本文說明如何實作 OAuth 2.0 授權,以便透過 JavaScript 網頁應用程式存取 Google API。OAuth 2.0 可讓使用者與應用程式共用特定資料,同時保有使用者名稱、密碼和其他資訊的隱私。舉例來說,應用程式可透過 OAuth 2.0 取得使用者授權,以便在 Google 雲端硬碟中儲存檔案。
這個 OAuth 2.0 流程稱為隱含授權流程。唯有在使用者處於應用程式狀態時,才能存取 API 的應用程式。這些應用程式無法儲存機密資訊。
在這個流程中,您的應用程式會開啟一個 Google 網址,該網址會使用查詢參數來識別應用程式,以及應用程式需要的 API 存取權類型。您可以在目前的瀏覽器視窗或彈出式視窗中開啟網址。使用者可以透過 Google 進行驗證,並授予要求的權限。Google 然後將使用者重新導向至應用程式。重新導向內含存取權杖,您的應用程式會進行驗證,然後利用權杖發出 API 要求。
Google API 用戶端程式庫和 Google Identity 服務
如果您使用 Google API JavaScript 專用用戶端程式庫對 Google 發出授權呼叫,則應使用 Google Identity 服務 JavaScript 程式庫來處理 OAuth 2.0 流程。請參閱以 OAuth 2.0 隱含授權流程為基礎的 Google 身分識別服務的權杖模型。
必要條件
為專案啟用 API
凡是呼叫 Google API 的應用程式,都必須在 API Console中啟用這些 API。
如要為專案啟用 API,請按照下列步驟操作:
- Open the API Library (位於 Google API Console中)。
- If prompted, select a project, or create a new one.
- API Library 會列出所有可用的 API,並按照產品系列和熱門程度分組。如果清單裡找不到您想啟用的 API,請用搜尋功能尋找,或按一下所屬產品系列中的「查看全部」。
- 選取要啟用的 API,然後按一下「Enable」按鈕。
- If prompted, enable billing.
- If prompted, read and accept the API's Terms of Service.
建立授權憑證
凡是使用 OAuth 2.0 存取 Google API 的應用程式,都必須具備可讓 Google 的 OAuth 2.0 伺服器識別應用程式的授權憑證。下列步驟說明如何為專案建立憑證,如此一來,您的應用程式就能使用憑證,存取您為該專案啟用的 API。
- Go to the Credentials page.
- 按一下 [Create credentials] (建立憑證) > [OAuth client ID] (OAuth 用戶端 ID)。
- 選取「Web application」(網頁應用程式) 應用程式類型。
- 完整填寫表單。使用 JavaScript 提出已授權 Google API 要求的應用程式,必須指定已授權的 JavaScript 來源。來源識別應用程式可將要求傳送至 OAuth 2.0 伺服器的網域。這些來源必須遵守 Google 的驗證規則。
識別存取權範圍
範圍可讓應用程式僅要求存取所需資源,同時讓使用者控制對應用程式授予的存取權量。因此,要求的範圍數量和獲得使用者同意聲明的可能性可能會有反思。
開始實作 OAuth 2.0 授權前,建議您先找出應用程式需要存取的範圍。
OAuth 2.0 API 範圍文件包含可用於存取 Google API 的完整範圍清單。
取得 OAuth 2.0 存取權杖
下列步驟顯示您的應用程式如何與 Google 的 OAuth 2.0 伺服器互動,取得使用者的同意,以便代表使用者執行 API 要求。您的應用程式必須取得同意,才能執行需要使用者授權的 Google API 要求。
步驟 1:重新導向至 Google 的 OAuth 2.0 伺服器
若要要求存取使用者資料的權限,請將使用者重新導向至 Google 的 OAuth 2.0 伺服器。
OAuth 2.0 端點
產生網址以要求 https://accounts.google.com/o/oauth2/v2/auth 的 Google OAuth 2.0 端點存取權。這個端點可透過 HTTPS 存取,系統會拒絕純 HTTP 連線。
Google 授權伺服器支援網路伺服器應用程式的下列查詢字串參數:
| 參數 | |||||||
|---|---|---|---|---|---|---|---|
client_id |
必要
應用程式的用戶端 ID。您可以在 API Console Credentials page中找到這個值。 |
||||||
redirect_uri |
必要 決定使用者完成授權流程後,API 伺服器會將使用者重新導向的位置。這個值必須與您在用戶端的 API Console
Credentials page中設定的 OAuth 2.0 用戶端授權重新導向 URI 完全相符。如果這個值與所提供 請注意, |
||||||
response_type |
必要 JavaScript 應用程式必須將參數值設為 |
||||||
scope |
必要
以空格分隔的範圍清單,用於識別應用程式可代表使用者存取的資源。這些值會指示 Google 向使用者顯示的同意畫面。 範圍可讓應用程式僅要求存取所需資源,同時讓使用者控制對應用程式授予的存取權量。因此,要求的範圍數量與獲得使用者同意聲明的可能性之間存在相反關係。 我們建議您讓應用程式盡可能在相關情境中要求授權範圍。透過增量授權,在使用情境中要求存取使用者資料,可協助您協助使用者輕鬆瞭解應用程式需要存取權的原因。 |
||||||
state |
建議
指定應用程式用來維持授權要求和授權伺服器回應之間狀態的任何字串值。在使用者同意或拒絕應用程式的存取要求後,伺服器會在 您可以將這個參數用於許多用途,例如將使用者導向應用程式中的正確資源、傳送 Nonce,以及減少跨網站要求。由於 |
||||||
include_granted_scopes |
選填
可讓應用程式使用漸進式授權,在相關情境中要求存取其他範圍。如果您將此參數值設為 |
||||||
enable_granular_consent |
選填
預設為 |
||||||
login_hint |
選填
如果應用程式知道要驗證的使用者為何,可以使用這項參數向 Google 驗證伺服器提供提示。伺服器會根據提示,在登入表單中預先填入電子郵件欄位,或選取適當的多登入工作階段,藉此簡化登入流程。 將參數值設為電子郵件地址或 |
||||||
prompt |
選填
以空格分隔且區分大小寫的提示清單如未指定這個參數,則只有在專案首次要求存取權時,系統才會提示使用者。詳情請參閱「 提示重新同意聲明」一節。 可能的值為:
|
||||||
Google 授權伺服器的範例重新導向
網址範例如下:為了方便閱讀,網址含有換行符號和空格。
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly& include_granted_scopes=true& response_type=token& state=state_parameter_passthrough_value& redirect_uri=https%3A//oauth2.example.com/code& client_id=client_id
建立要求網址後,請將使用者重新導向至該網址。
JavaScript 程式碼範例
下列 JavaScript 程式碼片段說明如何在不使用 JavaScript 的 Google API 用戶端程式庫的情況下,以 JavaScript 啟動授權流程。這個 OAuth 2.0 端點不支援跨源資源共享 (CORS),因此程式碼片段會建立表單來開啟該端點的要求。
/*
* Create form to request access token from Google's OAuth 2.0 server.
*/
function oauthSignIn() {
// Google's OAuth 2.0 endpoint for requesting an access token
var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';
// Create <form> element to submit parameters to OAuth 2.0 endpoint.
var form = document.createElement('form');
form.setAttribute('method', 'GET'); // Send as a GET request.
form.setAttribute('action', oauth2Endpoint);
// Parameters to pass to OAuth 2.0 endpoint.
var params = {'client_id': 'YOUR_CLIENT_ID',
'redirect_uri': 'YOUR_REDIRECT_URI',
'response_type': 'token',
'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
'include_granted_scopes': 'true',
'state': 'pass-through value'};
// Add form parameters as hidden input values.
for (var p in params) {
var input = document.createElement('input');
input.setAttribute('type', 'hidden');
input.setAttribute('name', p);
input.setAttribute('value', params[p]);
form.appendChild(input);
}
// Add form to page and submit it to open the OAuth 2.0 endpoint.
document.body.appendChild(form);
form.submit();
}
步驟 2:Google 提示使用者同意
在這個步驟中,使用者可決定是否授予應用程式所要求的存取權。在這個階段中,Google 會顯示同意視窗,當中會顯示您的應用程式名稱,以及應用程式要求透過使用者的授權憑證存取存取權的 Google API 服務,以及要授予的存取權範圍摘要。接著,使用者便可同意授予應用程式要求的一或多個範圍的存取權,或是拒絕要求。
由於應用程式會等待 Google OAuth 2.0 伺服器的回應來指出是否已授予任何存取權,因此在這個階段,應用程式不需要採取任何行動。系統會在下列步驟中說明該回應。
錯誤
向 Google 的 OAuth 2.0 授權端點發出的要求可能會顯示面向使用者的錯誤訊息,而不是預期的驗證和授權流程。以下列出常見的錯誤代碼和建議解決方法。
admin_policy_enforced
Google 帳戶因 Google Workspace 管理員的政策限制,而無法授權一或多個要求的範圍。請參閱 Google Workspace 管理員說明文章「 控管哪些第三方應用程式和內部應用程式可存取 Google Workspace 資料」,進一步瞭解在未明確授予 OAuth 用戶端 ID 存取權之前,管理員可如何限制所有範圍、敏感和受限制範圍的存取權。
disallowed_useragent
授權端點會顯示在 Google 的 OAuth 2.0 政策不允許的內嵌使用者代理程式中。
Android
Android 開發人員在 android.webkit.WebView 中開啟授權要求時,可能會看見這則錯誤訊息。
開發人員應改用 Android 程式庫,例如 Android 版 Google 登入或 OpenID Foundation 的 Android 版 AppAuth。
當 Android 應用程式在內嵌的使用者代理程式中開啟一般網頁連結,而且使用者從您的網站前往 Google 的 OAuth 2.0 授權端點時,網頁開發人員就可能遇到這個錯誤。開發人員應允許在作業系統的預設連結處理常式 (包括 Android 應用程式連結處理常式或預設的瀏覽器應用程式) 中開啟一般連結。此外,系統也支援 Android Custom Tabs 程式庫。
iOS
iOS 和 macOS 開發人員在 WKWebView 中開啟授權要求時,可能會遇到這個錯誤。開發人員應改用 iOS 程式庫,例如 iOS 適用的 Google 登入或 OpenID Foundation 的 iOS 適用的 AppAuth。
當 iOS 或 macOS 應用程式在內嵌的使用者代理程式中開啟一般網頁連結,而且使用者從您的網站前往 Google 的 OAuth 2.0 授權端點時,就可能會遇到這個錯誤。開發人員應允許在作業系統的預設連結處理常式 (包括通用連結處理常式或預設的瀏覽器應用程式) 中開啟一般連結。此外,系統也支援 SFSafariViewController 程式庫。
org_internal
要求中的 OAuth 用戶端 ID 屬於一項專案,用於限制特定 Google Cloud 機構中的 Google 帳戶存取權。如要進一步瞭解這個設定選項,請參閱「設定 OAuth 同意畫面」說明文章中的「使用者類型」一節。
invalid_client
提出要求的來源並未獲得此用戶端的授權。詳情請參閱 origin_mismatch。
invalid_grant
使用增量授權時,權杖可能已過期或已失效。重新驗證使用者,並要求使用者同意取得新權杖。如果您持續看到這個錯誤,請確認您的應用程式設定正確無誤,而且您在要求中使用了正確的權杖和參數。否則,使用者帳戶可能已遭刪除或停用。
origin_mismatch
產生授權要求的 JavaScript 配置、網域和/或通訊埠,可能與為 OAuth 用戶端 ID 註冊的授權 JavaScript 來源 URI 不符。請查看 Google API Console Credentials page中已授權的 JavaScript 來源。
redirect_uri_mismatch
授權要求中傳遞的 redirect_uri 與 OAuth 用戶端 ID 的授權重新導向 URI 不符。請查看 Google API Console Credentials page中已授權的重新導向 URI。
產生授權要求的 JavaScript 配置、網域和/或通訊埠,可能與為 OAuth 用戶端 ID 註冊的授權 JavaScript 來源 URI 不符。請查看 Google API Console Credentials page中已授權的 JavaScript 來源。
redirect_uri 參數可能參照的 OAuth 外部 (OOB) 流程已淘汰,我們不再支援。請參閱遷移指南來更新整合作業。
invalid_request
您提交的要求出現錯誤。可能的原因如下:
- 要求的格式有誤
- 要求缺少必要參數
- 要求使用了 Google 不支援的授權方法。確認 OAuth 整合功能採用建議的整合方法
步驟 3:處理 OAuth 2.0 伺服器回應
OAuth 2.0 端點
OAuth 2.0 伺服器會將回應傳送至您在存取權杖要求中指定的 redirect_uri。
如果使用者核准要求,回應內就會提供存取權杖。如果使用者並未核准要求,回應內便會提供錯誤訊息。系統會在重新導向 URI 的雜湊片段上傳回存取權杖或錯誤訊息,如下所示:
存取權杖回應:
https://oauth2.example.com/callback#access_token=4/P7q7W91&token_type=Bearer&expires_in=3600
除了
access_token參數外,片段字串也包含一律設為Bearer的token_type參數,以及用於指定權杖生命週期的expires_in參數 (以秒為單位)。如果在存取權杖要求中指定state參數,該參數的值也會包含在回應中。- 錯誤回應:
https://oauth2.example.com/callback#error=access_denied
OAuth 2.0 伺服器回應範例
您可以點選下列範例網址來測試這個流程,這會要求取得 Google 雲端硬碟中檔案中繼資料的唯讀存取權:
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly& include_granted_scopes=true& response_type=token& state=state_parameter_passthrough_value& redirect_uri=https%3A//oauth2.example.com/code& client_id=client_id
完成 OAuth 2.0 流程後,系統會將您重新導向至 http://localhost/oauth2callback。除非本機電腦發生位於該網址的檔案,否則這個網址會產生 404 NOT FOUND 錯誤。下一步會提供更詳細的資訊,說明當使用者被重新導向回應用程式時,URI 傳回的資訊。
呼叫 Google API
OAuth 2.0 端點
應用程式取得存取權杖後,如果已授予 API 所需的存取權範圍,您可以使用權杖代表指定使用者帳戶呼叫 Google API。方法是加入 access_token 查詢參數或 Authorization HTTP 標頭 Bearer 值,將存取權杖加入 API 要求中。可以的話,建議您使用 HTTP 標頭,因為查詢字串通常會顯示在伺服器記錄中。在大多數情況下,您可以使用用戶端程式庫設定對 Google API 的呼叫 (例如在呼叫 Drive Files API 時)。
您可以在 OAuth 2.0 Playground 中試用所有 Google API 並查看其範圍。
HTTP GET 範例
使用 Authorization: Bearer HTTP 標頭呼叫
drive.files 端點 (Drive Files API) 時可能如下所示。請注意,您必須指定自己的存取權杖:
GET /drive/v2/files HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
以下說明如何使用 access_token 查詢字串參數,對已驗證的使用者呼叫同一個 API:
GET https://www.googleapis.com/drive/v2/files?access_token=access_token
curl 範例
您可以使用 curl 指令列應用程式測試這些指令。以下為使用 HTTP 標頭選項的範例 (建議選項):
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files
或者,您也可以使用查詢字串參數選項:
curl https://www.googleapis.com/drive/v2/files?access_token=access_token
JavaScript 程式碼範例
下列程式碼片段示範如何使用 CORS (跨來源資源共享) 傳送要求至 Google API。本範例並未使用 Google API JavaScript 專用用戶端程式庫。不過,即使您並未使用用戶端程式庫,該程式庫說明文件中的 CORS 支援指南可能有助於您進一步瞭解這些要求。
在這個程式碼片段中,access_token 變數代表您取得的權杖,可代表授權使用者提出 API 要求。完整範例示範如何將該符記儲存在瀏覽器的本機儲存空間中,並在提出 API 要求時擷取該符記。
var xhr = new XMLHttpRequest();
xhr.open('GET',
'https://www.googleapis.com/drive/v3/about?fields=user&' +
'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
console.log(xhr.response);
};
xhr.send(null);
完整範例
OAuth 2.0 端點
這個程式碼範例示範如何在不使用 JavaScript 的 Google API 用戶端程式庫的情況下,以 JavaScript 完成 OAuth 2.0 流程。此程式碼適用於會顯示按鈕試用 API 要求的 HTML 網頁。點選按鈕後,程式碼會檢查網頁是否已在瀏覽器的本機儲存空間中儲存 API 存取權杖。如果是,程式碼就會執行 API 要求。否則,將會啟動 OAuth 2.0 流程。
針對 OAuth 2.0 流程,頁面會按照下列步驟進行:
- 這會將使用者導向 Google 的 OAuth 2.0 伺服器,後者要求存取
https://www.googleapis.com/auth/drive.metadata.readonly範圍。 - 授予 (或拒絕) 一或多個要求範圍的存取權後,系統會將使用者重新導向至原始頁面,以便剖析片段 ID 字串中的存取權杖。
這個頁面會使用存取權杖發出範例 API 要求。
API 要求會呼叫 Drive API 的
about.get方法,以擷取授權使用者 Google 雲端硬碟帳戶的相關資訊。- 如果要求成功執行,API 回應會記錄在瀏覽器的偵錯主控台中。
您可以透過 Google 帳戶的權限頁面,撤銷應用程式的存取權。該應用程式將會列為 Google API 文件 OAuth 2.0 示範。
如要在本機執行這段程式碼,您必須設定與授權憑證對應的 YOUR_CLIENT_ID 和 YOUR_REDIRECT_URI 變數值。YOUR_REDIRECT_URI 變數應設為提供網頁的網址。這個值必須與您在 API Console Credentials page中設定的 OAuth 2.0 用戶端授權重新導向 URI 完全相符。如果這個值與已授權的 URI 不符,您會收到 redirect_uri_mismatch 錯誤。您的專案也必須針對這項要求啟用適當的 API。
<html><head></head><body>
<script>
var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';
var fragmentString = location.hash.substring(1);
// Parse query string to see if page request is coming from OAuth 2.0 server.
var params = {};
var regex = /([^&=]+)=([^&]*)/g, m;
while (m = regex.exec(fragmentString)) {
params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
}
if (Object.keys(params).length > 0) {
localStorage.setItem('oauth2-test-params', JSON.stringify(params) );
if (params['state'] && params['state'] == 'try_sample_request') {
trySampleRequest();
}
}
// If there's an access token, try an API request.
// Otherwise, start OAuth 2.0 flow.
function trySampleRequest() {
var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
if (params && params['access_token']) {
var xhr = new XMLHttpRequest();
xhr.open('GET',
'https://www.googleapis.com/drive/v3/about?fields=user&' +
'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
if (xhr.readyState === 4 && xhr.status === 200) {
console.log(xhr.response);
} else if (xhr.readyState === 4 && xhr.status === 401) {
// Token invalid, so prompt for user permission.
oauth2SignIn();
}
};
xhr.send(null);
} else {
oauth2SignIn();
}
}
/*
* Create form to request access token from Google's OAuth 2.0 server.
*/
function oauth2SignIn() {
// Google's OAuth 2.0 endpoint for requesting an access token
var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';
// Create element to open OAuth 2.0 endpoint in new window.
var form = document.createElement('form');
form.setAttribute('method', 'GET'); // Send as a GET request.
form.setAttribute('action', oauth2Endpoint);
// Parameters to pass to OAuth 2.0 endpoint.
var params = {'client_id': YOUR_CLIENT_ID,
'redirect_uri': YOUR_REDIRECT_URI,
'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
'state': 'try_sample_request',
'include_granted_scopes': 'true',
'response_type': 'token'};
// Add form parameters as hidden input values.
for (var p in params) {
var input = document.createElement('input');
input.setAttribute('type', 'hidden');
input.setAttribute('name', p);
input.setAttribute('value', params[p]);
form.appendChild(input);
}
// Add form to page and submit it to open the OAuth 2.0 endpoint.
document.body.appendChild(form);
form.submit();
}
</script>
<button onclick="trySampleRequest();">Try sample request</button>
</body></html>
JavaScript 來源驗證規則
Google 會為 JavaScript 來源套用下列驗證規則,藉此確保開發人員的應用程式安全無虞。您的 JavaScript 來源必須遵循這些規則。如需網域、主機和配置的定義,請參閱 RFC 3986 第 3 節。
| 驗證規則 | |
|---|---|
| 配置 |
JavaScript 來源必須使用 HTTPS 配置,而非純 HTTP。本機主機 URI (包括 localhost IP 位址 URI) 不受這項規則約束。 |
| 主機 |
主機不得為原始 IP 位址。本機主機 IP 位址不受這項規則的限制。 |
| 網域 |
“googleusercontent.com”。goo.gl),除非應用程式擁有網域。 |
| 使用者資訊 |
JavaScript 來源不得包含 userinfo 子元件。 |
| 路徑 |
JavaScript 來源不得包含路徑元件。 |
| 查詢 |
JavaScript 來源不得包含查詢元件。 |
| Fragment |
JavaScript 來源不得包含片段元件。 |
| 字元 |
JavaScript 來源不得包含某些字元,包括:
|
增量授權
在 OAuth 2.0 通訊協定中,應用程式會要求存取資源的權限 (依範圍識別)。在需要資源時,您可以為使用者要求授權,這是最佳的使用者體驗。為此,Google 的授權伺服器支援漸進式授權。這項功能可讓您視需要要求範圍。如果使用者授予新範圍的權限,系統會傳回授權碼。該授權碼可能會交換包含使用者授予專案的所有範圍的權杖。
舉例來說,如果應用程式可讓使用者取樣音樂曲目並建立合輯,在登入時可能只需要少數資源,而這可能不只是登入者的姓名。不過,儲存完成的合輯需要存取 Google 雲端硬碟。不過,如果大多數使用者在實際需要 Google 雲端硬碟時,要求存取 Google 雲端硬碟就很自然。
在此情況下,應用程式可能會在登入時要求 openid 和 profile 範圍來執行基本登入作業,然後在第一次要求儲存組合時要求 https://www.googleapis.com/auth/drive.file 範圍。
以下規則適用於透過增量授權取得的存取權杖:
- 權杖可用來存取與任何納入新合併授權的範圍相對應的資源。
- 使用更新權杖進行合併授權來取得存取權杖時,存取權杖代表合併授權,且可用於回應中的任何
scope值。 - 合併授權包含使用者授予 API 專案的所有範圍,即使相關授權是來自不同的用戶端也一樣。例如,如果使用者透過應用程式的電腦版用戶端授予某個範圍的存取權,然後透過行動用戶端授予另一個範圍的存取權,則合併授權會同時包含這兩個範圍。
- 如果您撤銷代表合併授權的權杖,則代表關聯使用者存取該授權範圍的所有存取權也會同時撤銷。
透過下列程式碼範例,您可以將範圍新增至現有的存取權杖。如此一來,您的應用程式就不必管理多個存取權杖。
OAuth 2.0 端點
如要新增範圍至現有的存取權杖,請在對 Google 的 OAuth 2.0 伺服器的要求中加入 include_granted_scopes 參數。
以下程式碼片段示範如何執行這項作業。程式碼片段假設您已儲存存取權杖在瀏覽器本機儲存空間中的有效範圍。(完整範例程式碼會儲存存取權杖的有效範圍清單,方法是在瀏覽器的本機儲存空間中設定 oauth2-test-params.scope 屬性)。
程式碼片段會比較存取權杖的有效範圍與特定查詢要使用的範圍。如果存取權杖未涵蓋該範圍,OAuth 2.0 流程就會啟動。此處的 oauth2SignIn 函式與步驟 2 中提供的函式相同 (稍後會在完整範例中提供)。
var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly';
var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
var current_scope_granted = false;
if (params.hasOwnProperty('scope')) {
var scopes = params['scope'].split(' ');
for (var s = 0; s < scopes.length; s++) {
if (SCOPE == scopes[s]) {
current_scope_granted = true;
}
}
}
if (!current_scope_granted) {
oauth2SignIn(); // This function is defined elsewhere in this document.
} else {
// Since you already have access, you can proceed with the API request.
}
撤銷權杖
在某些情況下,使用者可能會想撤銷應用程式的存取權。使用者可以前往「 帳戶設定」撤銷存取權。詳情請參閱「移除具有您帳戶存取權的第三方網站和應用程式」一節支援文件。
應用程式也可以透過程式輔助方式撤銷授予的權限。假如使用者取消訂閱、移除應用程式,或應用程式所需的 API 資源有大幅變動,那麼程式輔助撤銷就十分重要。也就是說,移除程序的一部分可以包含 API 要求,確保先前授予應用程式的權限已移除。
OAuth 2.0 端點
如要透過程式輔助方式撤銷權杖,應用程式會向 https://oauth2.googleapis.com/revoke 發出要求,並加入權杖做為參數:
curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
https://oauth2.googleapis.com/revoke?token={token}
權杖可以是存取權杖或更新權杖。如果權杖是存取權杖,且有對應的更新權杖,系統就會撤銷更新權杖。
如果撤銷成功,回應的 HTTP 狀態碼為 200。如果是錯誤狀況,系統會傳回 HTTP 狀態碼 400 和錯誤代碼。
下列 JavaScript 程式碼片段顯示如何在不使用 JavaScript 的 Google API 用戶端程式庫的情況下,以 JavaScript 撤銷權杖。由於 Google 用於撤銷權杖的 OAuth 2.0 端點不支援跨源資源共享 (CORS),因此程式碼會建立表單,並將表單提交至端點,而不是使用 XMLHttpRequest() 方法發布要求。
function revokeAccess(accessToken) {
// Google's OAuth 2.0 endpoint for revoking access tokens.
var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke';
// Create <form> element to use to POST data to the OAuth 2.0 endpoint.
var form = document.createElement('form');
form.setAttribute('method', 'post');
form.setAttribute('action', revokeTokenEndpoint);
// Add access token to the form so it is set as value of 'token' parameter.
// This corresponds to the sample curl request, where the URL is:
// https://oauth2.googleapis.com/revoke?token={token}
var tokenField = document.createElement('input');
tokenField.setAttribute('type', 'hidden');
tokenField.setAttribute('name', 'token');
tokenField.setAttribute('value', accessToken);
form.appendChild(tokenField);
// Add form to page and submit it to actually revoke the token.
document.body.appendChild(form);
form.submit();
}