이 문서에서는 TV, 게임 콘솔, 프린터와 같은 기기에서 실행되는 애플리케이션을 통해 YouTube Data API에 액세스하기 위해 OAuth 2.0 승인을 구현하는 방법을 설명합니다. 더 구체적으로 이 흐름은 브라우저에 액세스할 수 없거나 입력 기능이 제한된 기기용으로 설계되었습니다.
OAuth 2.0을 사용하면 사용자가 사용자 이름, 비밀번호, 기타 정보를 비공개로 유지하면서 특정 데이터를 애플리케이션과 공유할 수 있습니다. 예를 들어 TV 애플리케이션은 OAuth 2.0을 사용하여 Google Drive에 저장된 파일을 선택할 권한을 얻을 수 있습니다.
이 흐름을 사용하는 애플리케이션은 개별 기기에 배포되므로 앱이 비밀을 유지할 수 없다고 가정합니다. 사용자는 앱에 있거나 앱이 백그라운드에서 실행 중일 때 Google API에 액세스할 수 있습니다.
대안
브라우저 및 전체 입력 기능에 액세스할 수 있는 Android, iOS, macOS, Linux 또는 Windows(유니버설 Windows 플랫폼 포함)와 같은 플랫폼용 앱을 작성하는 경우 모바일 및 데스크톱 애플리케이션용 OAuth 2.0 흐름을 사용하세요. 앱이 그래픽 인터페이스가 없는 명령줄 도구인 경우에도 이 흐름을 사용해야 합니다.
Google 계정으로 사용자를 로그인하고 JWT ID 토큰을 사용하여 기본 사용자 프로필 정보를 가져오기 만 원하는 경우 TV 및 제한된 입력 장치에서 로그인을 참고하세요.
기본 요건
프로젝트에 API 사용 설정
Google API를 호출하는 모든 애플리케이션은 에서 이러한 API를 사용 설정해야 합니다.
프로젝트에 API를 사용 설정하려면 다음 단계를 따르세요.
- 의
- 라이브러리 페이지를 사용하여 YouTube Data API를 찾아 사용 설정합니다. 애플리케이션에서 사용할 다른 API를 찾아 사용 설정합니다.
승인 사용자 인증 정보 만들기
OAuth 2.0을 사용하여 Google API에 액세스하는 모든 애플리케이션에는 Google의 OAuth 2.0 서버에 애플리케이션을 식별하는 승인 사용자 인증 정보가 있어야 합니다. 다음 단계에서는 프로젝트의 사용자 인증 정보를 만드는 방법을 설명합니다. 그러면 애플리케이션에서 사용자 인증 정보를 사용하여 해당 프로젝트에 대해 사용 설정한 API에 액세스할 수 있습니다.
- 사용자 인증 정보 만들기 > OAuth 클라이언트 ID를 클릭합니다.
- TV 및 입력 제한 기기 애플리케이션 유형을 선택합니다.
- OAuth 2.0 클라이언트의 이름을 지정하고 만들기를 클릭합니다.
액세스 범위 식별
범위를 사용 설정하면 애플리케이션은 필요한 리소스에 대한 액세스만 요청하고 사용자는 애플리케이션에 부여하는 액세스 양을 제어할 수 있습니다. 따라서 요청된 범위 수와 사용자 동의 얻을 가능성 사이에는 역관계가 있을 수 있습니다.
OAuth 2.0 승인을 구현하기 전에 앱에서 액세스 권한이 필요한 범위를 지정하는 것이 좋습니다.
YouTube Data API v3는 다음 범위를 사용합니다.
범위 | |
---|---|
https://www.googleapis.com/auth/youtube | YouTube 계정 관리 |
https://www.googleapis.com/auth/youtube.channel-memberships.creator | 현재 활동 중인 채널 회원의 목록과 채널 회원의 현재 등급, 회원이 된 시기를 확인할 수 있습니다. |
https://www.googleapis.com/auth/youtube.force-ssl | 내 YouTube 동영상, 평점, 댓글, 캡션의 보기, 수정 및 영구적인 삭제가 가능합니다. |
https://www.googleapis.com/auth/youtube.readonly | YouTube 계정 보기 |
https://www.googleapis.com/auth/youtube.upload | YouTube 동영상 관리 |
https://www.googleapis.com/auth/youtubepartner | YouTube에서 내 저작물과 관련 콘텐츠 조회 및 관리 |
https://www.googleapis.com/auth/youtubepartner-channel-audit | YouTube 파트너 감사 과정 중 관련된 내 YouTube 채널의 비공개 정보 조회 |
설치된 앱 또는 기기의 허용된 범위 목록을 참고하세요.
OAuth 2.0 액세스 토큰 가져오기
애플리케이션이 제한된 입력 기능을 갖춘 기기에서 실행되더라도 사용자가 이 인증 흐름을 완료하려면 더 풍부한 입력 기능을 갖춘 기기에 별도로 액세스할 수 있어야 합니다. 흐름의 단계는 다음과 같습니다.
- 애플리케이션이 Google의 승인 서버에 애플리케이션이 액세스 권한을 요청할 범위를 식별하는 요청을 전송합니다.
- 서버는 기기 코드, 사용자 코드와 같이 후속 단계에서 사용되는 여러 정보로 응답합니다.
- 사용자가 별도의 기기에서 입력하여 앱을 승인할 수 있는 정보를 표시합니다.
- 애플리케이션이 Google의 승인 서버를 폴링하여 사용자가 앱을 승인했는지 확인하기 시작합니다.
- 사용자가 더 풍부한 입력 기능을 갖춘 기기로 전환하고 웹브라우저를 실행한 다음 3단계에 표시된 URL로 이동하여 3단계에 표시된 코드를 입력합니다. 그러면 사용자는 애플리케이션에 대한 액세스 권한을 부여하거나 거부할 수 있습니다.
- 폴링 요청에 대한 다음 응답에는 앱이 사용자를 대신하여 요청을 승인하는 데 필요한 토큰이 포함됩니다. 사용자가 애플리케이션 액세스를 거부한 경우 응답에 토큰이 포함되지 않습니다.
아래 이미지는 이 프로세스를 보여줍니다.
다음 섹션에서 이 단계를 자세히 설명합니다. 기기에 있을 수 있는 다양한 기능과 런타임 환경을 고려하여 이 문서에 표시된 예에서는 curl
명령줄 유틸리티를 사용합니다. 이러한 예는 다양한 언어와 런타임으로 쉽게 이식할 수 있어야 합니다.
1단계: 기기 및 사용자 코드 요청
이 단계에서 기기는 Google의 승인 서버(https://oauth2.googleapis.com/device/code
)에 HTTP POST 요청을 전송하여 애플리케이션과 애플리케이션에서 사용자를 대신하여 액세스하려는 액세스 범위를 식별합니다.
device_authorization_endpoint
메타데이터 값을 사용하여 탐색 문서에서 이 URL을 가져와야 합니다. 다음 HTTP 요청 매개변수를 포함합니다.
매개변수 | |||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
client_id |
필수
애플리케이션의 클라이언트 ID입니다. 이 값은 에서 확인할 수 있습니다. |
||||||||||||||||
scope |
필수
애플리케이션이 사용자를 대신하여 액세스할 수 있는 리소스를 식별하는 공백으로 구분된 범위 목록입니다. 이러한 값은 Google에서 사용자에게 표시하는 동의 화면에 정보를 제공합니다. 설치된 앱 또는 기기의 허용된 범위 목록을 참고하세요. 범위를 사용 설정하면 애플리케이션은 필요한 리소스에 대한 액세스만 요청하고 사용자는 애플리케이션에 부여하는 액세스 양을 제어할 수 있습니다. 따라서 요청된 범위 수와 사용자 동의 얻을 가능성 사이에는 역관계가 있습니다. YouTube Data API v3는 다음 범위를 사용합니다.
OAuth 2.0 API 범위 문서에는 Google API에 액세스하는 데 사용할 수 있는 전체 범위 목록이 나와 있습니다. |
예
다음 스니펫은 샘플 요청을 보여줍니다.
POST /device/code HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded client_id=client_id&scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.readonly
다음 예는 동일한 요청을 전송하는 curl
명령어를 보여줍니다.
curl -d "client_id=client_id&scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.readonly" \ https://oauth2.googleapis.com/device/code
2단계: 승인 서버 응답 처리
승인 서버는 다음 응답 중 하나를 반환합니다.
성공 응답
요청이 유효하면 응답은 다음 속성이 포함된 JSON 객체가 됩니다.
속성 | |
---|---|
device_code |
Google에서 고유하게 할당하여 승인을 요청하는 앱을 실행하는 기기를 식별하는 값입니다. 사용자는 입력 기능이 더 풍부한 다른 기기에서 해당 기기를 승인합니다. 예를 들어 사용자가 노트북이나 휴대전화를 사용하여 TV에서 실행되는 앱을 승인할 수 있습니다. 이 경우 device_code 는 TV를 식별합니다.
이 코드를 사용하면 앱을 실행하는 기기가 사용자가 액세스를 허용했는지 또는 거부했는지 안전하게 확인할 수 있습니다. |
expires_in |
device_code 및 user_code 가 유효한 시간(초)입니다. 이 기간에 사용자가 승인 흐름을 완료하지 않고 기기도 폴링하여 사용자의 결정에 관한 정보를 검색하지 않으면 이 프로세스를 1단계부터 다시 시작해야 할 수 있습니다. |
interval |
기기가 폴링 요청 간에 대기해야 하는 시간(초)입니다. 예를 들어 값이 5 이면 기기는 5초마다 Google의 승인 서버에 폴링 요청을 전송해야 합니다. 자세한 내용은 3단계를 참고하세요. |
user_code |
애플리케이션에서 액세스를 요청하는 범위를 Google에 식별하는 대소문자 구분 값입니다. 사용자 인터페이스는 사용자에게 더 풍부한 입력 기능을 갖춘 별도의 기기에서 이 값을 입력하라고 안내합니다. 그러면 Google은 이 값을 사용하여 사용자에게 애플리케이션에 대한 액세스 권한을 부여하라는 메시지를 표시할 때 올바른 범위 집합을 표시합니다. |
verification_url |
사용자가 별도의 기기에서 user_code 를 입력하고 애플리케이션에 대한 액세스 권한을 부여하거나 거부하기 위해 이동해야 하는 URL입니다. 사용자 인터페이스에도 이 값이 표시됩니다. |
다음 스니펫은 샘플 응답을 보여줍니다.
{ "device_code": "4/4-GMMhmHCXhWEzkobqIHGG_EnNYYsAkukHspeYUk9E8", "user_code": "GQVQ-JKEC", "verification_url": "https://www.google.com/device", "expires_in": 1800, "interval": 5 }
할당량 초과 응답
기기 코드 요청이 클라이언트 ID와 연결된 할당량을 초과하면 다음 오류가 포함된 403 응답이 수신됩니다.
{ "error_code": "rate_limit_exceeded" }
이 경우 백오프 전략을 사용하여 요청 빈도를 줄입니다.
3단계: 사용자 코드 표시
2단계에서 가져온 verification_url
및 user_code
를 사용자에게 표시합니다. 두 값 모두 US-ASCII 문자 집합의 인쇄 가능한 문자를 포함할 수 있습니다. 사용자에게 표시되는 콘텐츠는 사용자에게 별도의 기기에서 verification_url
로 이동하여 user_code
를 입력하도록 안내해야 합니다.
다음 규칙을 염두에 두고 사용자 인터페이스 (UI)를 디자인하세요.
user_code
user_code
는 15개의 'W' 크기 문자를 처리할 수 있는 필드에 표시되어야 합니다. 즉,WWWWWWWWWWWWWWW
코드를 올바르게 표시할 수 있으면 UI가 유효하며user_code
가 UI에 표시되는 방식을 테스트할 때 이 문자열 값을 사용하는 것이 좋습니다.user_code
는 대소문자를 구분하므로 대소문자 변경이나 다른 서식 문자 삽입과 같은 방식으로 수정해서는 안 됩니다.
verification_url
verification_url
를 표시하는 공간은 길이가 40자인 URL 문자열을 처리할 만큼 충분히 넓어야 합니다.- 표시용 스키마를 선택적으로 삭제하는 경우를 제외하고 어떠한 방식으로도
verification_url
를 수정해서는 안 됩니다. 표시상의 이유로 URL에서 스키마(예:https://
)를 삭제하려는 경우 앱이http
및https
변형을 모두 처리할 수 있는지 확인합니다.
4단계: Google의 승인 서버 폴링
사용자가 별도의 기기를 사용하여 verification_url
로 이동하고 액세스를 승인하거나 거부하므로 사용자가 액세스 요청에 응답해도 요청 기기에 자동으로 알림이 전송되지 않습니다. 따라서 요청하는 기기는 Google의 승인 서버를 폴링하여 사용자가 요청에 응답한 시점을 확인해야 합니다.
요청하는 기기는 사용자가 액세스 요청에 응답했음을 나타내는 응답을 수신할 때까지 또는
2단계에서 가져온 device_code
및 user_code
가 만료될 때까지 폴링 요청을 계속 전송해야 합니다. 2단계에서 반환된 interval
는 요청 간에 대기할 시간(초)을 지정합니다.
폴링할 엔드포인트의 URL은 https://oauth2.googleapis.com/token
입니다. 폴링 요청에는 다음 매개변수가 포함됩니다.
매개변수 | |
---|---|
client_id |
애플리케이션의 클라이언트 ID입니다. 이 값은 에서 확인할 수 있습니다. |
client_secret |
제공된 client_id 의 클라이언트 보안 비밀번호입니다. 이 값은
에서 확인할 수 있습니다. |
device_code |
2단계에서 승인 서버가 반환한 device_code 입니다. |
grant_type |
이 값을 urn:ietf:params:oauth:grant-type:device_code 로 설정합니다. |
예
다음 스니펫은 샘플 요청을 보여줍니다.
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded client_id=client_id& client_secret=client_secret& device_code=device_code& grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Adevice_code
다음 예는 동일한 요청을 전송하는 curl
명령어를 보여줍니다.
curl -d "client_id=client_id&client_secret=client_secret& \ device_code=device_code& \ grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Adevice_code" \ -H "Content-Type: application/x-www-form-urlencoded" \ https://oauth2.googleapis.com/token
5단계: 사용자가 액세스 요청에 응답함
다음 이미지는 사용자가 3단계에서 표시한 verification_url
로 이동할 때 표시되는 페이지와 유사한 페이지를 보여줍니다.
user_code
를 입력하고 아직 로그인하지 않은 경우 Google에 로그인하면 아래와 같은 동의 화면이 표시됩니다.
6단계: 폴링 요청에 대한 응답 처리
Google의 승인 서버는 각 폴링 요청에 다음 응답 중 하나로 응답합니다.
액세스 권한이 부여됨
사용자가 동의 화면에서 Allow
를 클릭하여 기기에 대한 액세스 권한을 부여한 경우 응답에 액세스 토큰과 갱신 토큰이 포함됩니다. 토큰을 사용하면 기기가 사용자를 대신하여 Google API에 액세스할 수 있습니다. 응답의 scope
속성은 기기가 액세스할 수 있는 API를 결정합니다.
이 경우 API 응답에는 다음 필드가 포함됩니다.
필드 | |
---|---|
access_token |
애플리케이션에서 Google API 요청을 승인하기 위해 전송하는 토큰입니다. |
expires_in |
액세스 토큰의 남은 수명(초)입니다. |
refresh_token |
새 액세스 토큰을 가져오는 데 사용할 수 있는 토큰입니다. 갱신 토큰은 사용자가 액세스 권한을 취소할 때까지 유효합니다. 갱신 토큰은 항상 기기에 대해 반환됩니다. |
scope |
access_token 에서 부여한 액세스 범위로, 공백으로 구분되고 대소문자가 구분되는 문자열 목록으로 표현됩니다. |
token_type |
반환된 토큰 유형입니다. 이때 이 필드의 값은 항상 Bearer 로 설정됩니다. |
다음 스니펫은 샘플 응답을 보여줍니다.
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "scope": "openid https://www.googleapis.com/auth/userinfo.profile https://www.googleapis.com/auth/userinfo.email", "token_type": "Bearer", "refresh_token": "1/xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI" }
액세스 토큰의 수명은 제한적입니다. 애플리케이션이 장시간 동안 API에 액세스해야 하는 경우 갱신 토큰을 사용하여 새 액세스 토큰을 가져올 수 있습니다. 애플리케이션에 이러한 유형의 액세스가 필요한 경우 나중에 사용할 수 있도록 갱신 토큰을 저장해야 합니다.
액세스가 거부됨
사용자가 기기에 대한 액세스 권한 부여를 거부하면 서버 응답에 403
HTTP 응답 상태 코드 (Forbidden
)가 포함됩니다. 응답에는 다음 오류가 포함됩니다.
{ "error": "access_denied", "error_description": "Forbidden" }
승인 대기 중
사용자가 아직 승인 흐름을 완료하지 않은 경우 서버는 428
HTTP 응답 상태 코드 (Precondition Required
)를 반환합니다. 응답에는 다음 오류가 포함됩니다.
{ "error": "authorization_pending", "error_description": "Precondition Required" }
폴링이 너무 빈번함
기기가 폴링 요청을 너무 자주 전송하면 서버는 403
HTTP 응답 상태 코드 (Forbidden
)를 반환합니다. 응답에는 다음 오류가 포함됩니다.
{ "error": "slow_down", "error_description": "Forbidden" }
기타 오류
또한 폴링 요청에 필수 매개변수가 누락되었거나 매개변수 값이 잘못된 경우 승인 서버에서 오류를 반환합니다. 이러한 요청에는 일반적으로 400
(Bad Request
) 또는 401
(Unauthorized
) HTTP 응답 상태 코드가 있습니다. 이러한 오류는 다음과 같습니다.
오류 | HTTP 상태 코드 | 설명 |
---|---|---|
admin_policy_enforced |
400 |
Google 계정이 Google Workspace 관리자의 정책으로 인해 요청된 하나 이상의 범위를 승인할 수 없습니다. OAuth 클라이언트 ID에 액세스가 명시적으로 부여될 때까지 관리자가 범위에 대한 액세스를 제한하는 방법에 관한 자세한 내용은 Google Workspace 관리자 도움말 Google Workspace 데이터에 액세스할 수 있는 서드 파티 및 내부 앱 제어하기를 참고하세요. |
invalid_client |
401 |
OAuth 클라이언트를 찾을 수 없습니다. 예를 들어 이 오류는 OAuth 클라이언트 유형이 잘못되었습니다. 클라이언트 ID의 애플리케이션 유형이 TV 및 입력 제한 기기로 설정되어 있는지 확인합니다. |
invalid_grant |
400 |
code 매개변수 값이 잘못되었거나, 이미 소유권이 주장되었거나, 파싱할 수 없습니다. |
unsupported_grant_type |
400 |
grant_type 매개변수 값이 잘못되었습니다. |
org_internal |
403 |
요청의 OAuth 클라이언트 ID는 특정 Google Cloud 조직의 Google 계정에 대한 액세스를 제한하는 프로젝트의 일부입니다. OAuth 애플리케이션의 사용자 유형 구성을 확인합니다. |
Google API 호출
애플리케이션이 액세스 토큰을 획득한 후 API에 필요한 액세스 범위가 부여된 경우 이 토큰을 사용하여 지정된 사용자 계정을 대신하여 Google API를 호출할 수 있습니다. 이렇게 하려면 access_token
쿼리 매개변수 또는 Authorization
HTTP 헤더 Bearer
값을 포함하여 API 요청에 액세스 토큰을 포함합니다. 가능하면 HTTP 헤더를 사용하는 것이 좋습니다. 쿼리 문자열은 서버 로그에 표시되는 경향이 있기 때문입니다. 대부분의 경우 클라이언트 라이브러리를 사용하여 Google API 호출을 설정할 수 있습니다 (예: YouTube Data API를 호출하는 경우).
YouTube Data API는 음반사, 영화 제작사와 같이 여러 YouTube 채널을 소유하고 관리하는 YouTube 콘텐츠 소유자의 서비스 계정만 지원합니다.
OAuth 2.0 플레이그라운드에서 모든 Google API를 사용해 보고 범위를 확인할 수 있습니다.
HTTP GET 예시
Authorization: Bearer
HTTP 헤더를 사용하여
youtube.channels
엔드포인트 (YouTube Data API)를 호출하면 다음과 같은 형식이 됩니다. 자체 액세스 토큰을 지정해야 합니다.
GET /youtube/v3/channels?part=snippet&mine=true HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
다음은 access_token
쿼리 문자열 매개변수를 사용하여 인증된 사용자의 동일한 API를 호출하는 예입니다.
GET https://www.googleapis.com/youtube/v3/channels?access_token=access_token&part=snippet&mine=true
curl
예
curl
명령줄 애플리케이션을 사용하여 이러한 명령어를 테스트할 수 있습니다. 다음은 HTTP 헤더 옵션을 사용하는 예입니다 (권장).
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/youtube/v3/channels?part=snippet&mine=true
또는 쿼리 문자열 매개변수 옵션을 사용할 수 있습니다.
curl https://www.googleapis.com/youtube/v3/channels?access_token=access_token&part=snippet&mine=true
액세스 토큰 갱신
액세스 토큰은 주기적으로 만료되어 관련 API 요청에 대한 잘못된 사용자 인증 정보가 됩니다. 토큰과 연결된 범위의 오프라인 액세스를 요청한 경우에는 사용자에게 권한을 요청하지 않고 액세스 토큰을 갱신할 수 있습니다 (사용자가 없는 경우 포함).
액세스 토큰을 새로고침하기 위해 애플리케이션은 다음 매개변수가 포함된 HTTPS POST
요청을 Google의 승인 서버 (https://oauth2.googleapis.com/token
)로 전송합니다.
필드 | |
---|---|
client_id |
에서 가져온 클라이언트 ID입니다. |
client_secret |
에서 가져온 클라이언트 보안 비밀입니다. |
grant_type |
OAuth 2.0 사양에 정의된 대로 이 필드의 값은 refresh_token 로 설정해야 합니다. |
refresh_token |
승인 코드 교환에서 반환된 갱신 토큰입니다. |
다음 스니펫은 샘플 요청을 보여줍니다.
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded client_id=your_client_id& client_secret=your_client_secret& refresh_token=refresh_token& grant_type=refresh_token
사용자가 애플리케이션에 부여된 액세스 권한을 취소하지 않는 한 토큰 서버는 새 액세스 토큰이 포함된 JSON 객체를 반환합니다. 다음 스니펫은 샘플 응답을 보여줍니다.
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "scope": "https://www.googleapis.com/auth/drive.metadata.readonly", "token_type": "Bearer" }
발급되는 새로고침 토큰 수에는 제한이 있습니다. 클라이언트/사용자 조합당 한도와 모든 클라이언트에서 사용자당 한도가 각각 있습니다. 갱신 토큰은 장기 저장소에 저장하고 유효한 상태인 한 계속 사용해야 합니다. 애플리케이션에서 새로고침 토큰을 너무 많이 요청하면 이러한 제한이 발생할 수 있으며, 이 경우 이전 새로고침 토큰이 작동을 멈춥니다.
토큰 취소
경우에 따라 사용자가 애플리케이션에 부여된 액세스 권한을 취소하려고 할 수 있습니다. 사용자는 계정 설정으로 이동하여 액세스 권한을 취소할 수 있습니다. 자세한 내용은 내 계정에 액세스할 수 있는 서드 파티 사이트 및 앱의 사이트 또는 앱 액세스 권한 삭제 섹션 지원 문서를 참고하세요.
애플리케이션이 프로그래매틱 방식으로 부여된 액세스 권한을 취소할 수도 있습니다. 프로그래매틱 취소는 사용자가 구독을 취소하거나 애플리케이션을 삭제하거나 앱에 필요한 API 리소스가 크게 변경된 경우에 중요합니다. 즉, 삭제 프로세스의 일부에는 이전에 애플리케이션에 부여된 권한이 삭제되도록 하는 API 요청이 포함될 수 있습니다.
토큰을 프로그래매틱 방식으로 취소하려면 애플리케이션에서 https://oauth2.googleapis.com/revoke
에 요청을 보내고 토큰을 매개변수로 포함합니다.
curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \ https://oauth2.googleapis.com/revoke?token={token}
토큰은 액세스 토큰 또는 갱신 토큰일 수 있습니다. 토큰이 액세스 토큰이고 상응하는 갱신 토큰이 있는 경우 갱신 토큰도 취소됩니다.
취소가 성공적으로 처리되면 응답의 HTTP 상태 코드는 200
입니다. 오류 상태의 경우 HTTP 상태 코드 400
가 오류 코드와 함께 반환됩니다.
허용되는 범위
기기의 OAuth 2.0 흐름은 다음 범위에서만 지원됩니다.
OpenID Connect, Google 로그인
email
openid
profile
Drive API
https://www.googleapis.com/auth/drive.appdata
https://www.googleapis.com/auth/drive.file
YouTube API
https://www.googleapis.com/auth/youtube
https://www.googleapis.com/auth/youtube.readonly
계정 간 보안 구현
사용자 계정을 보호하기 위해 취해야 할 추가 조치는 Google의 교차 계정 보호 서비스를 활용하여 교차 계정 보호를 구현하는 것입니다. 이 서비스를 사용하면 사용자 계정의 주요 변경사항에 관한 정보를 애플리케이션에 제공하는 보안 이벤트 알림을 구독할 수 있습니다. 그런 다음 이 정보를 사용하여 이벤트에 응답하는 방법에 따라 조치를 취할 수 있습니다.
Google의 교차 계정 보호 서비스에서 앱으로 전송하는 이벤트 유형의 예는 다음과 같습니다.
-
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked
-
https://schemas.openid.net/secevent/oauth/event-type/token-revoked
-
https://schemas.openid.net/secevent/risc/event-type/account-disabled
계정 간 보안을 구현하는 방법과 사용 가능한 이벤트의 전체 목록에 관한 자세한 내용은 계정 간 보안으로 사용자 계정 보호하기 페이지 를 참고하세요.