JavaScript वेब ऐप्लिकेशन के लिए, OAuth 2.0 का इस्तेमाल करना

OAuth 2.0 एंडपॉइंट

Google के OAuth 2.0 एंडपॉइंट से ऐक्सेस का अनुरोध करने के लिए, यहां एक यूआरएल जनरेट करें https://accounts.google.com/o/oauth2/v2/auth. इस एंडपॉइंट को एचटीटीपीएस से ऐक्सेस किया जा सकता है; सामान्य एचटीटीपी कनेक्शन अस्वीकार कर दिए गए हैं.

Google ऑथराइज़ेशन सर्वर, वेब के लिए इन क्वेरी स्ट्रिंग पैरामीटर के साथ काम करता है सर्वर ऐप्लिकेशन:

सैंपल के तौर पर, Google के ऑथराइज़ेशन सर्वर पर रीडायरेक्ट करने की सुविधा

नीचे दिया गया सैंपल यूआरएल ऑफ़लाइन ऐक्सेस का अनुरोध करता है (access_type=offline) उस स्कोप के लिए जो फिर से पाने के ऐक्सेस की अनुमति देता है उपयोगकर्ता की YouTube Analytics रिपोर्ट. यह इन कामों के लिए इंक्रीमेंटल ऑथराइज़ेशन का इस्तेमाल करता है पक्का करें कि नए ऐक्सेस टोकन में उपयोगकर्ता के हर दायरे को शामिल किया गया हो को पहले ऐप्लिकेशन का ऐक्सेस दिया था. URL redirect_uri, response_type, और वैल्यू देना ज़रूरी है client_id पैरामीटर और state के लिए पैरामीटर. यूआरएल में लाइन ब्रेक और स्पेस शामिल हों, ताकि उसे आसानी से पढ़ा जा सके.

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyt-analytics.readonly&
 include_granted_scopes=true&
 state=state_parameter_passthrough_value&
 redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback&
 response_type=token&
 client_id=client_id

अनुरोध यूआरएल बनाने के बाद, उपयोगकर्ता को उस पर रीडायरेक्ट करें.

JavaScript सैंपल कोड

नीचे दिया गया JavaScript स्निपेट यह बताता है कि पुष्टि करने की प्रोसेस कैसे शुरू की जाती है JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल किए बिना JavaScript. इस OAuth से 2.0 एंडपॉइंट क्रॉस-ऑरिजिन रिसॉर्स शेयरिंग (सीओआरएस) के साथ काम नहीं करता, इसलिए स्निपेट एक फ़ॉर्म, जो उस एंडपॉइंट पर अनुरोध खोलता है.

/*
 * Create form to request access token from Google's OAuth 2.0 server.
 */
function oauthSignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

  // Create <form> element to submit parameters to OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'GET'); // Send as a GET request.
  form.setAttribute('action', oauth2Endpoint);

  // Parameters to pass to OAuth 2.0 endpoint.
  var params = {'client_id': 'YOUR_CLIENT_ID',
                'redirect_uri': 'YOUR_REDIRECT_URI',
                'response_type': 'token',
                'scope': 'https://www.googleapis.com/auth/yt-analytics.readonly',
                'include_granted_scopes': 'true',
                'state': 'pass-through value'};

  // Add form parameters as hidden input values.
  for (var p in params) {
    var input = document.createElement('input');
    input.setAttribute('type', 'hidden');
    input.setAttribute('name', p);
    input.setAttribute('value', params[p]);
    form.appendChild(input);
  }

  // Add form to page and submit it to open the OAuth 2.0 endpoint.
  document.body.appendChild(form);
  form.submit();
}

OAuth 2.0 एंडपॉइंट

OAuth 2.0 सर्वर, आपकेredirect_uri ऐक्सेस टोकन के लिए अनुरोध किया गया है.

अगर उपयोगकर्ता अनुरोध को मंज़ूरी देता है, तो रिस्पॉन्स में ऐक्सेस टोकन शामिल होता है. अगर उपयोगकर्ता अनुरोध स्वीकार नहीं करता है, तो जवाब में एक गड़बड़ी का मैसेज है. ऐक्सेस टोकन या रीडायरेक्ट यूआरआई के हैश फ़्रैगमेंट पर गड़बड़ी का मैसेज दिखाता है, जैसा कि नीचे दिखाया गया है:

• ऐक्सेस टोकन रिस्पॉन्स:

  https://oauth2.example.com/callback#access_token=4/P7q7W91&token_type=Bearer&expires_in=3600

  access_token पैरामीटर के अलावा, फ़्रैगमेंट स्ट्रिंग भी इसमें token_type पैरामीटर होता है, जो हमेशा Bearer और expires_in पैरामीटर से पता चलता है कि टोकन का लाइफ़टाइम, सेकंड में. अगर state पैरामीटर दिया गया था तो इसकी वैल्यू भी ऐक्सेस टोकन के अनुरोध में शामिल होती है.

• गड़बड़ी का जवाब:

  https://oauth2.example.com/callback#error=access_denied

OAuth 2.0 सर्वर के रिस्पॉन्स का सैंपल

नीचे दिए गए सैंपल यूआरएल पर क्लिक करके, इस फ़्लो की जांच की जा सकती है. यह यूआरएल अपनी Google डिस्क में मौजूद फ़ाइलों का मेटाडेटा देखने के लिए रीड-ओनली ऐक्सेस:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyt-analytics.readonly&
 include_granted_scopes=true&
 state=state_parameter_passthrough_value&
 redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback&
 response_type=token&
 client_id=client_id

OAuth 2.0 फ़्लो पूरा करने के बाद, आपको http://localhost/oauth2callback. वह यूआरएल एक 404 NOT FOUND गड़बड़ी जब तक आपकी लोकल मशीन यहां पर फ़ाइल नहीं चला देती वह पता. अगले चरण में, यूआरआई, जब उपयोगकर्ता को आपके ऐप्लिकेशन पर वापस रीडायरेक्ट किया जाता है.

OAuth 2.0 एंडपॉइंट

जब आपके ऐप्लिकेशन को ऐक्सेस टोकन मिल जाता है, तब आपके पास इस टोकन का इस्तेमाल करके, Google को कॉल करने का विकल्प होता है किसी दिए गए प्रतिनिधि की ओर से API उपयोगकर्ता खाते के लिए. ऐसा करने के लिए, शामिल करें एपीआई को किए गए अनुरोध में access_token क्वेरी शामिल करके, ऐक्सेस टोकन पैरामीटर या Authorization एचटीटीपी हेडर Bearer वैल्यू. जब मुमकिन हो, एचटीटीपी हेडर को प्राथमिकता दी जाती है, क्योंकि सर्वर लॉग में क्वेरी स्ट्रिंग अक्सर दिखती हैं. ज़्यादातर मामलों में आप Google API पर अपने कॉल सेट अप करने के लिए क्लाइंट लाइब्रेरी का उपयोग कर सकते हैं (उदाहरण के लिए, YouTube Analytics API को कॉल करना).

ध्यान दें कि YouTube Analytics API, सेवा खाते के साथ काम नहीं करता फ़्लो. YouTube Reporting API, सिर्फ़ इनके लिए सेवा खातों के साथ काम करता है YouTube पर मौजूद कॉन्टेंट के ऐसे मालिक जो कई YouTube चैनलों के मालिक हैं और उन्हें मैनेज करते हैं, जैसे रिकॉर्ड लेबल और फ़िल्म स्टूडियो के तौर पर.

आप सभी Google API को आज़मा सकते हैं और यहां पर उनके दायरे देख सकते हैं OAuth 2.0 Playground.

एचटीटीपी जीईटी के उदाहरण

एक कॉल reports.query Authorization: Bearer एचटीटीपी का इस्तेमाल करके, एंडपॉइंट (YouTube Analytics API) का इस्तेमाल करना हेडर ऐसा दिख सकता है. ध्यान दें कि आपको अपना ऐक्सेस टोकन बताना होगा:

GET /youtube/analytics/v1/reports?ids=channel%3D%3DMINE&start-date=2016-05-01&end-date=2016-06-30&metrics=views HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

यहां access_token का इस्तेमाल करके, पुष्टि किए गए उपयोगकर्ता के लिए उसी एपीआई को कॉल किया गया है क्वेरी स्ट्रिंग पैरामीटर:

GET https://www.googleapis.com/youtube/analytics/v1/reports?access_token=access_token&ids=channel%3D%3DMINE&start-date=2016-05-01&end-date=2016-06-30&metrics=views

curl के उदाहरण

curl कमांड-लाइन ऐप्लिकेशन का इस्तेमाल करके, इन कमांड की जांच की जा सकती है. यह रही उदाहरण के लिए, जो एचटीटीपी हेडर विकल्प का इस्तेमाल करता है (प्राथमिकता दी जाती है):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/youtube/analytics/v1/reports?ids=channel%3D%3DMINE&start-date=2016-05-01&end-date=2016-06-30&metrics=views

इसके अलावा, क्वेरी स्ट्रिंग पैरामीटर विकल्प:

curl https://www.googleapis.com/youtube/analytics/v1/reports?access_token=access_token&ids=channel%3D%3DMINE&start-date=2016-05-01&end-date=2016-06-30&metrics=views

JavaScript सैंपल कोड

नीचे दिया गया कोड स्निपेट, सीओआरएस (क्रॉस-ऑरिजिन रिसॉर्स शेयरिंग) का इस्तेमाल करके किसी Google API को अनुरोध भेज सकते हैं. इस उदाहरण में, JavaScript के लिए Google API क्लाइंट लाइब्रेरी का इस्तेमाल नहीं किया गया है. हालांकि, अगर क्लाइंट लाइब्रेरी का इस्तेमाल नहीं किया जा रहा है, तो लाइब्रेरी के दस्तावेज़ में दी गई सीओआरएस सहायता गाइड से आपको काफ़ी मदद मिल सकती है ताकि हम इन अनुरोधों को बेहतर ढंग से समझ सकें.

इस कोड स्निपेट में, access_token वैरिएबल उस टोकन को दिखाता है जो आपके पास है अनुमति वाले उपयोगकर्ता की ओर से एपीआई अनुरोध करने के लिए मिले. पूरा उदाहरण में बताया गया है कि उस टोकन को ब्राउज़र के लोकल स्टोरेज में कैसे सेव किया जाता है और उसे कैसे वापस पाया जाता है इसकी जानकारी मिलती है.

var xhr = new XMLHttpRequest();
xhr.open('GET',
    'https://www.googleapis.com/youtube/analytics/v1/reports?ids=channel%3D%3DMINE&start-date=2016-05-01&end-date=2016-06-30&metrics=views&' +
    'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
  console.log(xhr.response);
};
xhr.send(null);

OAuth 2.0 एंडपॉइंट

यह कोड सैंपल, JavaScript में OAuth 2.0 फ़्लो को पूरा करने का तरीका बताता है. ऐसा करने के लिए, JavaScript के लिए Google API क्लाइंट लाइब्रेरी. यह कोड ऐसे एचटीएमएल पेज के लिए है जो एपीआई अनुरोध की कोशिश करें. जब आप बटन पर क्लिक करते हैं, तो कोड जांच करके यह देखता है कि पृष्ठ ने आपके ब्राउज़र के लोकल स्टोरेज में मौजूद एपीआई ऐक्सेस टोकन. अगर ऐसा है, तो यह एपीआई अनुरोध को लागू करता है. या फिर, तो यह OAuth 2.0 फ़्लो शुरू कर देता है.

OAuth 2.0 फ़्लो के लिए, पेज पर यह तरीका अपनाएं:

1. यह उपयोगकर्ता को Google के OAuth 2.0 सर्वर पर ले जाता है, जो https://www.googleapis.com/auth/yt-analytics.readonly दायरा.
2. अनुरोध किए गए एक या उससे ज़्यादा दायरों का ऐक्सेस देने या अस्वीकार करने के बाद, उपयोगकर्ता को यहां रीडायरेक्ट किया जाता है ओरिजनल पेज, जो फ़्रैगमेंट आइडेंटिफ़ायर स्ट्रिंग से ऐक्सेस टोकन को पार्स करता है.

3. यह पेज, एपीआई अनुरोध का सैंपल देने के लिए, ऐक्सेस टोकन का इस्तेमाल करता है.

   एपीआई का यह अनुरोध, YouTube Analytics API के reports.query को कॉल करता है का उपयोग करें.

4. अगर अनुरोध सही तरीके से लागू होता है, तो ब्राउज़र के डीबगिंग पेज में एपीआई की जांच लॉग की जाती है कंसोल.

ऐप्लिकेशन का ऐक्सेस वापस लेने के लिए, यहां जाएं: आपके लिए अनुमतियां पेज Google खाता. ऐप्लिकेशन को Google API दस्तावेज़ के लिए OAuth 2.0 डेमो के तौर पर सूची में दिखाया जाएगा.

इस कोड को स्थानीय तौर पर चलाने के लिए, आपको YOUR_CLIENT_ID और YOUR_REDIRECT_URI आपके वैरिएबल से संबंधित वैरिएबल अनुमति देने के क्रेडेंशियल. YOUR_REDIRECT_URI वैरिएबल उसी यूआरएल पर सेट होना चाहिए जहां पेज दिखाया जा रहा है. वैल्यू इनमें से किसी एक से पूरी तरह मैच होनी चाहिए OAuth 2.0 क्लाइंट के लिए, अनुमति वाले रीडायरेक्ट यूआरआई, जिन्हें आपने API Console पर बताया गया हैCredentials page. अगर आपने यह मान किसी अधिकृत यूआरआई से मेल नहीं खाता, आपको एक redirect_uri_mismatch मिलेगा गड़बड़ी. आपके प्रोजेक्ट में यह भी होना चाहिए सही एपीआई चालू किया.

<html><head></head><body>
<script>
  var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
  var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';

  // Parse query string to see if page request is coming from OAuth 2.0 server.
  var fragmentString = location.hash.substring(1);
  var params = {};
  var regex = /([^&=]+)=([^&]*)/g, m;
  while (m = regex.exec(fragmentString)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }
  if (Object.keys(params).length > 0 && params['state']) {
    if (params['state'] == localStorage.getItem('state')) {
      localStorage.setItem('oauth2-test-params', JSON.stringify(params) );

      trySampleRequest();
    } else {
      console.log('State mismatch. Possible CSRF attack');
    }
  }

  // Function to generate a random state value
  function generateCryptoRandomState() {
    const randomValues = new Uint32Array(2);
    window.crypto.getRandomValues(randomValues);

    // Encode as UTF-8
    const utf8Encoder = new TextEncoder();
    const utf8Array = utf8Encoder.encode(
      String.fromCharCode.apply(null, randomValues)
    );

    // Base64 encode the UTF-8 data
    return btoa(String.fromCharCode.apply(null, utf8Array))
      .replace(/\+/g, '-')
      .replace(/\//g, '_')
      .replace(/=+$/, '');
  }

  // If there's an access token, try an API request.
  // Otherwise, start OAuth 2.0 flow.
  function trySampleRequest() {
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    if (params && params['access_token']) {
      var xhr = new XMLHttpRequest();
      xhr.open('GET',
          'https://www.googleapis.com/youtube/analytics/v1/reports?ids=channel%3D%3DMINE&start-date=2016-05-01&end-date=2016-06-30&metrics=views&' +
          'access_token=' + params['access_token']);
      xhr.onreadystatechange = function (e) {
        if (xhr.readyState === 4 && xhr.status === 200) {
          console.log(xhr.response);
        } else if (xhr.readyState === 4 && xhr.status === 401) {
          // Token invalid, so prompt for user permission.
          oauth2SignIn();
        }
      };
      xhr.send(null);
    } else {
      oauth2SignIn();
    }
  }

  /*
   * Create form to request access token from Google's OAuth 2.0 server.
   */
  function oauth2SignIn() {
    // create random state value and store in local storage
    var state = generateCryptoRandomState();
    localStorage.setItem('state', state);

    // Google's OAuth 2.0 endpoint for requesting an access token
    var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

    // Create element to open OAuth 2.0 endpoint in new window.
    var form = document.createElement('form');
    form.setAttribute('method', 'GET'); // Send as a GET request.
    form.setAttribute('action', oauth2Endpoint);

    // Parameters to pass to OAuth 2.0 endpoint.
    var params = {'client_id': YOUR_CLIENT_ID,
                  'redirect_uri': YOUR_REDIRECT_URI,
                  'scope': 'https://www.googleapis.com/auth/yt-analytics.readonly',
                  'state': state,
                  'include_granted_scopes': 'true',
                  'response_type': 'token'};

    // Add form parameters as hidden input values.
    for (var p in params) {
      var input = document.createElement('input');
      input.setAttribute('type', 'hidden');
      input.setAttribute('name', p);
      input.setAttribute('value', params[p]);
      form.appendChild(input);
    }

    // Add form to page and submit it to open the OAuth 2.0 endpoint.
    document.body.appendChild(form);
    form.submit();
  }
</script>

<button onclick="trySampleRequest();">Try sample request</button>
</body></html>

OAuth 2.0 एंडपॉइंट

इस उदाहरण में, कॉल करने वाला ऐप्लिकेशन, YouTube Analytics में मौजूद, उपयोगकर्ता को मिलने वाले ऐक्सेस से जुड़ी जानकारी ने पहले ही एप् लिकेशन को अनुमति दे दी है.

किसी मौजूदा ऐक्सेस टोकन में स्कोप जोड़ने के लिए, include_granted_scopes शामिल करें पैरामीटर की जानकारी Google के OAuth 2.0 सर्वर से जुड़े अनुरोध में मिलेगी.

नीचे दिया गया कोड स्निपेट इसे करने का तरीका बताता है. स्निपेट मान लेता है कि आपने वे दायरे जिनके लिए आपका ऐक्सेस टोकन, ब्राउज़र की लोकल स्टोरेज में मान्य है. ( पूरा उदाहरण कोड, दायरों की एक सूची सेव करता है, जिसके लिए ऐक्सेस टोकन ब्राउज़र के लोकल में oauth2-test-params.scope प्रॉपर्टी को सेट करके मान्य है storage.)

स्निपेट उन दायरों की तुलना करता है जिनके लिए ऐक्सेस टोकन आपके काम के दायरे के साथ मान्य है डालें. अगर ऐक्सेस टोकन उस दायरे को कवर नहीं करता है, तो OAuth 2.0 फ़्लो शुरू हो जाता है. यहां oauth2SignIn फ़ंक्शन वही है जो इसमें दिया गया था चरण 2 (और जिसकी जानकारी बाद में पूर्ण उदाहरण के लिए).

var SCOPE = 'https://www.googleapis.com/auth/yt-analytics.readonly';
var params = JSON.parse(localStorage.getItem('oauth2-test-params'));

var current_scope_granted = false;
if (params.hasOwnProperty('scope')) {
  var scopes = params['scope'].split(' ');
  for (var s = 0; s < scopes.length; s++) {
    if (SCOPE == scopes[s]) {
      current_scope_granted = true;
    }
  }
}

if (!current_scope_granted) {
  oauth2SignIn(); // This function is defined elsewhere in this document.
} else {
  // Since you already have access, you can proceed with the API request.
}

OAuth 2.0 एंडपॉइंट

किसी टोकन को प्रोग्राम के हिसाब से रद्द करने के लिए, आपका ऐप्लिकेशन इसके लिए अनुरोध करता है https://oauth2.googleapis.com/revoke और इसमें पैरामीटर के तौर पर टोकन शामिल होता है:

curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
        https://oauth2.googleapis.com/revoke?token={token}

टोकन, ऐक्सेस टोकन या रीफ़्रेश टोकन हो सकता है. अगर टोकन एक ऐक्सेस टोकन है और उसमें प्रासंगिक रीफ़्रेश टोकन के रूप में, तो रीफ़्रेश टोकन को भी निरस्त कर दिया जाएगा.

अगर सहमति रद्द हो गई है, तो रिस्पॉन्स का एचटीटीपी स्टेटस कोड यह होगा 200. गड़बड़ी की स्थितियों के लिए, एक एचटीटीपी स्टेटस कोड 400 दिखाया जाता है डालें.

नीचे दिया गया JavaScript स्निपेट यह दिखाता है कि JavaScript के लिए Google API क्लाइंट लाइब्रेरी. निरस्त करने के लिए, Google के OAuth 2.0 एंडपॉइंट से टोकन, क्रॉस-ऑरिजिन रिसॉर्स शेयरिंग (सीओआरएस) के साथ काम नहीं करते. हालांकि, कोड एक फ़ॉर्म बनाता है और सबमिट करता है इस फ़ॉर्म को एंडपॉइंट पर पोस्ट करने के लिए, XMLHttpRequest() तरीके का इस्तेमाल करने के बजाय अनुरोध.

function revokeAccess(accessToken) {
  // Google's OAuth 2.0 endpoint for revoking access tokens.
  var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke';

  // Create <form> element to use to POST data to the OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'post');
  form.setAttribute('action', revokeTokenEndpoint);

  // Add access token to the form so it is set as value of 'token' parameter.
  // This corresponds to the sample curl request, where the URL is:
  //      https://oauth2.googleapis.com/revoke?token={token}
  var tokenField = document.createElement('input');
  tokenField.setAttribute('type', 'hidden');
  tokenField.setAttribute('name', 'token');
  tokenField.setAttribute('value', accessToken);
  form.appendChild(tokenField);

  // Add form to page and submit it to actually revoke the token.
  document.body.appendChild(form);
  form.submit();
}