Google の ID サービスへの移行

概要

ユーザーごとのアクセス トークンを取得して Google API を呼び出すために、Google は複数の JavaScript ライブラリを提供しています。

このガイドでは、これらのライブラリから Google Identity Services ライブラリに移行する手順について説明します。

このガイドの内容:

  • 非推奨のプラットフォーム ライブラリを Identity Services ライブラリに置き換える。
  • API クライアント ライブラリを使用している場合は、非推奨の gapi.auth2 モジュールとそのメソッド、オブジェクトを削除し、Identity Services の同等のものに置き換えます。

Identity Services JavaScript ライブラリの変更内容については、概要ユーザー認証の仕組みをご覧になり、主な用語とコンセプトを確認してください。

ユーザーの登録とログインの認証を行う場合は、Google ログインからの移行をご覧ください。

認可フローを特定する

ユーザー承認フローには、暗黙的フローと認証コードの 2 つがあります。

ウェブアプリを確認して、現在使用されている承認フローのタイプを特定します。

ウェブアプリが暗黙的フローを使用していることを示します。

ウェブアプリが認可コードフローを使用しているかどうか。

  • 実装は以下に基づいています。

  • アプリは、ユーザーのブラウザとバックエンド プラットフォームの両方で実行されます。

  • バックエンド プラットフォームが認可コード エンドポイントをホストします。

  • バックエンド プラットフォームが、ユーザーに代わって Google API を表示させることなく呼び出します。これをオフライン モードとも呼ばれます。

  • 更新トークンは、バックエンド プラットフォームによって管理、保存されます。

コードベースが両方のフローをサポートする場合もあります。

認可フローを選択する

移行を開始する前に、既存のフローを続行するか、別のフローを採用するのがニーズに最適かどうかを判断する必要があります。

承認フローの選択を確認して、2 つのフローの主な違いとトレードオフを理解してください。

ほとんどの場合、ユーザー セキュリティを高める認証コードフローをおすすめします。このフローを実装すると、更新を取得して、カレンダー、写真、定期購入などの重要な変更をユーザーに通知するなど、新しいオフライン機能をプラットフォームで簡単に追加できるようになります。

以下のセレクタを使用して認可フローを選択します。

暗黙的フロー

ユーザーがいるときにブラウザで使用するアクセス トークンを取得します。

暗黙的フローの例では、Identity Services への移行前後のウェブアプリを示しています。

認可コードフロー

Google が発行したユーザーごとの認証コードがバックエンド プラットフォームに配信され、そこでアクセス トークンと更新トークンと交換されます。

認可コードフローの例では、Identity Services への移行前と移行後のウェブアプリを示しています。

このガイドでは、太字で示されている既存の機能の追加削除更新置換に沿って操作します。

ブラウザ内ウェブアプリの変更

このセクションでは、Google Identity Services JavaScript ライブラリに移行する際にブラウザ内ウェブアプリに加える変更を確認します。

影響を受けるコードとテストの特定

デバッグ Cookie は、影響を受けるコードの特定や、サポート終了後の動作のテストに役立ちます。

大規模または複雑なアプリでは、gapi.auth2 モジュールのサポート終了により、影響を受けるコードをすべて見つけるのが困難な場合があります。サポートがまもなく終了する機能の既存の使用状況をコンソールに記録するには、G_AUTH2_MIGRATION Cookie の値を informational に設定します。必要に応じて、コロンとそれに続く Key-Value を追加して、セッション ストレージにもログを記録します。ログインして認証情報を受け取ったら、収集したログを確認するか、後で分析するために収集したログをバックエンドに送信します。たとえば、informational:showauth2use は送信元と URL を showauth2use という名前のセッション ストレージ キーに保存します。

gapi.auth2 モジュールが読み込まれなくなったときにアプリの動作を確認するには、G_AUTH2_MIGRATION Cookie の値を enforced に設定します。これにより、適用日より前にサポート終了後の動作をテストできます。

G_AUTH2_MIGRATION Cookie の有効な値:

  • enforced gapi.auth2 モジュールをロードしないでください。
  • informational サポートが終了した機能の使用を JS コンソールに記録します。また、オプションのキー名が設定されている場合は、セッション ストレージにログを記録します: informational:key-name

ユーザーへの影響を最小限に抑えるため、この Cookie を本番環境で使用する前に、開発時とテスト時にローカルに設定することをおすすめします。

ライブラリとモジュール

gapi.auth2 モジュールは、ログインのユーザー認証と認可の暗黙的フローを管理し、非推奨のモジュールとそのオブジェクトとメソッドを Google Identity Services ライブラリに置き換えます。

Identity Services ライブラリをドキュメントに含めて、ウェブアプリに追加します。

<script src="https://accounts.google.com/gsi/client" async defer></script>

gapi.load('auth2', function) を使用して、auth2 モジュールを読み込むインスタンスを削除します。

Google Identity Services ライブラリは、gapi.auth2 モジュールの使用に代わるものです。JavaScript 用 Google API クライアント ライブラリgapi.client モジュールを安全に使用し、ディスカバリ ドキュメントからの呼び出し可能な JS メソッドの自動作成、複数の API 呼び出しのバッチ処理、CORS 管理機能を利用できます。

クッキー

ユーザー認証で Cookie を使用する必要はありません。

ユーザー認証で Cookie を利用する方法について詳しくは、Google ログインからの移行をご覧ください。また、他の Google プロダクトやサービスによる Cookie の使用に Google が Cookie を使用する仕組みをご覧ください。

クルデンシャル

Google Identity Services では、ユーザーの認証と認可を 2 つの異なるオペレーションに分離しています。ユーザー認証情報は分離されています。つまり、ユーザーの識別に使用される ID トークンは、認可に使用されるアクセス トークンとは別に返されます。

これらの変更を確認するには、認証情報の例をご覧ください。

暗黙的フロー

ユーザー プロファイル処理を認可フローから削除して、ユーザー認証と認可を分離します。

次の Google ログイン JavaScript クライアント リファレンス削除します。

Methods

  • GoogleUser.getBasicProfile()
  • GoogleUser.getId()

認可コードフロー

Identity Services は、ブラウザ内の認証情報を ID トークンとアクセス トークンに分離します。この変更は、バックエンド プラットフォームから Google OAuth 2.0 エンドポイントへの直接呼び出しによって取得された認証情報や、Google API Node.js クライアントなどのプラットフォーム上の安全なサーバーで実行されているライブラリを通じて取得された認証情報には適用されません。

セッション状態

これまで Google ログインでは、以下を使用してユーザーのログイン ステータスを管理することができました。

ウェブアプリのログイン状態とユーザー セッションを管理します。

次の Google ログイン JavaScript クライアント リファレンス削除します。

オブジェクト:

  • gapi.auth2.SignInOptions

メソッド:

  • GoogleAuth.attachClickHandler()
  • GoogleAuth.isSignedIn()
  • GoogleAuth.isSignedIn.get()
  • GoogleAuth.isSignedIn.listen()
  • GoogleAuth.signIn()
  • GoogleAuth.signOut()
  • GoogleAuth.currentUser.get()
  • GoogleAuth.currentUser.listen()
  • GoogleUser.isSignedIn()

クライアントの構成

ウェブアプリを更新して、暗黙的または認可コードフロー用のトークン クライアントを初期化します。

次の Google ログイン JavaScript クライアント リファレンス削除します。

オブジェクト:

  • gapi.auth2.ClientConfig
  • gapi.auth2.OfflineAccessOptions

メソッド:

  • gapi.auth2.getAuthInstance()
  • GoogleUser.grant()

暗黙的フロー

トークン クライアントの初期化の例に沿って、TokenClientConfig オブジェクトと initTokenClient() 呼び出しを追加してウェブアプリを構成します。

Google ログイン JavaScript クライアント リファレンスGoogle Identity Services置き換えます

オブジェクト:

  • TokenClientConfiggapi.auth2.AuthorizeConfig

メソッド:

  • google.accounts.oauth2.initTokenClient()gapi.auth2.init()

パラメータ:

  • gapi.auth2.AuthorizeConfig.login_hintTokenClientConfig.login_hint に置き換えます。
  • gapi.auth2.GoogleUser.getHostedDomain()TokenClientConfig.hd を指定)

認可コードフロー

コード クライアントの初期化の例に沿って、CodeClientConfig オブジェクトと initCodeClient() 呼び出しを追加してウェブアプリを構成します。

暗黙的な認可コードフローから認可コードフローに切り替える場合:

Google ログイン JavaScript クライアント参照削除する

オブジェクト:

  • gapi.auth2.AuthorizeConfig

メソッド:

  • gapi.auth2.init()

パラメータ:

  • gapi.auth2.AuthorizeConfig.login_hint
  • gapi.auth2.GoogleUser.getHostedDomain()

トークン リクエスト

ボタンのクリックなどのユーザー操作によってリクエストが生成され、暗黙的フローでユーザーのブラウザに直接、または、ユーザーごとの認証コードをアクセス トークンと更新トークンと交換した後に、バックエンド プラットフォームに直接、アクセス トークンが返されます。

暗黙的フロー

ユーザーがログイン中で、Google とのセッションがアクティブになっている間は、ブラウザでアクセス トークンを取得して使用できます。暗黙的モードでは、以前にリクエストがあったとしても、アクセス トークンをリクエストするにはユーザーの操作が必要です。

Google ログイン JavaScript クライアント リファレンスGoogle Identity Services置き換えます

メソッド:

  • TokenClient.requestAccessToken()gapi.auth2.authorize()
  • GoogleUser.reloadAuthResponse()TokenClient.requestAccessToken()

リンクまたはボタンを追加して requestAccessToken() を呼び出し、ポップアップ UX フローを開始してアクセス トークンをリクエストするか、既存のトークンの有効期限が切れたときに新しいトークンを取得します。

コードベースを次のように更新します。

  • requestAccessToken() を使用して OAuth 2.0 トークン フローをトリガーします。
  • 増分承認をサポートするには、requestAccessTokenOverridableTokenClientConfig を使用して、多数のスコープに対する 1 つのリクエストを複数の小さなリクエストに分割します。
  • 既存のトークンが期限切れになるか取り消されたときに、新しいトークンをリクエストします。

複数のスコープを使用する場合は、一度にすべてではなくスコープへのアクセスをリクエストするために、コードベースの構造上の変更が必要になる場合があります。これを増分承認と呼びます。各リクエストに含めるスコープはできるだけ少なくしますが、1 つのスコープを含めるのが理想的です。増分承認用にアプリを更新する方法について詳しくは、ユーザーの同意を処理する方法をご覧ください。

アクセス トークンが期限切れになると、gapi.auth2 モジュールはウェブアプリ用の新しい有効なアクセス トークンを自動的に取得します。ユーザーのセキュリティを強化するため、このトークンの自動更新プロセスは Google Identity Services ライブラリではサポートされていません。期限切れのアクセス トークンを検出して新しいアクセス トークンをリクエストするように、ウェブアプリを更新する必要があります。詳しくは、以下の「トークンの処理」セクションをご覧ください。

認可コードフロー

requestCode() を呼び出して Google に認証コードをリクエストするリンクまたはボタンを追加します。例については、OAuth 2.0 コードフローをトリガーするをご覧ください。

期限切れまたは取り消されたアクセス トークンに応答する方法について詳しくは、以下の「トークンの処理」セクションをご覧ください。

トークン処理

期限切れまたは取り消されたアクセス トークンが使用されたときに失敗した Google API 呼び出しを検出し、新しい有効なアクセス トークンをリクエストするエラー処理を追加します。

期限切れまたは取り消されたアクセス トークンが使用されていると、Google API から HTTP ステータス コード 401 Unauthorizedinvalid_token エラー メッセージが返されます。例については、無効なトークンのレスポンスをご覧ください。

期限切れのトークン

アクセス トークンの有効期間は短く、多くの場合、数分間のみ有効です。

トークンの取り消し

Google アカウントの所有者は、以前に同意した内容をいつでも取り消すことができます。この操作を行うと、既存のアクセス トークンと更新トークンが無効になります。取り消しは、revoke() を使用してプラットフォームから、または Google アカウントを介してトリガーできます。

Google ログイン JavaScript クライアント リファレンスGoogle Identity Services置き換えます

メソッド:

  • google.accounts.oauth2.revoke()getAuthInstance().disconnect()
  • google.accounts.oauth2.revoke()GoogleUser.disconnect()

ユーザーがプラットフォームでアカウントを削除するか、アプリとデータを共有することへの同意を取り消す場合は、revoke を呼び出します。

ウェブアプリまたはバックエンド プラットフォームがアクセス トークンをリクエストすると、同意ダイアログがユーザーに表示されます。Google がユーザーに表示する同意ダイアログの例をご覧ください。

アプリにアクセス トークンを発行する前に、ユーザーの同意を促し、結果を記録するために、既存のアクティブな Google セッションが必要です。既存のセッションがまだ確立されていない場合は、Google アカウントへのログインを求められることがあります。

ユーザーのログイン

ユーザーは、別のブラウザタブで、またはブラウザまたはオペレーティング システムからネイティブに Google アカウントにログインできます。サイトに Google でログインを追加して、ユーザーが初めてアプリを開いたときに Google アカウントとブラウザの間でアクティブなセッションを確立することをおすすめします。これを行うと、次のような利点があります。

  • ユーザーがログインしなければならない回数を最小限に抑えます。アクティブなセッションが存在しない場合は、アクセス トークンをリクエストすると Google アカウントのログイン プロセスが開始されます。
  • CodeClientConfig または TokenClientConfig オブジェクトの login_hint パラメータの値として JWT ID トークンの認証情報 email フィールドを直接使用します。これは、プラットフォームでユーザー アカウント管理システムを管理していない場合に特に役立ちます。
  • Google アカウントを検索してプラットフォーム上の既存のローカル ユーザー アカウントに関連付けます。これにより、プラットフォーム上の重複アカウントを最小限に抑えることができます。
  • 新しいローカル アカウントを作成すると、登録のダイアログとフローをユーザー認証のダイアログやフローから明確に分離できるため、必要な手順が減り、離脱率が向上します。

ログイン後、アクセス トークンが発行される前に、ユーザーはリクエストされたスコープについてアプリケーションに同意する必要があります。

同意すると、ユーザーが承認または拒否されたスコープのリストとともにアクセス トークンが返されます。

きめ細かい権限を設定することで、ユーザーは個々のスコープを承認または拒否できます。複数のスコープへのアクセスをリクエストする場合、各スコープは、他のスコープとは独立して許可または拒否されます。ユーザーの選択に基づいて、アプリが個々のスコープに応じた機能を選択的に有効にします。

暗黙的フロー

Google ログイン JavaScript クライアント リファレンスGoogle Identity Services置き換えます

オブジェクト:

  • TokenClient.TokenResponsegapi.auth2.AuthorizeResponse
  • TokenClient.TokenResponsegapi.auth2.AuthResponse

メソッド:

  • GoogleUser.hasGrantedScopes()google.accounts.oauth2.hasGrantedAllScopes()
  • GoogleUser.getGrantedScopes()google.accounts.oauth2.hasGrantedAllScopes()

Google ログイン JavaScript クライアント参照削除します。

メソッド:

  • GoogleUser.getAuthResponse()

きめ細かい権限の例に沿って、hasGrantedAllScopes()hasGrantedAnyScope() を使用してウェブアプリを更新します。

認可コードフロー

認可コードの処理の手順に沿って、認可コード エンドポイントをバックエンド プラットフォームに更新または追加します。

コードモデルの使用ガイドの手順に沿ってリクエストを検証し、アクセス トークンと更新トークンを取得するようにプラットフォームを更新します。

プラットフォームを更新し、ユーザーが承認した個々のスコープに基づいて機能を選択的に有効または無効にします。段階的な承認の手順と、ユーザーが付与したアクセス権のスコープを調べるをご覧ください。

暗黙的フローの例

従来のやり方

GAPI クライアント ライブラリ

ユーザーの同意を確認するポップアップ ダイアログを使用してブラウザで実行されている JavaScript 用の Google API クライアント ライブラリの例。

gapi.auth2 モジュールは、自動的に読み込まれて gapi.client.init() で使用されるため、非表示になります。

<!DOCTYPE html>
  <html>
    <head>
      <script src="https://apis.google.com/js/api.js"></script>
      <script>
        function start() {
          gapi.client.init({
            'apiKey': 'YOUR_API_KEY',
            'clientId': 'YOUR_CLIENT_ID',
            'scope': 'https://www.googleapis.com/auth/cloud-translation',
            'discoveryDocs': ['https://www.googleapis.com/discovery/v1/apis/translate/v2/rest'],
          }).then(function() {
            // Execute an API request which is returned as a Promise.
            // The method name language.translations.list comes from the API discovery.
            return gapi.client.language.translations.list({
              q: 'hello world',
              source: 'en',
              target: 'de',
            });
          }).then(function(response) {
            console.log(response.result.data.translations[0].translatedText);
          }, function(reason) {
            console.log('Error: ' + reason.result.error.message);
          });
        };

        // Load the JavaScript client library and invoke start afterwards.
        gapi.load('client', start);
      </script>
    </head>
    <body>
      <div id="results"></div>
    </body>
  </html>

JS クライアント ライブラリ

ユーザーの同意を確認するポップアップ ダイアログを使用してブラウザで実行されているクライアントサイド ウェブ アプリケーション用の OAuth 2.0

gapi.auth2 モジュールは手動で読み込まれます。

<!DOCTYPE html>
<html><head></head><body>
<script>
  var GoogleAuth;
  var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly';
  function handleClientLoad() {
    // Load the API's client and auth2 modules.
    // Call the initClient function after the modules load.
    gapi.load('client:auth2', initClient);
  }

  function initClient() {
    // In practice, your app can retrieve one or more discovery documents.
    var discoveryUrl = 'https://www.googleapis.com/discovery/v1/apis/drive/v3/rest';

    // Initialize the gapi.client object, which app uses to make API requests.
    // Get API key and client ID from API Console.
    // 'scope' field specifies space-delimited list of access scopes.
    gapi.client.init({
        'apiKey': 'YOUR_API_KEY',
        'clientId': 'YOUR_CLIENT_ID',
        'discoveryDocs': [discoveryUrl],
        'scope': SCOPE
    }).then(function () {
      GoogleAuth = gapi.auth2.getAuthInstance();

      // Listen for sign-in state changes.
      GoogleAuth.isSignedIn.listen(updateSigninStatus);

      // Handle initial sign-in state. (Determine if user is already signed in.)
      var user = GoogleAuth.currentUser.get();
      setSigninStatus();

      // Call handleAuthClick function when user clicks on
      //      "Sign In/Authorize" button.
      $('#sign-in-or-out-button').click(function() {
        handleAuthClick();
      });
      $('#revoke-access-button').click(function() {
        revokeAccess();
      });
    });
  }

  function handleAuthClick() {
    if (GoogleAuth.isSignedIn.get()) {
      // User is authorized and has clicked "Sign out" button.
      GoogleAuth.signOut();
    } else {
      // User is not signed in. Start Google auth flow.
      GoogleAuth.signIn();
    }
  }

  function revokeAccess() {
    GoogleAuth.disconnect();
  }

  function setSigninStatus() {
    var user = GoogleAuth.currentUser.get();
    var isAuthorized = user.hasGrantedScopes(SCOPE);
    if (isAuthorized) {
      $('#sign-in-or-out-button').html('Sign out');
      $('#revoke-access-button').css('display', 'inline-block');
      $('#auth-status').html('You are currently signed in and have granted ' +
          'access to this app.');
    } else {
      $('#sign-in-or-out-button').html('Sign In/Authorize');
      $('#revoke-access-button').css('display', 'none');
      $('#auth-status').html('You have not authorized this app or you are ' +
          'signed out.');
    }
  }

  function updateSigninStatus() {
    setSigninStatus();
  }
</script>

<button id="sign-in-or-out-button"
        style="margin-left: 25px">Sign In/Authorize</button>
<button id="revoke-access-button"
        style="display: none; margin-left: 25px">Revoke access</button>

<div id="auth-status" style="display: inline; padding-left: 25px"></div><hr>

<script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
<script async defer src="https://apis.google.com/js/api.js"
        onload="this.onload=function(){};handleClientLoad()"
        onreadystatechange="if (this.readyState === 'complete') this.onload()">
</script>
</body></html>

OAuth 2.0 エンドポイント

ブラウザで実行され、ユーザーの同意を得るために Google へのリダイレクトを使用するクライアントサイド ウェブ アプリケーション用の OAuth 2.0

この例では、gapi.auth2 モジュールや JavaScript ライブラリは使用せず、ユーザーのブラウザから Google の OAuth 2.0 エンドポイントを直接呼び出します。

<!DOCTYPE html>
<html><head></head><body>
<script>
  var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
  var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';
  var fragmentString = location.hash.substring(1);

  // Parse query string to see if page request is coming from OAuth 2.0 server.
  var params = {};
  var regex = /([^&=]+)=([^&]*)/g, m;
  while (m = regex.exec(fragmentString)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }
  if (Object.keys(params).length > 0) {
    localStorage.setItem('oauth2-test-params', JSON.stringify(params) );
    if (params['state'] && params['state'] == 'try_sample_request') {
      trySampleRequest();
    }
  }

  // If there's an access token, try an API request.
  // Otherwise, start OAuth 2.0 flow.
  function trySampleRequest() {
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    if (params && params['access_token']) {
      var xhr = new XMLHttpRequest();
      xhr.open('GET',
          'https://www.googleapis.com/drive/v3/about?fields=user&' +
          'access_token=' + params['access_token']);
      xhr.onreadystatechange = function (e) {
        if (xhr.readyState === 4 && xhr.status === 200) {
          console.log(xhr.response);
        } else if (xhr.readyState === 4 && xhr.status === 401) {
          // Token invalid, so prompt for user permission.
          oauth2SignIn();
        }
      };
      xhr.send(null);
    } else {
      oauth2SignIn();
    }
  }

  /*

    *   Create form to request access token from Google's OAuth 2.0 server.
 */
function oauth2SignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

    // Create element to open OAuth 2.0 endpoint in new window.
    var form = document.createElement('form');
    form.setAttribute('method', 'GET'); // Send as a GET request.
    form.setAttribute('action', oauth2Endpoint);

    // Parameters to pass to OAuth 2.0 endpoint.
    var params = {'client_id': YOUR_CLIENT_ID,
                  'redirect_uri': YOUR_REDIRECT_URI,
                  'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
                  'state': 'try_sample_request',
                  'include_granted_scopes': 'true',
                  'response_type': 'token'};

    // Add form parameters as hidden input values.
    for (var p in params) {
      var input = document.createElement('input');
      input.setAttribute('type', 'hidden');
      input.setAttribute('name', p);
      input.setAttribute('value', params[p]);
      form.appendChild(input);
    }

    // Add form to page and submit it to open the OAuth 2.0 endpoint.
    document.body.appendChild(form);
    form.submit();
  }
</script>

<button onclick="trySampleRequest();">Try sample request</button>
</body></html>

新しい方法

GIS のみ

この例では、トークンモデルを使用した Google Identity Service JavaScript ライブラリと、ユーザーの同意を求めるポップアップ ダイアログのみを示しています。ここでは、クライアントの構成、アクセス トークンのリクエストと取得、Google API の呼び出しに必要な最小限の手順について説明します。

<!DOCTYPE html>
<html>
  <head>
    <script src="https://accounts.google.com/gsi/client" onload="initClient()" async defer></script>
  </head>
  <body>
    <script>
      var client;
      var access_token;

      function initClient() {
        client = google.accounts.oauth2.initTokenClient({
          client_id: 'YOUR_CLIENT_ID',
          scope: 'https://www.googleapis.com/auth/calendar.readonly \
                  https://www.googleapis.com/auth/contacts.readonly',
          callback: (tokenResponse) => {
            access_token = tokenResponse.access_token;
          },
        });
      }
      function getToken() {
        client.requestAccessToken();
      }
      function revokeToken() {
        google.accounts.oauth2.revoke(access_token, () => {console.log('access token revoked')});
      }
      function loadCalendar() {
        var xhr = new XMLHttpRequest();
        xhr.open('GET', 'https://www.googleapis.com/calendar/v3/calendars/primary/events');
        xhr.setRequestHeader('Authorization', 'Bearer ' + access_token);
        xhr.send();
      }
    </script>
    <h1>Google Identity Services Authorization Token model</h1>
    <button onclick="getToken();">Get access token</button><br><br>
    <button onclick="loadCalendar();">Load Calendar</button><br><br>
    <button onclick="revokeToken();">Revoke token</button>
  </body>
</html>

GAPI async/await

この例では、トークンモデルを使用して Google Identity Service ライブラリを追加し、gapi.auth2 モジュールを削除して、JavaScript 用の Google API クライアント ライブラリを使用して API を呼び出す方法を示しています。

Promise、async、await は、ライブラリの読み込み順序を適用し、承認エラーを検出して再試行するために使用されます。API 呼び出しは、有効なアクセス トークンが使用可能になった後にのみ行われます。

ページの初回読み込み時にアクセス トークンがない場合、またはアクセス トークンの有効期限が切れた後に、ユーザーは [カレンダーを表示] ボタンを押す必要があります。

<!DOCTYPE html>
<html>
<head></head>
<body>
  <h1>GAPI with GIS async/await</h1>
  <button id="showEventsBtn" onclick="showEvents();">Show Calendar</button><br><br>
  <button id="revokeBtn" onclick="revokeToken();">Revoke access token</button>

  <script>

    const gapiLoadPromise = new Promise((resolve, reject) => {
      gapiLoadOkay = resolve;
      gapiLoadFail = reject;
    });
    const gisLoadPromise = new Promise((resolve, reject) => {
      gisLoadOkay = resolve;
      gisLoadFail = reject;
    });

    var tokenClient;

    (async () => {
      document.getElementById("showEventsBtn").style.visibility="hidden";
      document.getElementById("revokeBtn").style.visibility="hidden";

      // First, load and initialize the gapi.client
      await gapiLoadPromise;
      await new Promise((resolve, reject) => {
        // NOTE: the 'auth2' module is no longer loaded.
        gapi.load('client', {callback: resolve, onerror: reject});
      });
      await gapi.client.init({
        // NOTE: OAuth2 'scope' and 'client_id' parameters have moved to initTokenClient().
      })
      .then(function() {  // Load the Calendar API discovery document.
        gapi.client.load('https://www.googleapis.com/discovery/v1/apis/calendar/v3/rest');
      });

      // Now load the GIS client
      await gisLoadPromise;
      await new Promise((resolve, reject) => {
        try {
          tokenClient = google.accounts.oauth2.initTokenClient({
              client_id: 'YOUR_CLIENT_ID',
              scope: 'https://www.googleapis.com/auth/calendar.readonly',
              prompt: 'consent',
              callback: '',  // defined at request time in await/promise scope.
          });
          resolve();
        } catch (err) {
          reject(err);
        }
      });

      document.getElementById("showEventsBtn").style.visibility="visible";
      document.getElementById("revokeBtn").style.visibility="visible";
    })();

    async function getToken(err) {

      if (err.result.error.code == 401 || (err.result.error.code == 403) &&
          (err.result.error.status == "PERMISSION_DENIED")) {

        // The access token is missing, invalid, or expired, prompt for user consent to obtain one.
        await new Promise((resolve, reject) => {
          try {
            // Settle this promise in the response callback for requestAccessToken()
            tokenClient.callback = (resp) => {
              if (resp.error !== undefined) {
                reject(resp);
              }
              // GIS has automatically updated gapi.client with the newly issued access token.
              console.log('gapi.client access token: ' + JSON.stringify(gapi.client.getToken()));
              resolve(resp);
            };
            tokenClient.requestAccessToken();
          } catch (err) {
            console.log(err)
          }
        });
      } else {
        // Errors unrelated to authorization: server errors, exceeding quota, bad requests, and so on.
        throw new Error(err);
      }
    }

    function showEvents() {

      // Try to fetch a list of Calendar events. If a valid access token is needed,
      // prompt to obtain one and then retry the original request.
      gapi.client.calendar.events.list({ 'calendarId': 'primary' })
      .then(calendarAPIResponse => console.log(JSON.stringify(calendarAPIResponse)))
      .catch(err  => getToken(err))  // for authorization errors obtain an access token
      .then(retry => gapi.client.calendar.events.list({ 'calendarId': 'primary' }))
      .then(calendarAPIResponse => console.log(JSON.stringify(calendarAPIResponse)))
      .catch(err  => console.log(err)); // cancelled by user, timeout, etc.
    }

    function revokeToken() {
      let cred = gapi.client.getToken();
      if (cred !== null) {
        google.accounts.oauth2.revoke(cred.access_token, () => {console.log('Revoked: ' + cred.access_token)});
        gapi.client.setToken('');
      }
    }

  </script>

  <script async defer src="https://apis.google.com/js/api.js" onload="gapiLoadOkay()" onerror="gapiLoadFail(event)"></script>
  <script async defer src="https://accounts.google.com/gsi/client" onload="gisLoadOkay()" onerror="gisLoadFail(event)"></script>

</body>
</html>

GAPI コールバック

この例では、トークンモデルを使用して Google Identity Service ライブラリを追加し、gapi.auth2 モジュールを削除して、JavaScript 用の Google API クライアント ライブラリを使用して API を呼び出す方法を示しています。

変数は、ライブラリの読み込み順序を適用するために使用します。GAPI 呼び出しは、有効なアクセス トークンが返された後、コールバック内から行われます。

ユーザーは、ページが最初に読み込まれたときと、カレンダーの情報を更新するときに、もう一度 [カレンダーを表示] ボタンを押す必要があります。

<!DOCTYPE html>
<html>
<head>
  <script async defer src="https://apis.google.com/js/api.js" onload="gapiLoad()"></script>
  <script async defer src="https://accounts.google.com/gsi/client" onload="gisInit()"></script>
</head>
<body>
  <h1>GAPI with GIS callbacks</h1>
  <button id="showEventsBtn" onclick="showEvents();">Show Calendar</button><br><br>
  <button id="revokeBtn" onclick="revokeToken();">Revoke access token</button>
  <script>
    let tokenClient;
    let gapiInited;
    let gisInited;

    document.getElementById("showEventsBtn").style.visibility="hidden";
    document.getElementById("revokeBtn").style.visibility="hidden";

    function checkBeforeStart() {
       if (gapiInited && gisInited){
          // Start only when both gapi and gis are initialized.
          document.getElementById("showEventsBtn").style.visibility="visible";
          document.getElementById("revokeBtn").style.visibility="visible";
       }
    }

    function gapiInit() {
      gapi.client.init({
        // NOTE: OAuth2 'scope' and 'client_id' parameters have moved to initTokenClient().
      })
      .then(function() {  // Load the Calendar API discovery document.
        gapi.client.load('https://www.googleapis.com/discovery/v1/apis/calendar/v3/rest');
        gapiInited = true;
        checkBeforeStart();
      });
    }

    function gapiLoad() {
        gapi.load('client', gapiInit)
    }

    function gisInit() {
     tokenClient = google.accounts.oauth2.initTokenClient({
                client_id: 'YOUR_CLIENT_ID',
                scope: 'https://www.googleapis.com/auth/calendar.readonly',
                callback: '',  // defined at request time
            });
      gisInited = true;
      checkBeforeStart();
    }

    function showEvents() {

      tokenClient.callback = (resp) => {
        if (resp.error !== undefined) {
          throw(resp);
        }
        // GIS has automatically updated gapi.client with the newly issued access token.
        console.log('gapi.client access token: ' + JSON.stringify(gapi.client.getToken()));

        gapi.client.calendar.events.list({ 'calendarId': 'primary' })
        .then(calendarAPIResponse => console.log(JSON.stringify(calendarAPIResponse)))
        .catch(err => console.log(err));

        document.getElementById("showEventsBtn").innerText = "Refresh Calendar";
      }

      // Conditionally ask users to select the Google Account they'd like to use,
      // and explicitly obtain their consent to fetch their Calendar.
      // NOTE: To request an access token a user gesture is necessary.
      if (gapi.client.getToken() === null) {
        // Prompt the user to select a Google Account and asked for consent to share their data
        // when establishing a new session.
        tokenClient.requestAccessToken({prompt: 'consent'});
      } else {
        // Skip display of account chooser and consent dialog for an existing session.
        tokenClient.requestAccessToken({prompt: ''});
      }
    }

    function revokeToken() {
      let cred = gapi.client.getToken();
      if (cred !== null) {
        google.accounts.oauth2.revoke(cred.access_token, () => {console.log('Revoked: ' + cred.access_token)});
        gapi.client.setToken('');
        document.getElementById("showEventsBtn").innerText = "Show Calendar";
      }
    }
  </script>
</body>
</html>

認可コードフローの例

Google Identity Service ライブラリのポップアップ UX では、URL リダイレクトを使用して認可コードをバックエンド トークン エンドポイントに直接返すか、ユーザーのブラウザで実行されている JavaScript コールバック ハンドラを使用して、レスポンスをプラットフォームにプロキシします。いずれの場合も、バックエンド プラットフォームは OAuth 2.0 フローを完了して、有効な更新トークンとアクセス トークンを取得します。

従来のやり方

サーバーサイド ウェブアプリ

ユーザーの同意を得るために Google へのリダイレクトを使用して、バックエンド プラットフォームで実行されるサーバーサイド アプリの Google ログイン

<!DOCTYPE html>
<html>
  <head>
    <script src="//ajax.googleapis.com/ajax/libs/jquery/1.8.2/jquery.min.js"></script>
    <script src="https://apis.google.com/js/client:platform.js?onload=start" async defer></script>
    <script>
      function start() {
        gapi.load('auth2', function() {
          auth2 = gapi.auth2.init({
            client_id: 'YOUR_CLIENT_ID',
            api_key: 'YOUR_API_KEY',
            discovery_docs: ['https://www.googleapis.com/discovery/v1/apis/translate/v2/rest'],
            // Scopes to request in addition to 'profile' and 'email'
            scope: 'https://www.googleapis.com/auth/cloud-translation',
          });
        });
      }
      function signInCallback(authResult) {
        if (authResult['code']) {
          console.log("sending AJAX request");
          // Send authorization code obtained from Google to backend platform
          $.ajax({
            type: 'POST',
            url: 'YOUR_AUTHORIZATION_CODE_ENDPOINT_URL',
            // Always include an X-Requested-With header to protect against CSRF attacks.
            headers: {
              'X-Requested-With': 'XMLHttpRequest'
            },
            contentType: 'application/octet-stream; charset=utf-8',
            success: function(result) {
              console.log(result);
            },
            processData: false,
            data: authResult['code']
          });
        } else {
          console.log('error: failed to obtain authorization code')
        }
      }
    </script>
  </head>
  <body>
    <button id="signinButton">Sign In With Google</button>
    <script>
      $('#signinButton').click(function() {
        // Obtain an authorization code from Google
        auth2.grantOfflineAccess().then(signInCallback);
      });
    </script>
  </body>
</html>

リダイレクトを使用する HTTP/REST

ウェブサーバー アプリケーション用の OAuth 2.0 の使用。ユーザーのブラウザからバックエンド プラットフォームに認証コードを送信します。ユーザーの同意は、ユーザーのブラウザを Google にリダイレクトすることで処理されます。

/\*
 \* Create form to request access token from Google's OAuth 2.0 server.
 \*/
function oauthSignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';
  // Create &lt;form> element to submit parameters to OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'GET'); // Send as a GET request.
  form.setAttribute('action', oauth2Endpoint);
  // Parameters to pass to OAuth 2.0 endpoint.
  var params = {'client\_id': 'YOUR_CLIENT_ID',
                'redirect\_uri': 'YOUR_AUTHORIZATION_CODE_ENDPOINT_URL',
                'response\_type': 'token',
                'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly',
                'include\_granted\_scopes': 'true',
                'state': 'pass-through value'};
  // Add form parameters as hidden input values.
  for (var p in params) {
    var input = document.createElement('input');
    input.setAttribute('type', 'hidden');
    input.setAttribute('name', p);
    input.setAttribute('value', params[p]);
    form.appendChild(input);
  }

  // Add form to page and submit it to open the OAuth 2.0 endpoint.
  document.body.appendChild(form);
  form.submit();
}

新しい方法

GIS ポップアップ UX

この例では、認可コードモデルを使用して Google Identity Service JavaScript ライブラリに、ユーザーの同意に関するポップアップ ダイアログと、Google から認可コードを受け取るコールバック ハンドラを示します。ここでは、クライアントの構成、同意の取得、バックエンド プラットフォームへの認証コードの送信に必要な最小限の手順について説明します。

<!DOCTYPE html>
<html>
  <head>
    <script src="https://accounts.google.com/gsi/client" onload="initClient()" async defer></script>
  </head>
  <body>
    <script>
      var client;
      function initClient() {
        client = google.accounts.oauth2.initCodeClient({
          client_id: 'YOUR_CLIENT_ID',
          scope: 'https://www.googleapis.com/auth/calendar.readonly',
          ux_mode: 'popup',
          callback: (response) => {
            var code_receiver_uri = 'YOUR_AUTHORIZATION_CODE_ENDPOINT_URI',
            // Send auth code to your backend platform
            const xhr = new XMLHttpRequest();
            xhr.open('POST', code_receiver_uri, true);
            xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
            xhr.setRequestHeader('X-Requested-With', 'XMLHttpRequest');
            xhr.onload = function() {
              console.log('Signed in as: ' + xhr.responseText);
            };
            xhr.send('code=' + response.code);
            // After receipt, the code is exchanged for an access token and
            // refresh token, and the platform then updates this web app
            // running in user's browser with the requested calendar info.
          },
        });
      }
      function getAuthCode() {
        // Request authorization code and obtain user consent
        client.requestCode();
      }
    </script>
    <button onclick="getAuthCode();">Load Your Calendar</button>
  </body>
</html>

GIS リダイレクトの UX

認可コードモデルは、ポップアップとリダイレクトの UX モードをサポートして、プラットフォームでホストされているエンドポイントにユーザーごとの認可コードを送信します。リダイレクトの UX モードは次のようになります。

<!DOCTYPE html>
<html>
  <head>
    <script src="https://accounts.google.com/gsi/client" onload="initClient()" async defer></script>
  </head>
  <body>
    <script>
      var client;
      function initClient() {
        client = google.accounts.oauth2.initCodeClient({
          client_id: 'YOUR_CLIENT_ID',
          scope: 'https://www.googleapis.com/auth/calendar.readonly \
                  https://www.googleapis.com/auth/photoslibrary.readonly',
          ux_mode: 'redirect',
          redirect_uri: 'YOUR_AUTHORIZATION_CODE_ENDPOINT_URI'
        });
      }
      // Request an access token
      function getAuthCode() {
        // Request authorization code and obtain user consent
        client.requestCode();
      }
    </script>
    <button onclick="getAuthCode();">Load Your Calendar</button>
  </body>
</html>

JavaScript ライブラリ

Google Identity Services は、ユーザーの認証と認可に使用される単一の JavaScript ライブラリで、複数の異なるライブラリやモジュールにある機能を統合して置き換えています。

Identity Services への移行時に取るべきアクション:

既存の JS ライブラリ 新しい JS ライブラリ メモ
apis.google.com/js/api.js accounts.google.com/gsi/client 新しいライブラリを追加し、暗黙的フローに沿って操作します。
apis.google.com/js/client.js accounts.google.com/gsi/client 新しいライブラリと認可コードフローを追加します。

ライブラリ クイック リファレンス

以前の Google ログイン JavaScript クライアント ライブラリと新しい Google Identity Services ライブラリ、Notes のオブジェクトとメソッドの比較。追加情報と移行時に行うアクションも示します。

古い 新規 メモ
GoogleAuth オブジェクトと関連メソッド:
GoogleAuth.attachClickHandler() 削除
GoogleAuth.currentUser.get() 削除
GoogleAuth.currentUser.listen() 削除
GoogleAuth.disconnect() google.accounts.oauth2.revoke 古いものを新しいものに置き換えます。取り消しは https://myaccount.google.com/permissions から行うこともできます
GoogleAuth.grantOfflineAccess() 削除し、認可コードフローに沿って操作します。
GoogleAuth.isSignedIn.get() 削除
GoogleAuth.isSignedIn.listen() 削除
GoogleAuth.signIn() 削除
GoogleAuth.signOut() 削除
GoogleAuth.then() 削除
GoogleUser オブジェクトと関連メソッド:
GoogleUser.disconnect() google.accounts.id.revoke 古いものを新しいものに置き換えます。取り消しは https://myaccount.google.com/permissions から行うこともできます
GoogleUser.getAuthResponse() requestCode() または requestAccessToken() 古いものを新しいものに置き換える
GoogleUser.getBasicProfile() 削除代わりに ID トークンを使用してください。Google ログインからの移行をご覧ください。
GoogleUser.getGrantedScopes() hasGrantedAnyScope() 古いものを新しいものに置き換える
GoogleUser.getHostedDomain() 削除
GoogleUser.getId() 削除
GoogleUser.grantOfflineAccess() 削除し、認可コードフローに沿って操作します。
GoogleUser.grant() 削除
GoogleUser.hasGrantedScopes() hasGrantedAnyScope() 古いものを新しいものに置き換える
GoogleUser.isSignedIn() 削除
GoogleUser.reloadAuthResponse() requestAccessToken() 古いアクセス トークンを削除し、新しいアクセス トークンを呼び出し、期限切れまたは失効したアクセス トークンを置き換えます。
gapi.auth2 オブジェクトと関連メソッド:
gapi.auth2.AuthorizeConfig オブジェクト TokenClientConfig または CodeClientConfig 古いものを新しいものに置き換える
gapi.auth2.AuthorizeResponse オブジェクト 削除
gapi.auth2.AuthResponse オブジェクト 削除
gapi.auth2.authorize() requestCode() または requestAccessToken() 古いものを新しいものに置き換える
gapi.auth2.ClientConfig() TokenClientConfig または CodeClientConfig 古いものを新しいものに置き換える
gapi.auth2.getAuthInstance() 削除
gapi.auth2.init() initTokenClient() または initCodeClient() 古いものを新しいものに置き換える
gapi.auth2.OfflineAccessOptions オブジェクト 削除
gapi.auth2.SignInOptions オブジェクト 削除
gapi.signin2 オブジェクトと関連メソッド:
gapi.signin2.render() 削除g_id_signin 要素の HTML DOM 読み込み、または google.accounts.id.renderButton への JS 呼び出しによって、Google アカウントへのログインがトリガーされます。

認証情報の例

既存の認証情報

Google ログイン プラットフォーム ライブラリGoogle API クライアント ライブラリ(JavaScript 用)、または Google Auth 2.0 エンドポイントの直接呼び出しでは、OAuth 2.0 アクセス トークンと OpenID Connect ID トークンの両方が 1 つのレスポンスで返されます。

access_tokenid_token の両方を含むレスポンスの例:

  {
    "token_type": "Bearer",
    "access_token": "ya29.A0ARrdaM-SmArZaCIh68qXsZSzyeU-8mxhQERHrP2EXtxpUuZ-3oW8IW7a6D2J6lRnZrRj8S6-ZcIl5XVEqnqxq5fuMeDDH_6MZgQ5dgP7moY-yTiKR5kdPm-LkuPM-mOtUsylWPd1wpRmvw_AGOZ1UUCa6UD5Hg",
    "scope": "https://www.googleapis.com/auth/calendar.readonly",
    "login_hint": "AJDLj6I2d1RH77cgpe__DdEree1zxHjZJr4Q7yOisoumTZUmo5W2ZmVFHyAomUYzLkrluG-hqt4RnNxrPhArd5y6p8kzO0t8xIfMAe6yhztt6v2E-_Bb4Ec3GLFKikHSXNh5bI-gPrsI",
    "expires_in": 3599,
    "id_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjkzNDFhYmM0MDkyYjZmYzAzOGU0MDNjOTEwMjJkZDNlNDQ1MzliNTYiLCJ0eXAiOiJKV1QifQ.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.K3EA-3Adw5HA7O8nJVCsX1HmGWxWzYk3P7ViVBb4H4BoT2-HIgxKlx1mi6jSxIUJGEekjw9MC-nL1B9Asgv1vXTMgoGaNna0UoEHYitySI23E5jaMkExkTSLtxI-ih2tJrA2ggfA9Ekj-JFiMc6MuJnwcfBTlsYWRcZOYVw3QpdTZ_VYfhUu-yERAElZCjaAyEXLtVQegRe-ymScra3r9S92TA33ylMb3WDTlfmDpWL0CDdDzby2asXYpl6GQ7SdSj64s49Yw6mdGELZn5WoJqG7Zr2KwIGXJuSxEo-wGbzxNK-mKAiABcFpYP4KHPEUgYyz3n9Vqn2Tfrgp-g65BQ",
    "session_state": {
      "extraQueryParams": {
        "authuser": "0"
      }
    },
    "first_issued_at": 1638991637982,
    "expires_at": 1638995236982,
    "idpId": "google"
  }

Google Identity Services クルデンシャル

Google Identity Services ライブラリが次の結果を返します。

  • 認可に使用する場合は、アクセス トークン

    {
      "access_token": "ya29.A0ARrdaM_LWSO-uckLj7IJVNSfnUityT0Xj-UCCrGxFQdxmLiWuAosnAKMVQ2Z0LLqeZdeJii3TgULp6hR_PJxnInBOl8UoUwWoqsrGQ7-swxgy97E8_hnzfhrOWyQBmH6zs0_sUCzwzhEr_FAVqf92sZZHphr0g",
      "token_type": "Bearer",
      "expires_in": 3599,
      "scope": "https://www.googleapis.com/auth/calendar.readonly"
    }
    
  • または、認証に使用する場合は ID トークン:

    {
      "clientId": "538344653255-758c5h5isc45vgk27d8h8deabovpg6to.apps.googleusercontent.com",
      "credential": "eyJhbGciOiJSUzI1NiIsImtpZCI6ImMxODkyZWI0OWQ3ZWY5YWRmOGIyZTE0YzA1Y2EwZDAzMjcxNGEyMzciLCJ0eXAiOiJKV1QifQ.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.Cr-AgMsLFeLurnqyGpw0hSomjOCU4S3cU669Hyi4VsbqnAV11zc_z73o6ahe9Nqc26kPVCNRGSqYrDZPfRyTnV6g1PIgc4Zvl-JBuy6O9HhClAK1HhMwh1FpgeYwXqrng1tifmuotuLQnZAiQJM73Gl-J_6s86Buo_1AIx5YAKCucYDUYYdXBIHLxrbALsA5W6pZCqqkMbqpTWteix-G5Q5T8LNsfqIu_uMBUGceqZWFJALhS9ieaDqoxhIqpx_89QAr1YlGu_UO6R6FYl0wDT-nzjyeF5tonSs3FHN0iNIiR3AMOHZu7KUwZaUdHg4eYkU-sQ01QNY_11keHROCRQ",
      "select_by": "user"
    }
    

無効なトークン レスポンス

期限切れ、失効、または無効なアクセス トークンを使用して API リクエストを実行しようとした場合の Google からのレスポンスの例を以下に示します。

HTTP レスポンス ヘッダー

  www-authenticate: Bearer realm="https://accounts.google.com/", error="invalid_token"

レスポンスの本文

  {
    "error": {
      "code": 401,
      "message": "Request had invalid authentication credentials. Expected OAuth 2 access token, login cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.",
      "errors": [
        {
          "message": "Invalid Credentials",
          "domain": "global",
          "reason": "authError",
          "location": "Authorization",
          "locationType": "header"
        }
      ],
      "status": "UNAUTHENTICATED"
    }
  }