概览
用途:本文档介绍了 Java 版 Google OAuth 客户端库提供的通用 OAuth 2.0 函数。您可以使用这些函数对任何互联网服务进行身份验证和授权。
如需了解如何使用 GoogleCredential 对 Google 服务执行 OAuth 2.0 授权,请参阅针对适用于 Java 的 Google API 客户端库使用 OAuth 2.0。
摘要:OAuth 2.0 是一项标准规范,可让最终用户安全地授权客户端应用访问受保护的服务器端资源。此外,OAuth 2.0 载荷令牌规范介绍了如何使用在最终用户授权流程中授予的访问令牌访问这些受保护资源。
如需了解详情,请参阅以下软件包的 Javadoc 文档:
- com.google.api.client.auth.oauth2(来自 google-oauth-client)
- com.google.api.client.extensions.servlet.auth.oauth2(来自 google-oauth-client-servlet)
- com.google.api.client.extensions.appengine.auth.oauth2 (from google-oauth-client-appengine)
客户端注册
在使用适用于 Java 的 Google OAuth 客户端库之前,您可能需要向授权服务器注册应用,以接收客户端 ID 和客户端密钥。(如需了解此过程的一般信息,请参阅客户端注册规范。)
凭据和凭据存储
Credential 是一个线程安全的 OAuth 2.0 辅助类,用于使用访问令牌访问受保护的资源。使用刷新令牌时,Credential 还会在访问令牌过期时使用刷新令牌刷新访问令牌。例如,如果您已经拥有访问令牌,则可以通过以下方式发出请求:
public static HttpResponse executeGet( HttpTransport transport, JsonFactory jsonFactory, String accessToken, GenericUrl url) throws IOException { Credential credential = new Credential(BearerToken.authorizationHeaderAccessMethod()).setAccessToken(accessToken); HttpRequestFactory requestFactory = transport.createRequestFactory(credential); return requestFactory.buildGetRequest(url).execute(); }
大多数应用都需要保留凭据的访问令牌和刷新令牌,以避免日后重定向到浏览器中的授权页面。此库中的 CredentialStore 实现已废弃,并将在未来的版本中移除。另一种方法是将 DataStoreFactory 和 DataStore 接口与 StoredCredential 结合使用,这些接口由 Java 版 Google HTTP 客户端库提供。
您可以使用库提供的以下实现之一:
- JdoDataStoreFactory 使用 JDO 保留凭据。
- AppEngineDataStoreFactory 使用 Google App Engine Data Store API 保留凭据。
- MemoryDataStoreFactory 会将凭据“持久化”到内存中,但这仅适用于在进程生命周期内作为短期存储空间。
- FileDataStoreFactory 会将凭据持久存储在文件中。
Google App Engine 用户:
AppEngineCredentialStore 已被弃用,并将被移除。
我们建议您将 AppEngineDataStoreFactory 与 StoredCredential 配合使用。如果您以旧方式存储凭据,则可以使用新增的辅助方法 migrateTo(AppEngineDataStoreFactory) 或 migrateTo(DataStore) 进行迁移。
使用 DataStoreCredentialRefreshListener,并使用 GoogleCredential.Builder.addRefreshListener(CredentialRefreshListener) 为凭据设置它。
授权代码流程
使用授权码流程可让最终用户向您的应用授予对其受保护数据的访问权限。此流程的协议在授权代码授权规范中指定。
此流程是使用 AuthorizationCodeFlow 实现的。具体步骤包括:
- 最终用户登录您的应用。您需要将该用户与应用专有的唯一用户 ID 相关联。
- 根据用户 ID 调用 AuthorizationCodeFlow.loadCredential(String),检查用户的凭据是否已知。如果是,则表示您已完成。
- 如果没有,请调用 AuthorizationCodeFlow.newAuthorizationUrl() 并将最终用户的浏览器定向到授权页面,以便他们向您的应用授予对其受保护数据的访问权限。
- 然后,Web 浏览器会重定向到包含“code”查询参数的重定向网址,该参数可用于使用 AuthorizationCodeFlow.newTokenRequest(String) 请求访问令牌。
- 使用 AuthorizationCodeFlow.createAndStoreCredential(TokenResponse, String) 存储和获取用于访问受保护资源的凭据。
或者,如果您没有使用 AuthorizationCodeFlow,也可以使用较低级别的类:
- 使用 DataStore.get(String) 根据用户 ID 从存储区加载凭据。
- 使用 AuthorizationCodeRequestUrl 将浏览器定向到授权页面。
- 使用 AuthorizationCodeResponseUrl 处理授权响应并解析授权代码。
- 使用 AuthorizationCodeTokenRequest 请求访问令牌和可能的刷新令牌。
- 创建一个新的 Credential,并使用 DataStore.set(String, V) 存储该凭据。
- 使用 Credential 访问受保护的资源。过期的访问令牌会使用刷新令牌(如适用)自动进行刷新。请务必使用 DataStoreCredentialRefreshListener,并使用 Credential.Builder.addRefreshListener(CredentialRefreshListener) 为凭据设置该监听器。
Servlet 授权代码流程
此库提供了 servlet 帮助程序类,可大大简化基本用例的授权代码流程。您只需提供 AbstractAuthorizationCodeServlet 和 AbstractAuthorizationCodeCallbackServlet(来自 google-oauth-client-servlet)的具体子类,并将它们添加到 web.xml 文件中即可。请注意,您仍然需要处理 Web 应用的用户登录并提取用户 ID。
示例代码:
public class ServletSample extends AbstractAuthorizationCodeServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException { // do stuff } @Override protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException { GenericUrl url = new GenericUrl(req.getRequestURL().toString()); url.setRawPath("/oauth2callback"); return url.build(); } @Override protected AuthorizationCodeFlow initializeFlow() throws IOException { return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(), new NetHttpTransport(), new JacksonFactory(), new GenericUrl("https://server.example.com/token"), new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"), "s6BhdRkqt3", "https://server.example.com/authorize").setCredentialDataStore( StoredCredential.getDefaultDataStore( new FileDataStoreFactory(new File("datastoredir")))) .build(); } @Override protected String getUserId(HttpServletRequest req) throws ServletException, IOException { // return user ID } } public class ServletCallbackSample extends AbstractAuthorizationCodeCallbackServlet { @Override protected void onSuccess(HttpServletRequest req, HttpServletResponse resp, Credential credential) throws ServletException, IOException { resp.sendRedirect("/"); } @Override protected void onError( HttpServletRequest req, HttpServletResponse resp, AuthorizationCodeResponseUrl errorResponse) throws ServletException, IOException { // handle error } @Override protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException { GenericUrl url = new GenericUrl(req.getRequestURL().toString()); url.setRawPath("/oauth2callback"); return url.build(); } @Override protected AuthorizationCodeFlow initializeFlow() throws IOException { return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(), new NetHttpTransport(), new JacksonFactory(), new GenericUrl("https://server.example.com/token"), new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"), "s6BhdRkqt3", "https://server.example.com/authorize").setCredentialDataStore( StoredCredential.getDefaultDataStore( new FileDataStoreFactory(new File("datastoredir")))) .build(); } @Override protected String getUserId(HttpServletRequest req) throws ServletException, IOException { // return user ID } }
Google App Engine 授权代码流程
App Engine 上的授权代码流程与 servlet 授权代码流程几乎完全相同,只不过我们可以利用 Google App Engine 的 Users Java API。用户需要登录才能启用 Users Java API;如需了解如何在用户尚未登录时将其重定向到登录页面,请参阅 Security and Authentication(在 web.xml 中)。
与 servlet 情况的主要区别在于您需要提供 AbstractAppEngineAuthorizationCodeServlet 和 AbstractAppEngineAuthorizationCodeCallbackServlet(来自 google-oauth-client-appengine)的具体子类。它们会扩展抽象 servlet 类,并使用 Users Java API 为您实现 getUserId 方法。如需使用 Google App Engine Data Store API 持久保存凭据,不妨使用 AppEngineDataStoreFactory(来自 Java 版 Google HTTP 客户端库)。
示例代码:
public class AppEngineSample extends AbstractAppEngineAuthorizationCodeServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException { // do stuff } @Override protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException { GenericUrl url = new GenericUrl(req.getRequestURL().toString()); url.setRawPath("/oauth2callback"); return url.build(); } @Override protected AuthorizationCodeFlow initializeFlow() throws IOException { return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(), new UrlFetchTransport(), new JacksonFactory(), new GenericUrl("https://server.example.com/token"), new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"), "s6BhdRkqt3", "https://server.example.com/authorize").setCredentialStore( StoredCredential.getDefaultDataStore(AppEngineDataStoreFactory.getDefaultInstance())) .build(); } } public class AppEngineCallbackSample extends AbstractAppEngineAuthorizationCodeCallbackServlet { @Override protected void onSuccess(HttpServletRequest req, HttpServletResponse resp, Credential credential) throws ServletException, IOException { resp.sendRedirect("/"); } @Override protected void onError( HttpServletRequest req, HttpServletResponse resp, AuthorizationCodeResponseUrl errorResponse) throws ServletException, IOException { // handle error } @Override protected String getRedirectUri(HttpServletRequest req) throws ServletException, IOException { GenericUrl url = new GenericUrl(req.getRequestURL().toString()); url.setRawPath("/oauth2callback"); return url.build(); } @Override protected AuthorizationCodeFlow initializeFlow() throws IOException { return new AuthorizationCodeFlow.Builder(BearerToken.authorizationHeaderAccessMethod(), new UrlFetchTransport(), new JacksonFactory(), new GenericUrl("https://server.example.com/token"), new BasicAuthentication("s6BhdRkqt3", "7Fjfp0ZBr1KtDRbnfVdmIw"), "s6BhdRkqt3", "https://server.example.com/authorize").setCredentialStore( StoredCredential.getDefaultDataStore(AppEngineDataStoreFactory.getDefaultInstance())) .build(); } }
命令行授权码流程
摘自 dailymotion-cmdline-sample 的示例代码:简化版:
/** Authorizes the installed application to access user's protected data. */ private static Credential authorize() throws Exception { OAuth2ClientCredentials.errorIfNotSpecified(); // set up authorization code flow AuthorizationCodeFlow flow = new AuthorizationCodeFlow.Builder(BearerToken .authorizationHeaderAccessMethod(), HTTP_TRANSPORT, JSON_FACTORY, new GenericUrl(TOKEN_SERVER_URL), new ClientParametersAuthentication( OAuth2ClientCredentials.API_KEY, OAuth2ClientCredentials.API_SECRET), OAuth2ClientCredentials.API_KEY, AUTHORIZATION_SERVER_URL).setScopes(Arrays.asList(SCOPE)) .setDataStoreFactory(DATA_STORE_FACTORY).build(); // authorize LocalServerReceiver receiver = new LocalServerReceiver.Builder().setHost( OAuth2ClientCredentials.DOMAIN).setPort(OAuth2ClientCredentials.PORT).build(); return new AuthorizationCodeInstalledApp(flow, receiver).authorize("user"); } private static void run(HttpRequestFactory requestFactory) throws IOException { DailyMotionUrl url = new DailyMotionUrl("https://api.dailymotion.com/videos/favorites"); url.setFields("id,tags,title,url"); HttpRequest request = requestFactory.buildGetRequest(url); VideoFeed videoFeed = request.execute().parseAs(VideoFeed.class); ... } public static void main(String[] args) { ... DATA_STORE_FACTORY = new FileDataStoreFactory(DATA_STORE_DIR); final Credential credential = authorize(); HttpRequestFactory requestFactory = HTTP_TRANSPORT.createRequestFactory(new HttpRequestInitializer() { @Override public void initialize(HttpRequest request) throws IOException { credential.initialize(request); request.setParser(new JsonObjectParser(JSON_FACTORY)); } }); run(requestFactory); ... }
基于浏览器的客户端流程
以下是隐式授权规范中指定的基于浏览器的客户端流程的典型步骤:
- 使用 BrowserClientRequestUrl 将最终用户的浏览器重定向到授权页面,以便最终用户向您的应用授予对其受保护数据的访问权限。
- 使用 JavaScript 应用处理在已向授权服务器注册的重定向 URI 的网址片段中找到的访问令牌。
Web 应用的使用情形示例:
public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException { String url = new BrowserClientRequestUrl( "https://server.example.com/authorize", "s6BhdRkqt3").setState("xyz") .setRedirectUri("https://client.example.com/cb").build(); response.sendRedirect(url); }
检测过期的访问令牌
根据 OAuth 2.0 不记名规范,在调用服务器以使用过期访问令牌访问受保护资源时,服务器通常会以如下 HTTP 401 Unauthorized 状态代码作为响应:
HTTP/1.1 401 Unauthorized WWW-Authenticate: Bearer realm="example", error="invalid_token", error_description="The access token expired"
不过,该规范似乎非常灵活。如需了解详情,请参阅 OAuth 2.0 提供方的文档。
另一种方法是查看访问令牌响应中的 expires_in 参数。此参数用于指定授予的访问令牌的生命周期(以秒为单位),通常为 1 小时。不过,访问令牌实际上可能不会在该期限结束时过期,并且服务器可能会继续允许访问。因此,我们通常建议等待 401 Unauthorized 状态代码,而不是根据所用时间假定令牌已过期。或者,您也可以在访问令牌过期前不久尝试刷新访问令牌,如果令牌服务器不可用,请继续使用访问令牌,直到收到 401。这是 Credential 中默认使用的策略。
另一种方法是在每次请求之前获取新的访问令牌,但这需要每次都向令牌服务器发送额外的 HTTP 请求,因此就速度和网络使用而言,这可能是一个糟糕的选择。理想情况下,将访问令牌存储在安全的永久性存储空间中,以最大限度地减少应用对新访问令牌的请求。(但对于已安装的应用,安全存储是一个难题。)
请注意,访问令牌可能会因过期以外的原因而失效,例如,如果用户明确撤消了令牌,因此请确保您的错误处理代码足够稳健。一旦检测到令牌不再有效(例如令牌过期或被撤消),您必须从存储空间中移除访问令牌。例如,在 Android 上,您必须调用 AccountManager.invalidateAuthToken。