이 문서에서는 JavaScript 웹 애플리케이션에서 Google API에 액세스하기 위해 OAuth 2.0 승인을 구현하는 방법을 설명합니다. OAuth 2.0을 사용하면 사용자가 사용자 이름, 비밀번호, 기타 정보를 비공개로 유지하면서 특정 데이터를 애플리케이션과 공유할 수 있습니다. 예를 들어 애플리케이션에서 OAuth 2.0을 사용하여 Google 드라이브에 파일을 저장할 수 있는 권한을 사용자로부터 얻을 수 있습니다.
이 OAuth 2.0 흐름을 암시적 권한 부여 흐름이라고 합니다. 사용자가 애플리케이션에 있을 때만 API에 액세스하는 애플리케이션용으로 설계되었습니다. 이러한 애플리케이션은 기밀 정보를 저장할 수 없습니다.
이 흐름에서 앱은 쿼리 매개변수를 사용하여 앱과 앱에 필요한 API 액세스 유형을 식별하는 Google URL을 엽니다. 현재 브라우저 창이나 팝업에서 URL을 열 수 있습니다. 사용자는 Google에 인증하고 요청된 권한을 부여할 수 있습니다. 그러면 Google에서 사용자를 다시 앱으로 리디렉션합니다. 리디렉션에는 앱에서 인증한 후 API 요청을 하는 데 사용하는 액세스 토큰이 포함됩니다.
Google API 클라이언트 라이브러리 및 Google ID 서비스
자바스크립트용 Google API 클라이언트 라이브러리를 사용하여 Google에 승인된 호출을 실행하는 경우 Google ID 서비스 자바스크립트 라이브러리를 사용하여 OAuth 2.0 흐름을 처리해야 합니다. OAuth 2.0 암시적 권한 부여 흐름을 기반으로 하는 Google ID 서비스의 토큰 모델을 참조하세요.
기본 요건
프로젝트에 API 사용 설정
Google API를 호출하는 모든 애플리케이션은 API Console에서 이러한 API를 사용 설정해야 합니다.
프로젝트에 API를 사용 설정하는 방법은 다음과 같습니다.
- Google API Console의Open the API Library
- If prompted, select a project, or create a new one.
- API Library 에는 사용 가능한 모든 API가 제품군 및 인기도별로 분류되어 있습니다. 사용 설정하려는 API가 목록에 없는 경우 검색을 사용하여 찾거나 API가 속한 제품군에서 모두 보기를 클릭합니다.
- 사용 설정하려는 API를 선택한 다음 사용 설정 버튼을 클릭합니다.
- If prompted, enable billing.
- If prompted, read and accept the API's Terms of Service.
승인 사용자 인증 정보 만들기
OAuth 2.0을 사용하여 Google API에 액세스하는 모든 애플리케이션에는 Google OAuth 2.0 서버에서 애플리케이션을 식별하는 승인 사용자 인증 정보가 있어야 합니다. 다음 단계에서는 프로젝트의 사용자 인증 정보를 만드는 방법을 설명합니다. 그러면 애플리케이션에서 사용자 인증 정보를 사용하여 해당 프로젝트에 사용 설정한 API에 액세스할 수 있습니다.
- Go to the Credentials page.
- 사용자 인증 정보 만들기 > OAuth 클라이언트 ID를 클릭합니다.
- 웹 애플리케이션 애플리케이션 유형을 선택합니다.
- 신고 양식을 작성합니다. 자바스크립트를 사용하여 승인된 Google API 요청을 만드는 애플리케이션은 승인된 자바스크립트 출처를 지정해야 합니다. 출처는 애플리케이션이 OAuth 2.0 서버에 요청을 보낼 수 있는 도메인을 식별합니다. 이러한 출처는 Google의 검증 규칙을 준수해야 합니다.
액세스 범위 식별
범위를 사용하면 애플리케이션이 필요한 리소스에 대한 액세스만 요청할 수 있는 동시에 사용자가 애플리케이션에 부여하는 액세스 권한의 양을 제어할 수 있습니다. 따라서 요청된 범위의 수와 사용자 동의를 얻을 가능성 사이에는 반비례 관계가 있을 수 있습니다.
OAuth 2.0 승인을 구현하기 전에 앱에서 액세스 권한이 필요한 범위를 파악하는 것이 좋습니다.
OAuth 2.0 API 범위 문서에는 Google API에 액세스하는 데 사용할 수 있는 전체 범위 목록이 포함되어 있습니다.
OAuth 2.0 액세스 토큰 가져오기
다음 단계에서는 애플리케이션이 Google의 OAuth 2.0 서버와 상호작용하여 사용자 대신 API 요청을 실행하기 위해 사용자의 동의를 얻는 방법을 보여줍니다. 애플리케이션에서 사용자 승인이 필요한 Google API 요청을 실행하려면 먼저 이러한 동의를 얻어야 합니다.
1단계: Google의 OAuth 2.0 서버로 리디렉션하기
사용자 데이터에 대한 액세스 권한을 요청하려면 사용자를 Google의 OAuth 2.0 서버로 리디렉션하세요.
OAuth 2.0 엔드포인트
https://accounts.google.com/o/oauth2/v2/auth
에서 Google OAuth 2.0 엔드포인트의 액세스를 요청하는 URL을 생성합니다. 이 엔드포인트는 HTTPS를 통해 액세스할 수 있습니다. 일반 HTTP 연결은 거부됩니다.
Google 승인 서버는 웹 서버 애플리케이션에 대해 다음과 같은 쿼리 문자열 매개변수를 지원합니다.
매개변수 | |||||||
---|---|---|---|---|---|---|---|
client_id |
필수 항목
애플리케이션의 클라이언트 ID입니다. 이 값은 API Console Credentials page에서 찾을 수 있습니다. |
||||||
redirect_uri |
필수 항목
사용자가 승인 흐름을 완료한 후 API 서버에서 사용자를 리디렉션하는 위치를 결정합니다. 이 값은 클라이언트의 API Console
Credentials page에서 구성한 OAuth 2.0 클라이언트에 대해 승인된 리디렉션 URI 중 하나와 정확하게 일치해야 합니다. 이 값이 제공된
|
||||||
response_type |
필수 항목
JavaScript 애플리케이션은 매개변수 값을 |
||||||
scope |
필수 항목
애플리케이션이 사용자를 대신하여 액세스할 수 있는 리소스를 식별하는 공백으로 구분된 범위 목록입니다. 이러한 값은 Google에서 사용자에게 표시하는 동의 화면을 나타냅니다. 범위를 사용하면 애플리케이션이 필요한 리소스에 대한 액세스만 요청할 수 있고 사용자가 애플리케이션에 부여하는 액세스의 양을 제어할 수 있습니다. 따라서 요청된 범위의 수와 사용자 동의를 얻을 가능성 사이에는 반비례 관계가 있습니다. 가능하면 애플리케이션이 컨텍스트 내에서 승인 범위에 대한 액세스를 요청하는 것이 좋습니다. 증분 승인을 통해 컨텍스트에 따라 사용자 데이터에 대한 액세스를 요청하면 요청하는 액세스 권한이 애플리케이션에 필요한 이유를 사용자가 더 쉽게 이해할 수 있습니다. |
||||||
state |
권장됨
애플리케이션이 승인 요청과 승인 서버의 응답 사이에 상태를 유지하는 데 사용하는 문자열 값을 지정합니다.
사용자가 애플리케이션의 액세스 요청에 동의하거나 거부한 후 서버는 애플리케이션의 올바른 리소스로 사용자를 안내하거나 nonce를 전송하며 크로스 사이트 요청 위조를 완화하는 등 여러 용도로 이 매개변수를 사용할 수 있습니다. |
||||||
include_granted_scopes |
Optional
애플리케이션이 증분 승인을 사용하여 컨텍스트 내에서 추가 범위에 대한 액세스를 요청할 수 있습니다. 이 매개변수의 값을 |
||||||
enable_granular_consent |
Optional
기본값은 |
||||||
login_hint |
Optional
애플리케이션에서 인증하려는 사용자를 알고 있으면 이 매개변수를 사용하여 Google 인증 서버에 힌트를 제공할 수 있습니다. 서버는 힌트를 사용하여 로그인 양식의 이메일 필드를 미리 채우거나 적절한 멀티 로그인 세션을 선택하여 로그인 흐름을 간소화합니다. 매개변수 값을 사용자의 Google ID와 동일한 이메일 주소 또는 |
||||||
prompt |
Optional
공백으로 구분된 대소문자를 구분하는 사용자 표시 프롬프트 목록입니다. 이 매개변수를 지정하지 않으면 프로젝트에서 처음 액세스를 요청할 때만 사용자에게 메시지가 표시됩니다. 자세한 내용은 재동의 메시지 표시를 참고하세요. 가능한 값은 다음과 같습니다.
|
Google 승인 서버로의 샘플 리디렉션
다음은 가독성을 위해 줄바꿈과 공백을 포함한 예시 URL입니다.
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly& include_granted_scopes=true& response_type=token& state=state_parameter_passthrough_value& redirect_uri=https%3A//oauth2.example.com/code& client_id=client_id
요청 URL을 만든 후 사용자를 이 URL로 리디렉션합니다.
자바스크립트 샘플 코드
다음 JavaScript 스니펫은 JavaScript용 Google API 클라이언트 라이브러리를 사용하지 않고 JavaScript에서 승인 흐름을 시작하는 방법을 보여줍니다. 이 OAuth 2.0 엔드포인트는 교차 출처 리소스 공유 (CORS)를 지원하지 않으므로 스니펫은 해당 엔드포인트에 대한 요청을 여는 양식을 만듭니다.
/* * Create form to request access token from Google's OAuth 2.0 server. */ function oauthSignIn() { // Google's OAuth 2.0 endpoint for requesting an access token var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth'; // Create <form> element to submit parameters to OAuth 2.0 endpoint. var form = document.createElement('form'); form.setAttribute('method', 'GET'); // Send as a GET request. form.setAttribute('action', oauth2Endpoint); // Parameters to pass to OAuth 2.0 endpoint. var params = {'client_id': 'YOUR_CLIENT_ID', 'redirect_uri': 'YOUR_REDIRECT_URI', 'response_type': 'token', 'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly', 'include_granted_scopes': 'true', 'state': 'pass-through value'}; // Add form parameters as hidden input values. for (var p in params) { var input = document.createElement('input'); input.setAttribute('type', 'hidden'); input.setAttribute('name', p); input.setAttribute('value', params[p]); form.appendChild(input); } // Add form to page and submit it to open the OAuth 2.0 endpoint. document.body.appendChild(form); form.submit(); }
2단계: Google에서 사용자에게 동의 요청 메시지 표시
이 단계에서 사용자는 애플리케이션에 요청된 액세스 권한을 부여할지 여부를 결정합니다. 이 단계에서 Google은 애플리케이션의 이름과 사용자의 승인 사용자 인증 정보를 통한 액세스 권한을 요청하는 Google API 서비스의 이름과 부여할 액세스 범위의 요약을 보여주는 동의 창을 표시합니다. 그러면 사용자는 애플리케이션에서 요청한 하나 이상의 범위에 대한 액세스 권한을 부여하는 데 동의하거나 요청을 거부할 수 있습니다.
액세스 권한이 부여되었는지 여부를 나타내는 Google OAuth 2.0 서버의 응답을 기다리므로 이 단계에서 애플리케이션은 어떤 작업도 수행할 필요가 없습니다. 응답은 다음 단계에서 설명합니다.
오류
Google의 OAuth 2.0 승인 엔드포인트에 요청하면 예상되는 인증 및 승인 흐름 대신 사용자에게 표시되는 오류 메시지가 표시될 수 있습니다. 일반적인 오류 코드와 권장 해결 방법은 다음과 같습니다.
admin_policy_enforced
Google 계정에서 Google Workspace 관리자의 정책으로 인해 요청된 하나 이상의 범위를 승인할 수 없습니다. OAuth 클라이언트 ID에 액세스 권한이 명시적으로 부여될 때까지 관리자가 모든 범위 또는 민감한 범위에 대한 액세스를 제한하는 방법에 대한 자세한 내용은 Google Workspace 관리자 도움말 문서인 서드 파티 및 내부 앱에서 Google Workspace 데이터에 액세스할 수 있는 제어를 참조하세요.
disallowed_useragent
승인 엔드포인트는 Google의 OAuth 2.0 정책에서 허용하지 않는 삽입된 사용자 에이전트 내에 표시됩니다.
Android
Android 개발자가 android.webkit.WebView
에서 승인 요청을 열 때 이 오류 메시지가 표시될 수 있습니다.
개발자는 Android용 Google 로그인 또는 OpenID Foundation의 Android용 AppAuth와 같은 Android 라이브러리를 사용해야 합니다.
웹 개발자에게는 Android 앱이 삽입된 사용자 에이전트에서 일반 웹 링크를 열고 사용자가 사이트에서 Google의 OAuth 2.0 승인 엔드포인트로 이동할 때 이 오류가 발생할 수 있습니다. 개발자는 Android App Links 핸들러 또는 기본 브라우저 앱이 모두 포함된 운영체제의 기본 링크 핸들러에서 일반 링크가 열리도록 허용해야 합니다. Android 맞춤 탭 라이브러리도 지원되는 옵션입니다.
iOS
iOS 및 macOS 개발자는 WKWebView
에서 승인 요청을 열 때 이 오류가 발생할 수 있습니다.
개발자는 iOS용 Google 로그인 또는 OpenID Foundation의 iOS용 AppAuth와 같은 iOS 라이브러리를 사용해야 합니다.
iOS 또는 macOS 앱이 삽입된 사용자 에이전트에서 일반 웹 링크를 열고 사용자가 사이트에서 Google의 OAuth 2.0 승인 엔드포인트로 이동할 때 웹 개발자에게 이 오류가 발생할 수 있습니다. 개발자는 범용 링크 핸들러 또는 기본 브라우저 앱이 모두 포함된 운영체제의 기본 링크 핸들러에서 일반 링크가 열리도록 허용해야 합니다. SFSafariViewController
라이브러리도 지원되는 옵션입니다.
org_internal
요청의 OAuth 클라이언트 ID는 특정 Google Cloud 조직의 Google 계정에 대한 액세스를 제한하는 프로젝트의 일부입니다. 이 구성 옵션에 대한 자세한 내용은 OAuth 동의 화면 설정 도움말 문서의 사용자 유형 섹션을 참조하세요.
invalid_client
요청이 이루어진 출처가 이 클라이언트에 승인되지 않았습니다. origin_mismatch
를 참조하세요.
invalid_grant
증분 승인을 사용하는 경우 토큰이 만료되었거나 무효화되었을 수 있습니다. 사용자를 다시 인증하고 새 토큰을 얻기 위해 사용자 동의를 요청합니다. 이 오류가 계속 발생하면 애플리케이션이 올바르게 구성되었는지, 요청에 올바른 토큰과 매개변수를 사용하고 있는지 확인하세요. 그렇지 않으면 사용자 계정이 삭제되었거나 사용 중지되었을 수 있습니다.
origin_mismatch
승인 요청을 보낸 자바스크립트의 스키마, 도메인 또는 포트가 OAuth 클라이언트 ID에 등록된 승인된 자바스크립트 출처 URI와 일치하지 않을 수 있습니다. Credentials page에서 승인된 자바스크립트 출처를 Google API Console검토하세요.
redirect_uri_mismatch
승인 요청에 전달된 redirect_uri
가 OAuth 클라이언트 ID의 승인된 리디렉션 URI와 일치하지 않습니다. Google API Console Credentials page에서 승인된 리디렉션 URI를 검토합니다.
승인 요청을 보낸 자바스크립트의 스키마, 도메인 또는 포트가 OAuth 클라이언트 ID에 등록된 승인된 자바스크립트 출처 URI와 일치하지 않을 수 있습니다. Google API Console Credentials page에서 승인된 자바스크립트 출처를 검토하세요.
redirect_uri
매개변수가 지원 중단되고 더 이상 지원되지 않는 OAuth 대역 외 (OOB) 흐름을 나타낼 수도 있습니다. 통합을 업데이트하려면 이전 가이드를 참조하세요.
invalid_request
요청에 문제가 있습니다. 다음과 같은 여러 가지 이유가 있을 수 있습니다.
- 요청의 형식이 잘못되었습니다.
- 요청에 필수 매개변수가 누락되었습니다.
- 요청에 Google에서 지원하지 않는 승인 방법이 사용되었습니다. OAuth 통합에서 권장되는 통합 방법을 사용하는지 확인
3단계: OAuth 2.0 서버 응답 처리
OAuth 2.0 엔드포인트
OAuth 2.0 서버가 액세스 토큰 요청에 지정된 redirect_uri
에 응답을 보냅니다.
사용자가 요청을 승인하면 응답에 액세스 토큰이 포함됩니다. 사용자가 요청을 승인하지 않으면 응답에 오류 메시지가 포함됩니다. 액세스 토큰이나 오류 메시지는 아래와 같이 리디렉션 URI의 해시 프래그먼트에 반환됩니다.
액세스 토큰 응답:
https://oauth2.example.com/callback#access_token=4/P7q7W91&token_type=Bearer&expires_in=3600
access_token
매개변수 외에도 프래그먼트 문자열에는 항상Bearer
로 설정되는token_type
매개변수와 토큰의 전체 기간을 초 단위로 지정하는expires_in
매개변수가 포함되어 있습니다. 액세스 토큰 요청에state
매개변수가 지정된 경우 해당 값도 응답에 포함됩니다.- 오류 응답:
https://oauth2.example.com/callback#error=access_denied
샘플 OAuth 2.0 서버 응답
다음 샘플 URL을 클릭하여 이 흐름을 테스트할 수 있습니다. 이 URL은 Google 드라이브에 있는 파일의 메타데이터를 보기 위한 읽기 전용 액세스 권한을 요청합니다.
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A//www.googleapis.com/auth/drive.metadata.readonly& include_granted_scopes=true& response_type=token& state=state_parameter_passthrough_value& redirect_uri=https%3A//oauth2.example.com/code& client_id=client_id
OAuth 2.0 과정을 완료하면 http://localhost/oauth2callback
로 리디렉션됩니다. 로컬 머신이 해당 주소에서 파일을 제공하지 않는 한 이 URL은 404 NOT FOUND
오류를 발생시킵니다. 다음 단계에서는 사용자가 애플리케이션으로 다시 리디렉션될 때 URI에 반환되는 정보에 관해 자세히 설명합니다.
Google API 호출
OAuth 2.0 엔드포인트
애플리케이션에서 액세스 토큰을 받은 후 API에 필요한 액세스 범위가 부여된 경우 이 토큰을 사용하여 특정 사용자 계정 대신 Google API를 호출할 수 있습니다. 이렇게 하려면 access_token
쿼리 매개변수 또는 Authorization
HTTP 헤더 Bearer
값을 포함하여 API에 대한 요청에 액세스 토큰을 포함합니다. 쿼리 문자열은 서버 로그에 표시되는 경향이 있으므로 가능하면 HTTP 헤더를 사용하는 것이 좋습니다. 대부분의 경우 클라이언트 라이브러리를 사용하여 Google API 호출을 설정할 수 있습니다 (예: Drive Files API를 호출할 때).
OAuth 2.0 플레이그라운드에서 모든 Google API를 사용해 보고 범위를 확인할 수 있습니다.
HTTP GET 예시
Authorization: Bearer
HTTP 헤더를 사용한
drive.files
엔드포인트 (Drive Files API)에 대한 호출은 다음과 같을 수 있습니다. 자체 액세스 토큰을 지정해야 합니다.
GET /drive/v2/files HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
다음은 access_token
쿼리 문자열 매개변수를 사용하여 인증된 사용자에 대해 동일한 API를 호출하는 것입니다.
GET https://www.googleapis.com/drive/v2/files?access_token=access_token
curl
예
curl
명령줄 애플리케이션을 사용하여 이러한 명령어를 테스트할 수 있습니다. 다음은 HTTP 헤더 옵션 (권장)을 사용하는 예입니다.
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files
또는 쿼리 문자열 매개변수 옵션을 사용할 수 있습니다.
curl https://www.googleapis.com/drive/v2/files?access_token=access_token
자바스크립트 샘플 코드
아래 코드 스니펫은 CORS (교차 출처 리소스 공유)를 사용하여 Google API에 요청을 전송하는 방법을 보여줍니다. 이 예에서는 JavaScript용 Google API 클라이언트 라이브러리를 사용하지 않습니다. 하지만 클라이언트 라이브러리를 사용하지 않더라도 해당 라이브러리 문서의 CORS 지원 가이드를 참고하면 이러한 요청을 더 잘 이해할 수 있습니다.
이 코드 스니펫에서 access_token
변수는 승인된 사용자를 대신하여 API 요청을 하기 위해 가져온 토큰을 나타냅니다. 전체 예에서는 API 요청을 할 때 이 토큰을 브라우저의 로컬 저장소에 저장하고 가져오는 방법을 보여줍니다.
var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://www.googleapis.com/drive/v3/about?fields=user&' + 'access_token=' + params['access_token']); xhr.onreadystatechange = function (e) { console.log(xhr.response); }; xhr.send(null);
전체 예시
OAuth 2.0 엔드포인트
이 코드 샘플은 자바스크립트용 Google API 클라이언트 라이브러리를 사용하지 않고 자바스크립트에서 OAuth 2.0 흐름을 완료하는 방법을 보여줍니다. 이 코드는 API 요청을 시도하는 버튼이 표시되는 HTML 페이지용입니다. 버튼을 클릭하면 코드가 페이지의 브라우저의 로컬 저장소에 API 액세스 토큰을 저장했는지 확인합니다. 이 경우 API 요청을 실행합니다. 그렇지 않으면 OAuth 2.0 흐름이 시작됩니다.
OAuth 2.0 흐름의 경우 페이지는 다음 단계를 따릅니다.
https://www.googleapis.com/auth/drive.metadata.readonly
범위에 대한 액세스를 요청하는 Google의 OAuth 2.0 서버로 사용자를 안내합니다.- 하나 이상의 요청된 범위에 대한 액세스 권한을 부여 (또는 거부)한 사용자는 원본 페이지로 리디렉션되며, 이 페이지는 프래그먼트 식별자 문자열에서 액세스 토큰을 파싱합니다.
이 페이지는 액세스 토큰을 사용하여 샘플 API 요청을 만듭니다.
API 요청은 Drive API의
about.get
메서드를 호출하여 승인된 사용자의 Google Drive 계정에 대한 정보를 검색합니다.- 요청이 성공적으로 실행되면 API 응답이 브라우저의 디버깅 콘솔에 로깅됩니다.
Google 계정의 권한 페이지를 통해 앱에 대한 액세스 권한을 취소할 수 있습니다. 앱이 Google API 문서용 OAuth 2.0 데모로 표시됩니다.
이 코드를 로컬에서 실행하려면 승인 사용자 인증 정보에 해당하는 YOUR_CLIENT_ID
및 YOUR_REDIRECT_URI
변수의 값을 설정해야 합니다. YOUR_REDIRECT_URI
변수는 페이지가 게재되는 URL과 동일한 URL로 설정해야 합니다. 이 값은 API Console Credentials page에서 구성한 OAuth 2.0 클라이언트에 대해 승인된 리디렉션 URI 중 하나와 정확하게 일치해야 합니다. 이 값이 승인된 URI와 일치하지 않으면 redirect_uri_mismatch
오류가 발생합니다. 또한 프로젝트에서 이 요청에 적절한 API를 사용 설정해야 합니다.
<html><head></head><body> <script> var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE'; var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE'; var fragmentString = location.hash.substring(1); // Parse query string to see if page request is coming from OAuth 2.0 server. var params = {}; var regex = /([^&=]+)=([^&]*)/g, m; while (m = regex.exec(fragmentString)) { params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]); } if (Object.keys(params).length > 0) { localStorage.setItem('oauth2-test-params', JSON.stringify(params) ); if (params['state'] && params['state'] == 'try_sample_request') { trySampleRequest(); } } // If there's an access token, try an API request. // Otherwise, start OAuth 2.0 flow. function trySampleRequest() { var params = JSON.parse(localStorage.getItem('oauth2-test-params')); if (params && params['access_token']) { var xhr = new XMLHttpRequest(); xhr.open('GET', 'https://www.googleapis.com/drive/v3/about?fields=user&' + 'access_token=' + params['access_token']); xhr.onreadystatechange = function (e) { if (xhr.readyState === 4 && xhr.status === 200) { console.log(xhr.response); } else if (xhr.readyState === 4 && xhr.status === 401) { // Token invalid, so prompt for user permission. oauth2SignIn(); } }; xhr.send(null); } else { oauth2SignIn(); } } /* * Create form to request access token from Google's OAuth 2.0 server. */ function oauth2SignIn() { // Google's OAuth 2.0 endpoint for requesting an access token var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth'; // Create element to open OAuth 2.0 endpoint in new window. var form = document.createElement('form'); form.setAttribute('method', 'GET'); // Send as a GET request. form.setAttribute('action', oauth2Endpoint); // Parameters to pass to OAuth 2.0 endpoint. var params = {'client_id': YOUR_CLIENT_ID, 'redirect_uri': YOUR_REDIRECT_URI, 'scope': 'https://www.googleapis.com/auth/drive.metadata.readonly', 'state': 'try_sample_request', 'include_granted_scopes': 'true', 'response_type': 'token'}; // Add form parameters as hidden input values. for (var p in params) { var input = document.createElement('input'); input.setAttribute('type', 'hidden'); input.setAttribute('name', p); input.setAttribute('value', params[p]); form.appendChild(input); } // Add form to page and submit it to open the OAuth 2.0 endpoint. document.body.appendChild(form); form.submit(); } </script> <button onclick="trySampleRequest();">Try sample request</button> </body></html>
자바스크립트 출처 유효성 검사 규칙
Google은 개발자가 애플리케이션을 안전하게 유지할 수 있도록 다음과 같은 유효성 검사 규칙을 자바스크립트 출처에 적용합니다. JavaScript 출처는 이러한 규칙을 준수해야 합니다. 아래에 언급된 도메인, 호스트, 스키마의 정의는 RFC 3986 섹션 3을 참고하세요.
유효성 검사 규칙 | |
---|---|
스키마 |
자바스크립트 출처는 일반 HTTP가 아닌 HTTPS 스키마를 사용해야 합니다. 로컬 호스트 URI(localhost IP 주소 URI 포함)는 이 규칙에서 제외됩니다. |
호스트 |
원시 IP 주소는 호스트일 수 없습니다. 로컬 호스트 IP 주소는 이 규칙에서 제외됩니다. |
도메인 |
“googleusercontent.com” 일 수 없습니다.goo.gl )을 포함할 수 없습니다. |
사용자 정보 |
자바스크립트 출처는 userinfo 하위 구성요소를 포함할 수 없습니다. |
경로 |
자바스크립트 출처는 경로 구성요소를 포함할 수 없습니다. |
쿼리 |
자바스크립트 출처에는 쿼리 구성요소가 포함될 수 없습니다. |
Fragment |
자바스크립트 출처는 프래그먼트 구성요소를 포함할 수 없습니다. |
문자 |
자바스크립트 출처에는 다음을 비롯한 특정 문자가 포함될 수 없습니다.
|
증분 승인
OAuth 2.0 프로토콜에서는 앱이 범위로 식별되는 리소스에 액세스할 수 있는 권한을 요청합니다. 리소스가 필요할 때 승인을 요청하는 것이 사용자 환경 개선에 도움이 됩니다. 이를 위해 Google 승인 서버는 증분 승인을 지원합니다. 이 기능을 사용하면 필요에 따라 범위를 요청할 수 있으며, 사용자가 새 범위에 대한 권한을 부여하면 사용자가 프로젝트에 부여한 모든 범위가 포함된 토큰으로 교환될 수 있는 승인 코드를 반환합니다.
예를 들어 사용자가 음악 트랙을 샘플링하고 믹스를 만들 수 있는 앱의 경우 로그인 시 필요한 리소스, 예를 들어 로그인한 사용자의 이름만 있을 수 있습니다. 하지만 완성된 믹스를 저장하려면 Google Drive 액세스 권한이 필요합니다. 앱에서 실제로 필요할 때 Google 드라이브에 대한 액세스 권한만 요청하는 것이라면 대부분의 사람들은 자연스러울 것입니다.
이 경우 로그인 시 앱은 기본 로그인을 실행하기 위해 openid
및 profile
범위를 요청한 다음 나중에 첫 번째 요청 시 https://www.googleapis.com/auth/drive.file
범위를 요청하여 조합을 저장할 수 있습니다.
점진적 승인을 통해 얻은 액세스 토큰에는 다음 규칙이 적용됩니다.
- 토큰을 사용하여 새로운 통합 승인에 적용된 모든 범위에 해당하는 리소스에 액세스할 수 있습니다.
- 결합된 승인에 갱신 토큰을 사용하여 액세스 토큰을 얻는 경우 액세스 토큰은 결합된 승인을 나타내며 응답에 포함된 모든
scope
값에 사용할 수 있습니다. - 결합된 승인에는 권한 부여가 다른 클라이언트에서 요청되었더라도 사용자가 API 프로젝트에 부여한 모든 범위가 포함됩니다. 예를 들어 사용자가 애플리케이션의 데스크톱 클라이언트를 사용하여 한 범위에 대한 액세스 권한을 부여하고 모바일 클라이언트를 통해 동일한 애플리케이션에 다른 범위를 부여한 경우 통합 승인에 두 범위가 모두 포함됩니다.
- 결합된 승인을 나타내는 토큰을 취소하면 연결된 사용자를 대신하여 모든 승인 범위에 대한 액세스 권한이 동시에 취소됩니다.
아래의 코드 샘플은 기존 액세스 토큰에 범위를 추가하는 방법을 보여줍니다. 이 방법을 사용하면 앱에서 여러 개의 액세스 토큰을 관리하지 않아도 됩니다.
OAuth 2.0 엔드포인트
기존 액세스 토큰에 범위를 추가하려면 Google OAuth 2.0 서버에 대한 요청에 include_granted_scopes
매개변수를 포함합니다.
다음 코드 스니펫은 이를 수행하는 방법을 보여줍니다. 이 스니펫에서는 액세스 토큰이 유효한 범위를 브라우저의 로컬 저장소에 저장했다고 가정합니다. (전체 예 코드에서는 브라우저의 로컬 저장소에 oauth2-test-params.scope
속성을 설정하여 액세스 토큰이 유효한 범위 목록을 저장합니다.)
이 스니펫은 액세스 토큰이 유효한 범위를 특정 쿼리에 사용하려는 범위와 비교합니다. 액세스 토큰이 이 범위를 포함하지 않으면 OAuth 2.0 흐름이 시작됩니다.
여기서 oauth2SignIn
함수는 2단계에서 제공된 함수 (나중에 전체 예에서 제공됨)와 동일합니다.
var SCOPE = 'https://www.googleapis.com/auth/drive.metadata.readonly'; var params = JSON.parse(localStorage.getItem('oauth2-test-params')); var current_scope_granted = false; if (params.hasOwnProperty('scope')) { var scopes = params['scope'].split(' '); for (var s = 0; s < scopes.length; s++) { if (SCOPE == scopes[s]) { current_scope_granted = true; } } } if (!current_scope_granted) { oauth2SignIn(); // This function is defined elsewhere in this document. } else { // Since you already have access, you can proceed with the API request. }
토큰 취소
사용자가 애플리케이션에 부여된 액세스 권한을 취소하고자 하는 경우도 있습니다. 사용자는 계정 설정을 방문하여 액세스 권한을 취소할 수 있습니다. 자세한 내용은 내 계정에 액세스할 수 있는 서드 파티 사이트 및 앱의 사이트 또는 앱 액세스 권한 삭제 섹션 지원 문서를 참고하세요.
또한 애플리케이션에 부여된 액세스 권한을 프로그래밍 방식으로 취소할 수도 있습니다. 프로그래매틱 취소는 사용자가 구독을 취소하거나 애플리케이션을 제거하거나 앱에 필요한 API 리소스가 크게 변경된 경우에 중요합니다. 즉, 삭제 프로세스에 이전에 애플리케이션에 부여된 권한이 삭제되도록 하기 위한 API 요청이 포함될 수 있습니다.
OAuth 2.0 엔드포인트
프로그래매틱 방식으로 토큰을 취소하려면 애플리케이션에서 https://oauth2.googleapis.com/revoke
에 요청하고 토큰을 매개변수로 포함합니다.
curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \ https://oauth2.googleapis.com/revoke?token={token}
토큰은 액세스 토큰 또는 갱신 토큰일 수 있습니다. 토큰이 액세스 토큰이고 해당하는 갱신 토큰이 있는 경우 갱신 토큰도 취소됩니다.
취소가 성공적으로 처리되면 응답의 HTTP 상태 코드는 200
입니다. 오류 조건의 경우 HTTP 상태 코드 400
가 오류 코드와 함께 반환됩니다.
다음 자바스크립트 스니펫은 자바스크립트용 Google API 클라이언트 라이브러리를 사용하지 않고 자바스크립트에서 토큰을 취소하는 방법을 보여줍니다. 토큰 취소를 위한 Google의 OAuth 2.0 엔드포인트는 교차 출처 리소스 공유 (CORS)를 지원하지 않으므로 코드는 XMLHttpRequest()
메서드를 사용하여 요청을 게시하는 대신 양식을 만들고 엔드포인트에 양식을 제출합니다.
function revokeAccess(accessToken) { // Google's OAuth 2.0 endpoint for revoking access tokens. var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke'; // Create <form> element to use to POST data to the OAuth 2.0 endpoint. var form = document.createElement('form'); form.setAttribute('method', 'post'); form.setAttribute('action', revokeTokenEndpoint); // Add access token to the form so it is set as value of 'token' parameter. // This corresponds to the sample curl request, where the URL is: // https://oauth2.googleapis.com/revoke?token={token} var tokenField = document.createElement('input'); tokenField.setAttribute('type', 'hidden'); tokenField.setAttribute('name', 'token'); tokenField.setAttribute('value', accessToken); form.appendChild(tokenField); // Add form to page and submit it to actually revoke the token. document.body.appendChild(form); form.submit(); }