Serverseitige Autorisierung implementieren

Anfragen an die Gmail API müssen mit OAuth 2.0-Anmeldedaten autorisiert werden. Sie sollten den serverseitigen Ablauf verwenden, wenn Ihre Anwendung im Namen des Nutzers auf Google APIs zugreifen muss, z. B. wenn der Nutzer offline ist. Bei diesem Ansatz muss ein Einmal-Autorisierungscode von Ihrem Client an Ihren Server übergeben werden. Dieser Code wird verwendet, um ein Zugriffstoken und Aktualisierungstokens für Ihren Server abzurufen.

Weitere Informationen zur serverseitigen Google OAuth 2.0-Implementierung finden Sie unter OAuth 2.0 für Webserveranwendungen verwenden.

Inhalt

Client-ID und Clientschlüssel erstellen

Damit Sie die Gmail API verwenden können, müssen Sie zuerst mithilfe des Einrichtungstools ein Projekt in der Google API Console erstellen. Dadurch wird die API aktiviert und Anmeldedaten erzeugt.

  1. Klicken Sie auf der Seite „Anmeldedaten“ auf Anmeldedaten erstellen > OAuth-Client-ID, um Ihre OAuth 2.0-Anmeldedaten zu erstellen, oder auf Anmeldedaten erstellen > Dienstkontoschlüssel, um ein Dienstkonto zu erstellen.
  2. Wenn Sie eine OAuth-Client-ID erstellt haben, wählen Sie Ihren Anwendungstyp aus.
  3. Füllen Sie das Formular aus und klicken Sie auf Erstellen.

Die Client-IDs und Dienstkontoschlüssel Ihrer Anwendung werden jetzt auf der Seite „Anmeldedaten“ aufgeführt. Klicken Sie auf eine Client-ID, um Details aufzurufen. Die Parameter variieren je nach ID-Typ, können aber E-Mail-Adresse, Clientschlüssel, JavaScript-Quellen oder Weiterleitungs-URIs enthalten.

Notieren Sie sich die Client-ID, da Sie sie später Ihrem Code hinzufügen müssen.

Autorisierungsanfragen verarbeiten

Wenn ein Nutzer Ihre Anwendung zum ersten Mal lädt, wird ihm ein Dialogfeld angezeigt, in dem er die Berechtigung erteilen kann, dass Ihre Anwendung mit den angeforderten Bereichsberechtigungen auf sein Gmail-Konto zugreifen darf. Nach dieser ersten Autorisierung wird dem Nutzer das Berechtigungsdialogfeld nur angezeigt, wenn sich die Client-ID Ihrer App oder die angeforderten Bereiche geändert haben.

Nutzer authentifizieren

Bei dieser ersten Anmeldung wird ein Autorisierungsergebnisobjekt zurückgegeben, das bei Erfolg einen Autorisierungscode enthält.

Autorisierungscode gegen ein Zugriffstoken eintauschen

Der Autorisierungscode ist ein Einmalcode, den Ihr Server gegen ein Zugriffstoken eintauschen kann. Dieses Zugriffstoken wird an die Gmail API übergeben, um Ihrer Anwendung für einen begrenzten Zeitraum Zugriff auf Nutzerdaten zu gewähren.

Wenn Ihre Anwendung offline-Zugriff benötigt, erhält sie beim ersten Austausch des Autorisierungscodes auch ein Aktualisierungstoken, mit dem sie ein neues Zugriffstoken anfordern kann, nachdem ein vorheriges Token abgelaufen ist. Ihre Anwendung speichert dieses Aktualisierungstoken (in der Regel in einer Datenbank auf Ihrem Server) zur späteren Verwendung.

Die folgenden Codebeispiele zeigen, wie Sie einen Autorisierungscode gegen ein Zugriffstoken mit offline-Zugriff eintauschen und das Aktualisierungstoken speichern.

Python

Ersetzen Sie den Wert CLIENTSECRETS_LOCATION durch den Speicherort Ihrer credentials.json-Datei.

import logging
from oauth2client.client import flow_from_clientsecrets
from oauth2client.client import FlowExchangeError
from oauth2client.client import Credentials # Needed for type hinting/usage in comments
from googleapiclient.discovery import build
from googleapiclient import errors as google_api_errors
import httplib2

# Path to credentials.json which should contain a JSON document such as:
#   {
#     "web": {
#       "client_id": "[[YOUR_CLIENT_ID]]",
#       "client_secret": "[[YOUR_CLIENT_SECRET]]",
#       "redirect_uris": [],
#       "auth_uri": "https://accounts.google.com/o/oauth2/auth",
#       "token_uri": "https://accounts.google.com/o/oauth2/token"
#     }
#   }
CLIENTSECRETS_LOCATION = '<PATH/TO/CLIENT_SECRETS.JSON>'
REDIRECT_URI = '<YOUR_REGISTERED_REDIRECT_URI>'
SCOPES = [
    'https://www.googleapis.com/auth/gmail.readonly',
    'https://www.googleapis.com/auth/userinfo.email',
    'https://www.googleapis.com/auth/userinfo.profile',
    # Add other requested scopes.
]

class GetCredentialsException(Exception):
  """Error raised when an error occurred while retrieving credentials.

  Attributes:
    authorization_url: Authorization URL to redirect the user to in order to
                      request offline access.
  """
  def __init__(self, authorization_url):
    """Construct a GetCredentialsException."""
    super().__init__(f"Authorization URL: {authorization_url}")
    self.authorization_url = authorization_url

class CodeExchangeException(GetCredentialsException):
  """Error raised when a code exchange has failed."""
  pass

class NoRefreshTokenException(GetCredentialsException):
  """Error raised when no refresh token has been found."""
  pass

class NoUserIdException(Exception):
  """Error raised when no user ID could be retrieved."""
  pass

def get_stored_credentials(user_id):
  """Retrieved stored credentials for the provided user ID.

  Args:
    user_id: User's ID.

  Returns:
    Stored oauth2client.client.OAuth2Credentials if found, None otherwise.

  Raises:
    NotImplementedError: This function has not been implemented.
  """
  # TODO: Implement this function to work with your database.
  #       To instantiate an OAuth2Credentials instance from a Json
  #       representation, use the oauth2client.client.Credentials.new_from_json
  #       class method. (oauth2client.client.Credentials needs to be imported)
  #       Example:
  #       from oauth2client.client import Credentials
  #       json_creds = load_from_db(user_id)
  #       if json_creds:
  #           return Credentials.new_from_json(json_creds)
  #       return None
  raise NotImplementedError()

def store_credentials(user_id, credentials):
  """Store OAuth 2.0 credentials in the application's database.

  This function stores the provided OAuth 2.0 credentials using the user ID as
  key.

  Args:
    user_id: User's ID.
    credentials: OAuth 2.0 credentials to store.

  Raises:
    NotImplementedError: This function has not been implemented.
  """
  # TODO: Implement this function to work with your database.
  #       To retrieve a Json representation of the credentials instance, call the
  #       credentials.to_json() method.
  #       Example:
  #       save_to_db(user_id, credentials.to_json())
  raise NotImplementedError()

def exchange_code(authorization_code):
  """Exchange an authorization code for OAuth 2.0 credentials.

  Args:
    authorization_code: Authorization code to exchange for OAuth 2.0
                        credentials.

  Returns:
    oauth2client.client.OAuth2Credentials instance.

  Raises:
    CodeExchangeException: an error occurred.
  """
  flow = flow_from_clientsecrets(CLIENTSECRETS_LOCATION, ' '.join(SCOPES))
  flow.redirect_uri = REDIRECT_URI
  try:
    credentials = flow.step2_exchange(authorization_code)
    return credentials
  except FlowExchangeError as error:
    logging.error('An error occurred: %s', error)
    raise CodeExchangeException(None)

def get_user_info(credentials):
  """Send a request to the UserInfo API to retrieve the user's information.

  Args:
    credentials: oauth2client.client.OAuth2Credentials instance to authorize the
              request.

  Returns:
    User information as a dict.
  """
  user_info_service = build(
      serviceName='oauth2', version='v2',
      http=credentials.authorize(httplib2.Http()))
  user_info = None
  try:
    user_info = user_info_service.userinfo().get().execute()
  except google_api_errors.HttpError as e:
    logging.error('An error occurred: %s', e)
  if user_info and user_info.get('id'):
    return user_info
  else:
    raise NoUserIdException()

def get_authorization_url(email_address, state):
  """Retrieve the authorization URL.

  Args:
    email_address: User's e-mail address.
    state: State for the authorization URL.

  Returns:
    Authorization URL to redirect the user to.
  """
  flow = flow_from_clientsecrets(CLIENTSECRETS_LOCATION, ' '.join(SCOPES))
  flow.params['access_type'] = 'offline'
  flow.params['approval_prompt'] = 'force'
  flow.params['user_id'] = email_address
  flow.params['state'] = state
  # The step1_get_authorize_url method uses the flow.redirect_uri attribute.
  flow.redirect_uri = REDIRECT_URI
  return flow.step1_get_authorize_url()

def get_credentials(authorization_code, state):
  """Retrieve credentials using the provided authorization code.

  This function exchanges the authorization code for an access token and queries
  the UserInfo API to retrieve the user's e-mail address.

  If a refresh token has been retrieved along with an access token, it is stored
  in the application database using the user's e-mail address as key.

  If no refresh token has been retrieved, the function checks in the application
  database for one and returns it if found or raises a NoRefreshTokenException
  with the authorization URL to redirect the user to.

  Args:
    authorization_code: Authorization code to use to retrieve an access token.
    state: State to set to the authorization URL in case of error.

  Returns:
    oauth2client.client.OAuth2Credentials instance containing an access and
    refresh token.

  Raises:
    CodeExchangeError: Could not exchange the authorization code.
    NoRefreshTokenException: No refresh token could be retrieved from the
                          available sources.
  """
  email_address = ''
  try:
    credentials = exchange_code(authorization_code)
    user_info = get_user_info(credentials) # Can raise NoUserIdException or google_api_errors.HttpError
    email_address = user_info.get('email')
    user_id = user_info.get('id')
    if credentials.refresh_token is not None:
      store_credentials(user_id, credentials)
      return credentials
    else:
      credentials = get_stored_credentials(user_id)
      if credentials and credentials.refresh_token is not None:
        return credentials
  except CodeExchangeException as error:
    logging.error('An error occurred during code exchange.')
    # Drive apps should try to retrieve the user and credentials for the current
    # session.
    # If none is available, redirect the user to the authorization URL.
    error.authorization_url = get_authorization_url(email_address, state)
    raise error
  except NoUserIdException:
    logging.error('No user ID could be retrieved.')
  # No refresh token has been retrieved.
  authorization_url = get_authorization_url(email_address, state)
  raise NoRefreshTokenException(authorization_url)

Mit gespeicherten Anmeldedaten autorisieren

Wenn Nutzer Ihre App nach einem erfolgreichen Autorisierungsvorgang zum ersten Mal aufrufen, kann Ihre Anwendung ein gespeichertes Aktualisierungstoken verwenden, um Anfragen zu autorisieren, ohne den Nutzer noch einmal aufzufordern.

Wenn Sie den Nutzer bereits authentifiziert haben, kann Ihre Anwendung das Aktualisierungstoken aus ihrer Datenbank abrufen und in einer serverseitigen Sitzung speichern. Wenn das Aktualisierungstoken widerrufen wird oder anderweitig ungültig ist, müssen Sie dies abfangen und entsprechende Maßnahmen ergreifen.

Verwenden von OAuth 2.0-Anmeldedaten

Nachdem die OAuth 2.0-Anmeldedaten wie im vorherigen Abschnitt abgerufen wurden, können sie verwendet werden, um ein Gmail-Dienstobjekt zu autorisieren und Anfragen an die API zu senden.

Dienstobjekt instanziieren

In diesem Codebeispiel wird gezeigt, wie Sie ein Dienstobjekt instanziieren und es dann autorisieren, API-Anfragen zu stellen.

Python

from apiclient.discovery import build
# ...

def build_service(credentials):
  """Build a Gmail service object.

  Args:
    credentials: OAuth 2.0 credentials.

  Returns:
    Gmail service object.
  """
  http = httplib2.Http()
  http = credentials.authorize(http)
  return build('gmail', 'v1', http=http)

Autorisierte Anfragen senden und auf widerrufene Anmeldedaten prüfen

Im folgenden Code-Snippet wird eine autorisierte Gmail-Dienstinstanz verwendet, um eine Liste von Nachrichten abzurufen.

Wenn ein Fehler auftritt, prüft der Code auf den HTTP-Statuscode 401, der durch Weiterleitung des Nutzers zur Autorisierungs-URL behandelt werden sollte.

Weitere Gmail API-Vorgänge sind in der API-Referenz dokumentiert.

Python

from googleapiclient import errors

# ...

def ListMessages(service, user, query=''):
  """Gets a list of messages.

  Args:
    service: Authorized Gmail API service instance.
    user: The email address of the account.
    query: String used to filter messages returned.
          Eg.- 'label:UNREAD' for unread Messages only.

  Returns:
    List of messages that match the criteria of the query. Note that the
    returned list contains Message IDs, you must use get with the
    appropriate id to get the details of a Message.
  """
  try:
    response = service.users().messages().list(userId=user, q=query).execute()
    messages = []
    if 'messages' in response:
      messages.extend(response['messages'])

    while 'nextPageToken' in response:
      page_token = response['nextPageToken']
      response = service.users().messages().list(userId=user, q=query,
                                        pageToken=page_token).execute()
      if 'messages' in response:
        messages.extend(response['messages'])

    return messages
  except errors.HttpError as error:
    print('An error occurred: %s' % error)
    if error.resp.status == 401:
      # Credentials have been revoked.
      # TODO: Redirect the user to the authorization URL.
      raise NotImplementedError()

Nächste Schritte

Sobald Sie sich mit der Autorisierung von Gmail API-Anfragen vertraut gemacht haben, können Sie mit der Verarbeitung von Nachrichten, Threads und Labels beginnen, wie in den Abschnitten der Entwicklerleitfäden beschrieben.

Weitere Informationen zu den verfügbaren API-Methoden finden Sie in der API-Referenz.