.to_h)}</pre>"
end

get '/oauth2callback' do
  client_secrets = Google::APIClient::ClientSecrets.load
  auth_client = client_secrets.to_authorization
  auth_client.update!(
    :scope => 'https://www.googleapis.com/auth/drive.metadata.readonly',
    :redirect_uri => url('/oauth2callback'))
  if request['code'] == nil
    auth_uri = auth_client.authorization_uri.to_s
    redirect to(auth_uri)
  else
    auth_client.code = request['code']
    auth_client.fetch_access_token!
    auth_client.client_secret = nil
    session[:credentials] = auth_client.to_json
    redirect to('/')
  end
end

HTTP/REST

This Python example uses the Flask framework and the Requests library to demonstrate the OAuth 2.0 web flow. We recommend using the Google API Client Library for Python for this flow. (The example in the Python tab does use the client library.)

import json

import flask
import requests


app = flask.Flask(__name__)

CLIENT_ID = '123456789.apps.googleusercontent.com'
CLIENT_SECRET = 'abc123'  # Read from a file or environmental variable in a real app
SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly'
REDIRECT_URI = 'http://example.com/oauth2callback'


@app.route('/')
def index():
  if 'credentials' not in flask.session:
    return flask.redirect(flask.url_for('oauth2callback'))
  credentials = json.loads(flask.session['credentials'])
  if credentials['expires_in'] <= 0:
    return flask.redirect(flask.url_for('oauth2callback'))
  else:
    headers = {'Authorization': 'Bearer {}'.format(credentials['access_token'])}
    req_uri = 'https://www.googleapis.com/drive/v2/files'
    r = requests.get(req_uri, headers=headers)
    return r.text


@app.route('/oauth2callback')
def oauth2callback():
  if 'code' not in flask.request.args:
    auth_uri = ('https://accounts.google.com/o/oauth2/v2/auth?response_type=code'
                '&client_id={}&redirect_uri={}&scope={}').format(CLIENT_ID, REDIRECT_URI, SCOPE)
    return flask.redirect(auth_uri)
  else:
    auth_code = flask.request.args.get('code')
    data = {'code': auth_code,
            'client_id': CLIENT_ID,
            'client_secret': CLIENT_SECRET,
            'redirect_uri': REDIRECT_URI,
            'grant_type': 'authorization_code'}
    r = requests.post('https://oauth2.googleapis.com/token', data=data)
    flask.session['credentials'] = r.text
    return flask.redirect(flask.url_for('index'))


if __name__ == '__main__':
  import uuid
  app.secret_key = str(uuid.uuid4())
  app.debug = False
  app.run()

Redirect URI validation rules

Google applies the following validation rules to redirect URIs in order to help developers keep their applications secure. Your redirect URIs must adhere to these rules. See RFC 3986 section 3 for the definition of domain, host, path, query, scheme and userinfo, mentioned below.

Validation rules
Scheme

Redirect URIs must use the HTTPS scheme, not plain HTTP. Localhost URIs (including localhost IP address URIs) are exempt from this rule.

Host

Hosts cannot be raw IP addresses. Localhost IP addresses are exempted from this rule.

Domain
  • Host TLDs ( Top Level Domains ) must belong to the public suffix list .
  • Host domains cannot be “googleusercontent.com” .
  • Redirect URIs cannot contain URL shortener domains (eg goo.gl ) unless the app owns the domain. Furthermore, if an app that owns a shortener domain chooses to redirect to that domain, that redirect URI must either contain “/google-callback/” in its path or end with “/google-callback” .
  • Userinfo

    Redirect URIs cannot contain the userinfo subcomponent.

    Path

    Redirect URIs cannot contain a path traversal (also called directory backtracking), which is represented by an “/..” or “\..” or their URL encoding.

    Query

    Redirect URIs cannot contain open redirects .

    Fragment

    Redirect URIs cannot contain the fragment component.

    Characters Redirect URIs cannot contain certain characters including:
    • Wildcard characters ( '*' )
    • Non-printable ASCII characters
    • Invalid percent encodings (any percent encoding that does not follow URL-encoding form of a percent sign followed by two hexadecimal digits)
    • Null characters (an encoded NULL character, eg, %00 , %C0%80 )

    Incremental authorization

    In the OAuth 2.0 protocol, your app requests authorization to access resources, which are identified by scopes. It is considered a best user-experience practice to request authorization for resources at the time you need them. To enable that practice, Google's authorization server supports incremental authorization. This feature lets you request scopes as they are needed and, if the user grants permission for the new scope, returns an authorization code that may be exchanged for a token containing all scopes the user has granted the project.

    For example, an app that lets people sample music tracks and create mixes might need very few resources at sign-in time, perhaps nothing more than the name of the person signing in. However, saving a completed mix would require access to their Google Drive. Most people would find it natural if they only were asked for access to their Google Drive at the time the app actually needed it.

    In this case, at sign-in time the app might request the openid and profile scopes to perform basic sign-in, and then later request the https://www.googleapis.com/auth/drive.file scope at the time of the first request to save a mix.

    To implement incremental authorization, you complete the normal flow for requesting an access token but make sure that the authorization request includes previously granted scopes. This approach allows your app to avoid having to manage multiple access tokens.

    The following rules apply to an access token obtained from an incremental authorization:

    • The token can be used to access resources corresponding to any of the scopes rolled into the new, combined authorization.
    • When you use the refresh token for the combined authorization to obtain an access token, the access token represents the combined authorization and can be used for any of the scope values included in the response.
    • The combined authorization includes all scopes that the user granted to the API project even if the grants were requested from different clients. For example, if a user granted access to one scope using an application's desktop client and then granted another scope to the same application via a mobile client, the combined authorization would include both scopes.
    • If you revoke a token that represents a combined authorization, access to all of that authorization's scopes on behalf of the associated user are revoked simultaneously.

    The language-specific code samples in Step 1: Set authorization parameters and the sample HTTP/REST redirect URL in Step 2: Redirect to Google's OAuth 2.0 server all use incremental authorization. The code samples below also show the code that you need to add to use incremental authorization.

    PHP

    $client->setIncludeGrantedScopes(true);

    Python

    In Python, set the include_granted_scopes keyword argument to true to ensure that an authorization request includes previously granted scopes. It is very possible that include_granted_scopes will not be the only keyword argument that you set, as shown in the example below.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    Ruby

    auth_client.update!(
      :additional_parameters => {"include_granted_scopes" => "true"}
    )

    HTTP/REST

    GET https://accounts.google.com/o/oauth2/v2/auth?
      client_id=your_client_id&
      response_type=code&
      state=state_parameter_passthrough_value&
      scope=https%3A//www.googleapis.com/auth/drive.file&
      redirect_uri=https%3A//oauth2.example.com/code&
      prompt=consent&
      include_granted_scopes=true

    Refreshing an access token (offline access)

    Access tokens periodically expire and become invalid credentials for a related API request. You can refresh an access token without prompting the user for permission (including when the user is not present) if you requested offline access to the scopes associated with the token.

    • If you use a Google API Client Library, the client object refreshes the access token as needed as long as you configure that object for offline access.
    • If you are not using a client library, you need to set the access_type HTTP query parameter to offline when redirecting the user to Google's OAuth 2.0 server . In that case, Google's authorization server returns a refresh token when you exchange an authorization code for an access token. Then, if the access token expires (or at any other time), you can use a refresh token to obtain a new access token.

    Requesting offline access is a requirement for any application that needs to access a Google API when the user is not present. For example, an app that performs backup services or executes actions at predetermined times needs to be able to refresh its access token when the user is not present. The default style of access is called online .

    Server-side web applications, installed applications, and devices all obtain refresh tokens during the authorization process. Refresh tokens are not typically used in client-side (JavaScript) web applications.

    PHP

    If your application needs offline access to a Google API, set the API client's access type to offline :

    $client->setAccessType("offline");

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    Python

    In Python, set the access_type keyword argument to offline to ensure that you will be able to refresh the access token without having to re-prompt the user for permission. It is very possible that access_type will not be the only keyword argument that you set, as shown in the example below.

    authorization_url, state = flow.authorization_url(
        # Enable offline access so that you can refresh an access token without
        # re-prompting the user for permission. Recommended for web server apps.
        access_type='offline',
        # Enable incremental authorization. Recommended as a best practice.
        include_granted_scopes='true')

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    Ruby

    If your application needs offline access to a Google API, set the API client's access type to offline :

    auth_client.update!(
      :additional_parameters => {"access_type" => "offline"}
    )

    After a user grants offline access to the requested scopes, you can continue to use the API client to access Google APIs on the user's behalf when the user is offline. The client object will refresh the access token as needed.

    HTTP/REST

    To refresh an access token, your application sends an HTTPS POST request to Google's authorization server ( https://oauth2.googleapis.com/token ) that includes the following parameters:

    Fields
    client_id The client ID obtained from the API Console.
    client_secret The client secret obtained from the API Console.
    grant_type As defined in the OAuth 2.0 specification , this field's value must be set to refresh_token .
    refresh_token The refresh token returned from the authorization code exchange.

    The following snippet shows a sample request:

    POST /token HTTP/1.1
    Host: oauth2.googleapis.com
    Content-Type: application/x-www-form-urlencoded
    
    client_id=your_client_id&
    client_secret=your_client_secret&
    refresh_token=refresh_token&
    grant_type=refresh_token

    As long as the user has not revoked the access granted to the application, the token server returns a JSON object that contains a new access token. The following snippet shows a sample response:

    {
      "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
      "expires_in": 3920,
      "scope": "https://www.googleapis.com/auth/drive.metadata.readonly",
      "token_type": "Bearer"
    }

    Note that there are limits on the number of refresh tokens that will be issued; one limit per client/user combination, and another per user across all clients. You should save refresh tokens in long-term storage and continue to use them as long as they remain valid. If your application requests too many refresh tokens, it may run into these limits, in which case older refresh tokens will stop working.

    Revoking a token

    In some cases a user may wish to revoke access given to an application. A user can revoke access by visiting Account Settings . See the Remove site or app access section of the Third-party sites & apps with access to your account support document for more information.

    It is also possible for an application to programmatically revoke the access given to it. Programmatic revocation is important in instances where a user unsubscribes, removes an application, or the API resources required by an app have significantly changed. In other words, part of the removal process can include an API request to ensure the permissions previously granted to the application are removed.

    PHP

    To programmatically revoke a token, call revokeToken() :

    $client->revokeToken();

    Python

    To programmatically revoke a token, make a request to https://oauth2.googleapis.com/revoke that includes the token as a parameter and sets the Content-Type header:

    requests.post('https://oauth2.googleapis.com/revoke',
        params={'token': credentials.token},
        headers = {'content-type': 'application/x-www-form-urlencoded'})

    Ruby

    To programmatically revoke a token, make an HTTP request to the oauth2.revoke endpoint:

    uri = URI('https://oauth2.googleapis.com/revoke')
    response = Net::HTTP.post_form(uri, 'token' => auth_client.access_token)
    

    The token can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.

    If the revocation is successfully processed, then the status code of the response is 200 . For error conditions, a status code 400 is returned along with an error code.

    HTTP/REST

    To programmatically revoke a token, your application makes a request to https://oauth2.googleapis.com/revoke and includes the token as a parameter:

    curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
            https://oauth2.googleapis.com/revoke?token={token}

    The token can be an access token or a refresh token. If the token is an access token and it has a corresponding refresh token, the refresh token will also be revoked.

    If the revocation is successfully processed, then the HTTP status code of the response is 200 . For error conditions, an HTTP status code 400 is returned along with an error code.