이 문서에서는 웹 서버 애플리케이션에서 Google API 클라이언트 라이브러리 또는 Google OAuth 2.0 엔드포인트를 사용하여 YouTube Data API에 액세스하기 위한 OAuth 2.0 승인을 구현하는 방법을 설명합니다.
OAuth 2.0을 사용하면 사용자가 사용자 이름, 비밀번호, 기타 정보를 비공개로 유지하면서 특정 데이터를 애플리케이션과 공유할 수 있습니다. 예를 들어 애플리케이션은 OAuth 2.0을 사용하여 채널의 YouTube 데이터를 검색할 권한을 얻을 수 있습니다.
이 OAuth 2.0 흐름은 특히 사용자 승인을 위한 것입니다. 기밀 정보를 저장하고 상태를 유지할 수 있는 애플리케이션용으로 설계되었습니다. 적절하게 승인된 웹 서버 애플리케이션은 사용자가 애플리케이션과 상호작용하는 동안 또는 사용자가 애플리케이션을 종료한 후에 API에 액세스할 수 있습니다.
웹 서버 애플리케이션은 특히 Cloud API를 호출하여 사용자별 데이터가 아닌 프로젝트 기반 데이터에 액세스할 때 API 요청을 승인하기 위해 서비스 계정을 자주 사용합니다. 웹 서버 애플리케이션은 사용자 승인과 함께 서비스 계정을 사용할 수 있습니다.
YouTube Live Streaming API는 서비스 계정 흐름을 지원하지 않습니다. 서비스 계정을 YouTube 계정에 연결할 방법이 없으므로 이 흐름으로 요청을 승인하려고 하면 NoLinkedYouTubeAccount
오류가 발생합니다.
클라이언트 라이브러리
이 페이지의 언어별 예에서는 Google API 클라이언트 라이브러리를 사용하여 OAuth 2.0 승인을 구현합니다. 코드 샘플을 실행하려면 먼저 해당 언어용 클라이언트 라이브러리를 설치해야 합니다.
Google API 클라이언트 라이브러리를 사용하여 애플리케이션의 OAuth 2.0 흐름을 처리하면 클라이언트 라이브러리가 애플리케이션에서 직접 처리해야 하는 여러 작업을 실행합니다. 예를 들어 애플리케이션이 저장된 액세스 토큰을 사용하거나 새로고침할 수 있는 시점과 애플리케이션이 동의를 다시 받아야 하는 시점을 결정합니다. 또한 클라이언트 라이브러리는 올바른 리디렉션 URL을 생성하고 승인 코드를 액세스 토큰으로 교환하는 리디렉션 핸들러를 구현하는 데 도움이 됩니다.
서버 측 애플리케이션용 Google API 클라이언트 라이브러리는 다음 언어로 제공됩니다.
기본 요건
프로젝트에 API 사용 설정
Google API를 호출하는 모든 애플리케이션은 에서 이러한 API를 사용 설정해야 합니다.
프로젝트에 API를 사용 설정하려면 다음 단계를 따르세요.
- 의
- 라이브러리 페이지를 사용하여 YouTube Data API를 찾아 사용 설정합니다. 애플리케이션에서 사용할 다른 API를 찾아 사용 설정합니다.
승인 사용자 인증 정보 만들기
OAuth 2.0을 사용하여 Google API에 액세스하는 모든 애플리케이션에는 Google의 OAuth 2.0 서버에 애플리케이션을 식별하는 승인 사용자 인증 정보가 있어야 합니다. 다음 단계에서는 프로젝트의 사용자 인증 정보를 만드는 방법을 설명합니다. 그러면 애플리케이션에서 사용자 인증 정보를 사용하여 해당 프로젝트에 대해 사용 설정한 API에 액세스할 수 있습니다.
- 사용자 인증 정보 만들기 > OAuth 클라이언트 ID를 클릭합니다.
- 웹 애플리케이션 애플리케이션 유형을 선택합니다.
- 양식을 작성하고 만들기를 클릭합니다. PHP, Java, Python, Ruby, .NET과 같은 언어와 프레임워크를 사용하는 애플리케이션은 승인된 리디렉션 URI를 지정해야 합니다. 리디렉션 URI는 OAuth 2.0 서버가 응답을 보낼 수 있는 엔드포인트입니다. 이러한 엔드포인트는 Google의 유효성 검사 규칙을 준수해야 합니다.
테스트의 경우
http://localhost:8080
와 같이 로컬 머신을 참조하는 URI를 지정할 수 있습니다. 이 점을 고려하여 이 문서의 모든 예에서는http://localhost:8080
를 리디렉션 URI로 사용합니다.애플리케이션이 페이지의 다른 리소스에 승인 코드를 노출하지 않도록 앱의 인증 엔드포인트를 설계하는 것이 좋습니다.
사용자 인증 정보를 만든 후 에서 client_secret.json 파일을 다운로드합니다. 이 애플리케이션만 액세스할 수 있는 위치에 안전하게 파일을 저장합니다.
액세스 범위 식별
범위를 사용 설정하면 애플리케이션은 필요한 리소스에 대한 액세스만 요청하고 사용자는 애플리케이션에 부여하는 액세스 양을 제어할 수 있습니다. 따라서 요청된 범위 수와 사용자 동의 얻을 가능성 사이에는 역관계가 있을 수 있습니다.
OAuth 2.0 승인을 구현하기 전에 앱에서 액세스 권한이 필요한 범위를 지정하는 것이 좋습니다.
또한 애플리케이션이 맥락에서 사용자 데이터에 대한 액세스를 요청하는 증분 승인 프로세스를 통해 승인 범위에 대한 액세스를 요청하는 것이 좋습니다. 이 권장사항을 따르면 사용자가 애플리케이션에 요청하는 액세스 권한이 필요한 이유를 더 쉽게 이해할 수 있습니다.
YouTube Data API v3는 다음 범위를 사용합니다.
범위 | |
---|---|
https://www.googleapis.com/auth/youtube | YouTube 계정 관리 |
https://www.googleapis.com/auth/youtube.channel-memberships.creator | 현재 활동 중인 채널 회원의 목록과 채널 회원의 현재 등급, 회원이 된 시기를 확인할 수 있습니다. |
https://www.googleapis.com/auth/youtube.force-ssl | 내 YouTube 동영상, 평점, 댓글, 캡션의 보기, 수정 및 영구적인 삭제가 가능합니다. |
https://www.googleapis.com/auth/youtube.readonly | YouTube 계정 보기 |
https://www.googleapis.com/auth/youtube.upload | YouTube 동영상 관리 |
https://www.googleapis.com/auth/youtubepartner | YouTube에서 내 저작물과 관련 콘텐츠 조회 및 관리 |
https://www.googleapis.com/auth/youtubepartner-channel-audit | YouTube 파트너 감사 과정 중 관련된 내 YouTube 채널의 비공개 정보 조회 |
OAuth 2.0 API 범위 문서에는 Google API에 액세스하는 데 사용할 수 있는 전체 범위 목록이 포함되어 있습니다.
언어별 요구사항
이 문서의 코드 샘플을 실행하려면 Google 계정, 인터넷 액세스 권한, 웹브라우저가 필요합니다. API 클라이언트 라이브러리 중 하나를 사용하는 경우 아래의 언어별 요구사항도 참고하세요.
PHP
이 문서의 PHP 코드 샘플을 실행하려면 다음이 필요합니다.
- 명령줄 인터페이스 (CLI) 및 JSON 확장 프로그램이 설치된 PHP 8.0 이상
- Composer 종속 항목 관리 도구
-
PHP용 Google API 클라이언트 라이브러리:
composer require google/apiclient:^2.15.0
자세한 내용은 PHP용 Google API 클라이언트 라이브러리를 참고하세요.
Python
이 문서의 Python 코드 샘플을 실행하려면 다음이 필요합니다.
- Python 3.7 이상
- pip 패키지 관리 도구
- Python용 Google API 클라이언트 라이브러리 2.0 출시:
pip install --upgrade google-api-python-client
- 사용자 승인을 위한
google-auth
,google-auth-oauthlib
,google-auth-httplib2
pip install --upgrade google-auth google-auth-oauthlib google-auth-httplib2
- Flask Python 웹 애플리케이션 프레임워크
pip install --upgrade flask
requests
HTTP 라이브러리pip install --upgrade requests
Python 및 관련 이전 가이드를 업그레이드할 수 없는 경우 Google API Python 클라이언트 라이브러리 출시 노트를 검토하세요.
Ruby
이 문서의 Ruby 코드 샘플을 실행하려면 다음이 필요합니다.
- Ruby 2.6 이상
-
Ruby용 Google 인증 라이브러리:
gem install googleauth
-
Drive 및 Calendar Google API용 클라이언트 라이브러리:
gem install google-apis-drive_v3 google-apis-calendar_v3
-
Sinatra Ruby 웹 애플리케이션 프레임워크
gem install sinatra
Node.js
이 문서의 Node.js 코드 샘플을 실행하려면 다음이 필요합니다.
- Node.js의 유지보수 LTS, 활성 LTS 또는 현재 출시 버전
-
Google API Node.js 클라이언트는 다음을 제공합니다.
npm install googleapis crypto express express-session
HTTP/REST
OAuth 2.0 엔드포인트를 직접 호출하기 위해 라이브러리를 설치할 필요는 없습니다.
OAuth 2.0 액세스 토큰 가져오기
다음 단계에서는 애플리케이션이 Google의 OAuth 2.0 서버와 상호작용하여 사용자를 대신하여 API 요청을 실행하기 위한 사용자의 동의를 얻는 방법을 보여줍니다. 애플리케이션이 사용자 승인이 필요한 Google API 요청을 실행하려면 동의를 받아야 합니다.
아래 목록은 이러한 단계를 요약한 것입니다.
- 애플리케이션이 필요한 권한을 식별합니다.
- 애플리케이션은 요청된 권한 목록과 함께 사용자를 Google로 리디렉션합니다.
- 사용자는 애플리케이션에 권한을 부여할지 결정합니다.
- 애플리케이션은 사용자가 결정한 사항을 확인합니다.
- 사용자가 요청된 권한을 부여하면 애플리케이션은 사용자를 대신하여 API 요청을 실행하는 데 필요한 토큰을 검색합니다.
1단계: 승인 매개변수 설정
첫 번째 단계는 승인 요청을 만드는 것입니다. 이 요청은 애플리케이션을 식별하고 사용자가 애플리케이션에 부여하도록 요청할 권한을 정의하는 매개변수를 설정합니다.
- OAuth 2.0 인증 및 승인에 Google 클라이언트 라이브러리를 사용하는 경우 이러한 매개변수를 정의하는 객체를 만들고 구성합니다.
- Google OAuth 2.0 엔드포인트를 직접 호출하면 URL이 생성되고 이 URL에 매개변수가 설정됩니다.
아래 탭에서는 웹 서버 애플리케이션에 지원되는 승인 매개변수를 정의합니다. 언어별 예에서는 클라이언트 라이브러리 또는 승인 라이브러리를 사용하여 이러한 매개변수를 설정하는 객체를 구성하는 방법도 보여줍니다.
PHP
다음 코드 스니펫은 승인 요청의 매개변수를 정의하는 Google\Client()
객체를 만듭니다.
이 객체는 client_secret.json 파일의 정보를 사용하여 애플리케이션을 식별합니다. 이 파일에 관한 자세한 내용은 승인 사용자 인증 정보 생성을 참고하세요. 또한 이 객체는 애플리케이션이 액세스 권한을 요청하는 범위와 Google OAuth 2.0 서버의 응답을 처리할 애플리케이션 인증 엔드포인트의 URL을 식별합니다. 마지막으로 코드는 선택적 access_type
및 include_granted_scopes
매개변수를 설정합니다.
예를 들어 사용자의 YouTube 데이터를 검색하기 위해 오프라인 액세스를 요청하려면 다음 단계를 따르세요.
use Google\Client; $client = new Client(); // Required, call the setAuthConfig function to load authorization credentials from // client_secret.json file. $client->setAuthConfig('client_secret.json'); // Required, to set the scope value, call the addScope function $client->addScope(Google_Service_YouTube::YOUTUBE_FORCE_SSL); // Required, call the setRedirectUri function to specify a valid redirect URI for the // provided client_id $client->setRedirectUri('http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'); // Recommended, offline access will give you both an access and refresh token so that // your app can refresh the access token without user interaction. $client->setAccessType('offline'); // Recommended, call the setState function. Using a state value can increase your assurance that // an incoming connection is the result of an authentication request. $client->setState($sample_passthrough_value); // Optional, if your application knows which user is trying to authenticate, it can use this // parameter to provide a hint to the Google Authentication Server. $client->setLoginHint('hint@example.com'); // Optional, call the setPrompt function to set "consent" will prompt the user for consent $client->setPrompt('consent'); // Optional, call the setIncludeGrantedScopes function with true to enable incremental // authorization $client->setIncludeGrantedScopes(true);
Python
다음 코드 스니펫은 google-auth-oauthlib.flow
모듈을 사용하여 승인 요청을 생성합니다.
이 코드는 승인 사용자 인증 정보 만들기 후 다운로드한 client_secret.json 파일의 정보를 사용하여 애플리케이션을 식별하는 Flow
객체를 생성합니다. 이 객체는 애플리케이션이 액세스 권한을 요청하는 범위와 Google OAuth 2.0 서버의 응답을 처리할 애플리케이션 인증 엔드포인트의 URL도 식별합니다. 마지막으로 코드는 선택적 access_type
및 include_granted_scopes
매개변수를 설정합니다.
예를 들어 사용자의 YouTube 데이터를 검색하기 위해 오프라인 액세스를 요청하려면 다음 단계를 따르세요.
import google.oauth2.credentials import google_auth_oauthlib.flow # Required, call the from_client_secrets_file method to retrieve the client ID from a # client_secret.json file. The client ID (from that file) and access scopes are required. (You can # also use the from_client_config method, which passes the client configuration as it originally # appeared in a client secrets file but doesn't access the file itself.) flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file('client_secret.json', scopes=['https://www.googleapis.com/auth/youtube.force-ssl', 'https://www.googleapis.com/auth/calendar.readonly']) # Required, indicate where the API server will redirect the user after the user completes # the authorization flow. The redirect URI is required. The value must exactly # match one of the authorized redirect URIs for the OAuth 2.0 client, which you # configured in the API Console. If this value doesn't match an authorized URI, # you will get a 'redirect_uri_mismatch' error. flow.redirect_uri = 'https://www.example.com/oauth2callback' # Generate URL for request to Google's OAuth 2.0 server. # Use kwargs to set optional request parameters. authorization_url, state = flow.authorization_url( # Recommended, enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Optional, enable incremental authorization. Recommended as a best practice. include_granted_scopes='true', # Optional, if your application knows which user is trying to authenticate, it can use this # parameter to provide a hint to the Google Authentication Server. login_hint='hint@example.com', # Optional, set prompt to 'consent' will prompt the user for consent prompt='consent')
Ruby
만든 client_secrets.json 파일을 사용하여 애플리케이션에서 클라이언트 객체를 구성합니다. 클라이언트 객체를 구성할 때 애플리케이션이 액세스해야 하는 범위와 OAuth 2.0 서버의 응답을 처리할 애플리케이션 인증 엔드포인트의 URL을 지정합니다.
예를 들어 사용자의 YouTube 데이터를 검색하기 위해 오프라인 액세스를 요청하려면 다음 단계를 따르세요.
require 'googleauth' require 'googleauth/web_user_authorizer' require 'googleauth/stores/redis_token_store' require 'google/apis/youtube_v3' require 'google/apis/calendar_v3' # Required, call the from_file method to retrieve the client ID from a # client_secret.json file. client_id = Google::Auth::ClientId.from_file('/path/to/client_secret.json') # Required, scope value # Access scopes for two non-Sign-In scopes: Read-only Drive activity and Google Calendar. scope = ['Google::Apis::DriveV3::AUTH_DRIVE_METADATA_READONLY', 'Google::Apis::CalendarV3::AUTH_CALENDAR_READONLY'] # Required, Authorizers require a storage instance to manage long term persistence of # access and refresh tokens. token_store = Google::Auth::Stores::RedisTokenStore.new(redis: Redis.new) # Required, indicate where the API server will redirect the user after the user completes # the authorization flow. The redirect URI is required. The value must exactly # match one of the authorized redirect URIs for the OAuth 2.0 client, which you # configured in the API Console. If this value doesn't match an authorized URI, # you will get a 'redirect_uri_mismatch' error. callback_uri = '/oauth2callback' # To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI # from the client_secret.json file. To get these credentials for your application, visit # https://console.cloud.google.com/apis/credentials. authorizer = Google::Auth::WebUserAuthorizer.new(client_id, scope, token_store, callback_uri)
애플리케이션은 클라이언트 객체를 사용하여 승인 요청 URL 생성, HTTP 요청에 액세스 토큰 적용과 같은 OAuth 2.0 작업을 실행합니다.
Node.js
다음 코드 스니펫은 승인 요청의 매개변수를 정의하는 google.auth.OAuth2
객체를 만듭니다.
이 객체는 client_secret.json 파일의 정보를 사용하여 애플리케이션을 식별합니다. 액세스 토큰을 가져오기 위해 사용자에게 권한을 요청하려면 동의 페이지로 리디렉션합니다. 동의 페이지 URL을 만들려면 다음 단계를 따르세요.
const {google} = require('googleapis'); const crypto = require('crypto'); const express = require('express'); const session = require('express-session'); /** * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI * from the client_secret.json file. To get these credentials for your application, visit * https://console.cloud.google.com/apis/credentials. */ const oauth2Client = new google.auth.OAuth2( YOUR_CLIENT_ID, YOUR_CLIENT_SECRET, YOUR_REDIRECT_URL ); // Access scopes for two non-Sign-In scopes: Read-only Drive activity and Google Calendar. const scopes = [ 'https://www.googleapis.com/auth/youtube.force-ssl', 'https://www.googleapis.com/auth/calendar.readonly' ]; // Generate a secure random state value. const state = crypto.randomBytes(32).toString('hex'); // Store state in the session req.session.state = state; // Generate a url that asks permissions for the Drive activity and Google Calendar scope const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true, // Include the state parameter to reduce the risk of CSRF attacks. state: state });
중요 사항 - refresh_token
는 첫 번째 승인 시만 반환됩니다. 자세한 내용은
여기를 참고하세요.
HTTP/REST
Google의 OAuth 2.0 엔드포인트는 https://accounts.google.com/o/oauth2/v2/auth
에 있습니다. 이 엔드포인트는 HTTPS를 통해서만 액세스할 수 있습니다. 일반 HTTP 연결은 거부됩니다.
Google 승인 서버는 웹 서버 애플리케이션에 다음과 같은 쿼리 문자열 매개변수를 지원합니다.
매개변수 | |||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
client_id |
필수
애플리케이션의 클라이언트 ID입니다. 이 값은 에서 확인할 수 있습니다. |
||||||||||||||||
redirect_uri |
필수
사용자가 승인 흐름을 완료한 후 API 서버가 사용자를 리디렉션할 위치를 결정합니다. 이 값은 클라이언트의
에서 구성한 OAuth 2.0 클라이언트에 대해 승인된 리디렉션 URI 중 하나와 정확하게 일치해야 합니다. 이 값이 제공된
|
||||||||||||||||
response_type |
필수
Google OAuth 2.0 엔드포인트가 승인 코드를 반환하는지 여부를 결정합니다. 웹 서버 애플리케이션의 매개변수 값을 |
||||||||||||||||
scope |
필수
애플리케이션이 사용자를 대신하여 액세스할 수 있는 리소스를 식별하는 공백으로 구분된 범위 목록입니다. 이러한 값은 Google에서 사용자에게 표시하는 동의 화면에 정보를 제공합니다. 범위를 사용 설정하면 애플리케이션은 필요한 리소스에 대한 액세스만 요청하고 사용자는 애플리케이션에 부여하는 액세스 양을 제어할 수 있습니다. 따라서 요청된 범위 수와 사용자 동의 얻을 가능성 사이에는 역관계가 있습니다. YouTube Data API v3는 다음 범위를 사용합니다.
OAuth 2.0 API 범위 문서에는 Google API에 액세스하는 데 사용할 수 있는 전체 범위 목록이 나와 있습니다. 애플리케이션은 가능하면 항상 컨텍스트에서 승인 범위에 대한 액세스를 요청하는 것이 좋습니다. 점진적 승인을 통해 맥락에 따라 사용자 데이터에 대한 액세스를 요청하면 사용자가 애플리케이션에서 요청하는 액세스 권한이 필요한 이유를 더 쉽게 이해할 수 있습니다. |
||||||||||||||||
access_type |
권장
사용자가 브라우저에 없을 때 애플리케이션이 액세스 토큰을 갱신할 수 있는지 나타냅니다. 유효한 매개변수 값은 기본값인 사용자가 브라우저에 없을 때 애플리케이션에서 액세스 토큰을 새로고침해야 하는 경우 값을 |
||||||||||||||||
state |
권장
애플리케이션이 인증 요청과 인증 서버의 응답 간에 상태를 유지하는 데 사용하는 문자열 값을 지정합니다.
서버는 사용자가 애플리케이션의 액세스 요청에 동의하거나 거부한 후 이 매개변수는 사용자를 애플리케이션의 올바른 리소스로 안내하고, nonce를 전송하고, 교차 사이트 요청 위조를 완화하는 등 다양한 목적으로 사용할 수 있습니다. |
||||||||||||||||
include_granted_scopes |
선택사항
애플리케이션이 증분 승인을 사용하여 컨텍스트에서 추가 범위에 대한 액세스를 요청할 수 있도록 합니다. 이 매개변수의 값을 |
||||||||||||||||
enable_granular_consent |
선택사항
기본값은 Google에서 애플리케이션에 세분화된 권한을 사용 설정하면 이 매개변수는 더 이상 영향을 미치지 않습니다. |
||||||||||||||||
login_hint |
선택사항
애플리케이션이 인증하려는 사용자를 알고 있는 경우 이 매개변수를 사용하여 Google 인증 서버에 힌트를 제공할 수 있습니다. 서버는 힌트를 사용하여 로그인 양식의 이메일 입력란을 미리 채우거나 적절한 멀티 로그인 세션을 선택하여 로그인 흐름을 간소화합니다. 매개변수 값을 사용자의 Google ID와 동일한 이메일 주소 또는 |
||||||||||||||||
prompt |
선택사항
사용자에게 표시할 프롬프트 목록으로, 공백으로 구분되며 대소문자가 구분됩니다. 이 매개변수를 지정하지 않으면 프로젝트에서 액세스를 처음 요청할 때만 사용자에게 메시지가 표시됩니다. 자세한 내용은 재동의 메시지 표시를 참고하세요. 가능한 값은 다음과 같습니다.
|
2단계: Google OAuth 2.0 서버로 리디렉션
사용자를 Google의 OAuth 2.0 서버로 리디렉션하여 인증 및 승인 프로세스를 시작합니다. 일반적으로 이는 애플리케이션이 사용자의 데이터에 처음 액세스해야 할 때 발생합니다. 증분 승인의 경우 애플리케이션에 아직 액세스 권한이 없는 추가 리소스에 처음 액세스해야 할 때도 이 단계가 발생합니다.
PHP
- Google의 OAuth 2.0 서버에서 액세스를 요청할 URL을 생성합니다.
$auth_url = $client->createAuthUrl();
- 사용자를
$auth_url
로 리디렉션합니다.header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL));
Python
이 예에서는 Flask 웹 애플리케이션 프레임워크를 사용하여 사용자를 승인 URL로 리디렉션하는 방법을 보여줍니다.
return flask.redirect(authorization_url)
Ruby
- Google의 OAuth 2.0 서버에서 액세스를 요청할 URL을 생성합니다.
auth_uri = authorizer.get_authorization_url(request: request)
- 사용자를
auth_uri
로 리디렉션합니다.
Node.js
-
1단계
generateAuthUrl
메서드에서 생성된 URLauthorizationUrl
을 사용하여 Google의 OAuth 2.0 서버에 액세스를 요청합니다. -
사용자를
authorizationUrl
로 리디렉션합니다.res.redirect(authorizationUrl);
HTTP/REST
Google 승인 서버로 리디렉션하는 샘플
아래 예시 URL에는 가독성을 위해 줄바꿈과 공백이 포함되어 있습니다. URL은 사용자의 YouTube 데이터를 검색하는 액세스를 허용하는 범위에 대한 액세스를 요청합니다. 증분 승인 (include_granted_scopes=true
)을 사용하여 새 액세스 토큰이 사용자가 이전에 애플리케이션 액세스 권한을 부여한 모든 범위를 포함하도록 합니다. 예시에서는 다른 여러 매개변수도 설정됩니다.
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.force-ssl& access_type=offline& include_granted_scopes=true& response_type=code& state=state_parameter_passthrough_value& redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback& client_id=client_id
요청 URL을 만든 후 사용자를 해당 URL로 리디렉션합니다.
Google의 OAuth 2.0 서버는 사용자를 인증하고 애플리케이션이 요청된 범위에 액세스할 수 있도록 사용자 동의를 얻습니다. 지정한 리디렉션 URL을 사용하여 응답이 애플리케이션으로 다시 전송됩니다.
3단계: Google에서 사용자에게 동의 메시지 표시
이 단계에서 사용자는 애플리케이션에 요청된 액세스 권한을 부여할지 결정합니다. 이 단계에서 Google은 애플리케이션의 이름과 사용자의 승인 사용자 인증 정보에 대한 액세스 권한을 요청하는 Google API 서비스, 부여할 액세스 범위의 요약을 보여주는 동의 창을 표시합니다. 그러면 사용자는 애플리케이션에서 요청한 하나 이상의 범위에 대한 액세스 권한을 부여하는 데 동의하거나 요청을 거부할 수 있습니다.
이 단계에서 애플리케이션은 액세스 권한이 부여되었는지 나타내는 Google OAuth 2.0 서버의 응답을 기다리므로 아무것도 할 필요가 없습니다. 이 응답은 다음 단계에서 설명합니다.
오류
Google의 OAuth 2.0 승인 엔드포인트에 대한 요청이 예상되는 인증 및 승인 흐름 대신 사용자 대상 오류 메시지를 표시할 수 있습니다. 일반적인 오류 코드와 권장 해결 방법은 다음과 같습니다.
admin_policy_enforced
Google 계정이 Google Workspace 관리자의 정책으로 인해 요청된 하나 이상의 범위를 승인할 수 없습니다. OAuth 클라이언트 ID에 액세스 권한이 명시적으로 부여될 때까지 관리자가 모든 범위 또는 민감하고 제한된 범위에 대한 액세스를 제한하는 방법에 관한 자세한 내용은 Google Workspace 관리자 도움말 Google Workspace 데이터에 액세스할 수 있는 서드 파티 및 내부 앱 제어하기를 참고하세요.
disallowed_useragent
승인 엔드포인트가 Google의 OAuth 2.0 정책에서 허용되지 않는 삽입된 사용자 에이전트 내에 표시됩니다.
Android
Android 개발자가 android.webkit.WebView
에서 승인 요청을 열 때 이 오류 메시지가 표시될 수 있습니다.
개발자는 대신 Android용 Google 로그인 또는 OpenID Foundation의 Android용 AppAuth와 같은 Android 라이브러리를 사용해야 합니다.
Android 앱이 삽입된 사용자 에이전트에서 일반 웹 링크를 열고 사용자가 사이트에서 Google의 OAuth 2.0 승인 엔드포인트로 이동하면 웹 개발자에게 이 오류가 발생할 수 있습니다. 개발자는 일반적인 링크가 운영체제의 기본 링크 핸들러에서 열리도록 허용해야 합니다. 여기에는 Android App Links 핸들러와 기본 브라우저 앱이 모두 포함됩니다. Android 맞춤 탭 라이브러리도 지원되는 옵션입니다.
iOS
iOS 및 macOS 개발자는 WKWebView
에서 승인 요청을 열 때 이 오류가 발생할 수 있습니다.
개발자는 대신 iOS용 Google 로그인 또는 OpenID Foundation의 iOS용 AppAuth와 같은 iOS 라이브러리를 사용해야 합니다.
iOS 또는 macOS 앱이 삽입된 사용자 에이전트에서 일반 웹 링크를 열고 사용자가 사이트에서 Google의 OAuth 2.0 승인 엔드포인트로 이동하면 웹 개발자에게 이 오류가 발생할 수 있습니다. 개발자는 범용 링크 핸들러 또는 기본 브라우저 앱을 모두 포함하는 운영체제의 기본 링크 핸들러에서 일반 링크가 열리도록 허용해야 합니다. SFSafariViewController
라이브러리도 지원되는 옵션입니다.
org_internal
요청의 OAuth 클라이언트 ID는 특정 Google Cloud 조직의 Google 계정에 대한 액세스를 제한하는 프로젝트의 일부입니다. 이 구성 옵션에 관한 자세한 내용은 OAuth 동의 화면 설정 도움말의 사용자 유형 섹션을 참고하세요.
invalid_client
OAuth 클라이언트 보안 비밀번호가 잘못되었습니다. 이 요청에 사용된 클라이언트 ID 및 보안 비밀을 포함하여 OAuth 클라이언트 구성을 검토합니다.
invalid_grant
액세스 토큰을 갱신하거나 증분 인증을 사용하는 경우 토큰이 만료되었거나 무효화되었을 수 있습니다. 사용자를 다시 인증하고 새 토큰을 가져오기 위해 사용자의 동의를 요청합니다. 이 오류가 계속 표시되면 애플리케이션이 올바르게 구성되었는지, 요청에 올바른 토큰과 매개변수를 사용하고 있는지 확인하세요. 그렇지 않으면 사용자 계정이 삭제되었거나 사용 중지되었을 수 있습니다.
redirect_uri_mismatch
승인 요청에 전달된 redirect_uri
가 OAuth 클라이언트 ID의 승인된 리디렉션 URI와 일치하지 않습니다. 에서 승인된 리디렉션 URI를 검토합니다.
redirect_uri
매개변수는 지원 중단되었으며 더 이상 지원되지 않는 OAuth 대역 외 (OOB) 흐름을 참조할 수 있습니다. 이전 가이드를 참고하여 통합을 업데이트하세요.
invalid_request
요청에 문제가 있습니다. 다음과 같은 여러 가지 이유로 이 문제가 발생할 수 있습니다.
- 요청 형식이 올바르지 않음
- 요청에 필수 매개변수가 누락되었습니다.
- 요청에서 Google에서 지원하지 않는 승인 방법을 사용합니다. OAuth 통합에서 권장되는 통합 방법을 사용하는지 확인
4단계: OAuth 2.0 서버 응답 처리
OAuth 2.0 서버는 요청에 지정된 URL을 사용하여 애플리케이션의 액세스 요청에 응답합니다.
사용자가 액세스 요청을 승인하면 응답에 승인 코드가 포함됩니다. 사용자가 요청을 승인하지 않으면 응답에 오류 메시지가 포함됩니다. 웹 서버에 반환되는 승인 코드 또는 오류 메시지가 아래와 같이 쿼리 문자열에 표시됩니다.
오류 응답:
https://oauth2.example.com/auth?error=access_denied
승인 코드 응답:
https://oauth2.example.com/auth?code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7
샘플 OAuth 2.0 서버 응답
Google Drive의 파일 메타데이터를 보려면 읽기 전용 액세스 권한을, Google Calendar 일정을 보려면 읽기 전용 액세스 권한을 요청하는 다음 샘플 URL을 클릭하여 이 흐름을 테스트할 수 있습니다.
https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.force-ssl& access_type=offline& include_granted_scopes=true& response_type=code& state=state_parameter_passthrough_value& redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback& client_id=client_id
OAuth 2.0 흐름을 완료하면 http://localhost/oauth2callback
로 리디렉션됩니다. 이 주소에서 로컬 머신이 파일을 제공하지 않는 한 404 NOT FOUND
오류가 발생할 수 있습니다. 다음 단계에서는 사용자가 애플리케이션으로 다시 리디렉션될 때 URI에 반환되는 정보에 관해 자세히 설명합니다.
5단계: 승인 코드를 갱신 토큰 및 액세스 토큰으로 교환
웹 서버는 승인 코드를 받은 후 승인 코드를 액세스 토큰으로 교환할 수 있습니다.
PHP
승인 코드를 액세스 토큰으로 교환하려면 fetchAccessTokenWithAuthCode
메서드를 사용합니다.
$access_token = $client->fetchAccessTokenWithAuthCode($_GET['code']);
Python
콜백 페이지에서 google-auth
라이브러리를 사용하여 승인 서버 응답을 확인합니다. 그런 다음 flow.fetch_token
메서드를 사용하여 해당 응답의 승인 코드를 액세스 토큰으로 교환합니다.
state = flask.session['state'] flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( 'client_secret.json', scopes=['https://www.googleapis.com/auth/youtube.force-ssl'], state=state) flow.redirect_uri = flask.url_for('oauth2callback', _external=True) authorization_response = flask.request.url flow.fetch_token(authorization_response=authorization_response) # Store the credentials in the session. # ACTION ITEM for developers: # Store user's access and refresh tokens in your data store if # incorporating this code into your real app. credentials = flow.credentials flask.session['credentials'] = { 'token': credentials.token, 'refresh_token': credentials.refresh_token, 'token_uri': credentials.token_uri, 'client_id': credentials.client_id, 'client_secret': credentials.client_secret, 'granted_scopes': credentials.granted_scopes}
Ruby
콜백 페이지에서 googleauth
라이브러리를 사용하여 승인 서버 응답을 확인합니다. authorizer.handle_auth_callback_deferred
메서드를 사용하여 승인 코드를 저장하고 원래 승인을 요청한 URL로 다시 리디렉션합니다. 이렇게 하면 결과를 사용자의 세션에 일시적으로 저장하여 코드 교환을 연기합니다.
target_url = Google::Auth::WebUserAuthorizer.handle_auth_callback_deferred(request) redirect target_url
Node.js
승인 코드를 액세스 토큰으로 교환하려면 getToken
메서드를 사용합니다.
const url = require('url'); // Receive the callback from Google's OAuth 2.0 server. app.get('/oauth2callback', async (req, res) => { let q = url.parse(req.url, true).query; if (q.error) { // An error response e.g. error=access_denied console.log('Error:' + q.error); } else if (q.state !== req.session.state) { //check state value console.log('State mismatch. Possible CSRF attack'); res.end('State mismatch. Possible CSRF attack'); } else { // Get access and refresh tokens (if access_type is offline) let { tokens } = await oauth2Client.getToken(q.code); oauth2Client.setCredentials(tokens); });
HTTP/REST
승인 코드를 액세스 토큰으로 교환하려면 https://oauth2.googleapis.com/token
엔드포인트를 호출하고 다음 매개변수를 설정합니다.
필드 | |
---|---|
client_id |
에서 가져온 클라이언트 ID입니다. |
client_secret |
에서 가져온 클라이언트 보안 비밀번호입니다. |
code |
초기 요청에서 반환된 승인 코드입니다. |
grant_type |
OAuth 2.0 사양에 정의된 대로 이 필드의 값은 authorization_code 로 설정해야 합니다. |
redirect_uri |
지정된 client_id 의
에 프로젝트에 대해 나열된 리디렉션 URI 중 하나입니다. |
다음 스니펫은 샘플 요청을 보여줍니다.
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7& client_id=your_client_id& client_secret=your_client_secret& redirect_uri=https%3A//oauth2.example.com/code& grant_type=authorization_code
Google은 이 요청에 대해 단기 액세스 토큰과 새로고침 토큰이 포함된 JSON 객체를 반환하여 응답합니다.
갱신 토큰은 애플리케이션이 Google의 승인 서버에 대한 초기 요청에서 access_type
매개변수를 offline
로 설정한 경우에만 반환됩니다.
응답에는 다음 필드가 포함됩니다.
필드 | |
---|---|
access_token |
애플리케이션에서 Google API 요청을 승인하기 위해 전송하는 토큰입니다. |
expires_in |
액세스 토큰의 남은 수명(초)입니다. |
refresh_token |
새 액세스 토큰을 가져오는 데 사용할 수 있는 토큰입니다. 갱신 토큰은 사용자가 액세스 권한을 취소할 때까지 유효합니다.
다시 말하지만 이 필드는 Google의 승인 서버에 대한 초기 요청에서 access_type 매개변수를 offline 로 설정한 경우에만 이 응답에 표시됩니다.
|
scope |
access_token 에서 부여한 액세스 범위로, 공백으로 구분되고 대소문자가 구분되는 문자열 목록으로 표현됩니다. |
token_type |
반환된 토큰 유형입니다. 이때 이 필드의 값은 항상 Bearer 로 설정됩니다. |
다음 스니펫은 샘플 응답을 보여줍니다.
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "token_type": "Bearer", "scope": "https://www.googleapis.com/auth/youtube.force-ssl https://www.googleapis.com/auth/calendar.readonly", "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI" }
오류
승인 코드를 액세스 토큰으로 교환할 때 예상 응답 대신 다음 오류가 발생할 수 있습니다. 일반적인 오류 코드와 권장 해결 방법은 다음과 같습니다.
invalid_grant
제공된 승인 코드가 잘못되었거나 형식이 잘못되었습니다. OAuth 프로세스를 다시 시작하여 새 코드를 요청하여 사용자에게 동의를 다시 요청합니다.
6단계: 사용자가 부여한 범위 확인하기
한 번에 여러 범위를 요청하면 사용자가 앱에서 요청하는 모든 범위를 부여하지 않을 수 있습니다. 앱은 항상 사용자가 부여한 범위를 확인하고 관련 기능을 사용 중지하여 범위 거부를 처리해야 합니다. 자세한 내용은 세분화된 권한을 처리하는 방법을 참고하세요.
PHP
사용자가 부여한 범위를 확인하려면 getGrantedScope()
메서드를 사용하세요.
// Space-separated string of granted scopes if it exists, otherwise null. $granted_scopes = $client->getOAuth2Service()->getGrantedScope(); // Determine which scopes user granted and build a dictionary $granted_scopes_dict = [ 'Drive' => str_contains($granted_scopes, Google\Service\Drive::DRIVE_METADATA_READONLY), 'Calendar' => str_contains($granted_scopes, Google\Service\Calendar::CALENDAR_READONLY) ];
Python
반환된 credentials
객체에는 사용자가 앱에 부여한 범위 목록인 granted_scopes
속성이 있습니다.
credentials = flow.credentials flask.session['credentials'] = { 'token': credentials.token, 'refresh_token': credentials.refresh_token, 'token_uri': credentials.token_uri, 'client_id': credentials.client_id, 'client_secret': credentials.client_secret, 'granted_scopes': credentials.granted_scopes}
다음 함수는 사용자가 앱에 부여한 범위를 확인합니다.
def check_granted_scopes(credentials): features = {} if 'https://www.googleapis.com/auth/drive.metadata.readonly' in credentials['granted_scopes']: features['drive'] = True else: features['drive'] = False if 'https://www.googleapis.com/auth/calendar.readonly' in credentials['granted_scopes']: features['calendar'] = True else: features['calendar'] = False return features
Ruby
한 번에 여러 범위를 요청할 때는 credentials
객체의 scope
속성을 통해 어떤 범위가 부여되었는지 확인합니다.
# User authorized the request. Now, check which scopes were granted. if credentials.scope.include?(Google::Apis::DriveV3::AUTH_DRIVE_METADATA_READONLY) # User authorized read-only Drive activity permission. # Calling the APIs, etc else # User didn't authorize read-only Drive activity permission. # Update UX and application accordingly end # Check if user authorized Calendar read permission. if credentials.scope.include?(Google::Apis::CalendarV3::AUTH_CALENDAR_READONLY) # User authorized Calendar read permission. # Calling the APIs, etc. else # User didn't authorize Calendar read permission. # Update UX and application accordingly end
Node.js
한 번에 여러 범위를 요청할 때는 tokens
객체의 scope
속성을 통해 어떤 범위가 부여되었는지 확인합니다.
// User authorized the request. Now, check which scopes were granted. if (tokens.scope.includes('https://www.googleapis.com/auth/youtube.force-ssl')) { // User authorized read-only Drive activity permission. // Calling the APIs, etc. } else { // User didn't authorize read-only Drive activity permission. // Update UX and application accordingly } // Check if user authorized Calendar read permission. if (tokens.scope.includes('https://www.googleapis.com/auth/calendar.readonly')) { // User authorized Calendar read permission. // Calling the APIs, etc. } else { // User didn't authorize Calendar read permission. // Update UX and application accordingly }
HTTP/REST
사용자가 애플리케이션에 특정 범위에 대한 액세스 권한을 부여했는지 확인하려면 액세스 토큰 응답의 scope
필드를 검사합니다. access_token에 의해 부여된 액세스 범위로, 공백으로 구분되고 대소문자가 구분되는 문자열 목록으로 표현됩니다.
예를 들어 다음 샘플 액세스 토큰 응답은 사용자가 애플리케이션에 읽기 전용 Drive 활동 및 Calendar 일정 권한에 대한 액세스 권한을 부여했음을 나타냅니다.
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "token_type": "Bearer", "scope": "https://www.googleapis.com/auth/youtube.force-ssl https://www.googleapis.com/auth/calendar.readonly", "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI" }
Google API 호출
PHP
액세스 토큰을 사용하여 다음 단계에 따라 Google API를 호출합니다.
- 새
Google\Client
객체에 액세스 토큰을 적용해야 하는 경우(예: 액세스 토큰을 사용자 세션에 저장한 경우)setAccessToken
메서드를 사용합니다.$client->setAccessToken($access_token);
- 호출하려는 API의 서비스 객체를 빌드합니다. 호출하려는 API의 생성자에 승인된
Google\Client
객체를 제공하여 서비스 객체를 빌드합니다. 예를 들어 YouTube Data API를 호출하려면 다음을 실행합니다.$youtube = new Google_Service_YouTube($client);
-
서비스 객체에서 제공하는 인터페이스를 사용하여 API 서비스에 요청합니다.
예를 들어 YouTube Data API를 사용하여 인증된 사용자의 채널에 대한 라이브 방송 목록을 가져오려면 다음을 실행합니다.
$broadcasts = $youtube->liveBroadcasts->listLiveBroadcasts('id,snippet', [ 'mine' => true ]);
Python
액세스 토큰을 가져온 후 애플리케이션은 이 토큰을 사용하여 지정된 사용자 계정 또는 서비스 계정을 대신하여 API 요청을 승인할 수 있습니다. 사용자별 승인 사용자 인증 정보를 사용하여 호출하려는 API의 서비스 객체를 빌드한 다음 이 객체를 사용하여 승인된 API 요청을 실행합니다.
- 호출하려는 API의 서비스 객체를 빌드합니다. API의 이름과 버전, 사용자 인증 정보를 사용하여
googleapiclient.discovery
라이브러리의build
메서드를 호출하여 서비스 객체를 빌드합니다. 예를 들어 YouTube Data API 버전 3을 호출하려면 다음을 실행합니다.from googleapiclient.discovery import build youtube = build('youtube', 'v3', credentials=credentials)
- 서비스 객체에서 제공하는 인터페이스를 사용하여 API 서비스에 요청합니다.
예를 들어 YouTube Data API를 사용하여 인증된 사용자의 채널에 대한 라이브 방송 목록을 가져오려면 다음을 실행합니다.
broadcasts = youtube.liveBroadcasts().list(part='id,snippet', mine=True).execute()
Ruby
액세스 토큰을 획득한 후 애플리케이션은 해당 토큰을 사용하여 지정된 사용자 계정 또는 서비스 계정을 대신하여 API를 요청할 수 있습니다. 사용자별 승인 사용자 인증 정보를 사용하여 호출하려는 API의 서비스 객체를 빌드한 다음 이 객체를 사용하여 승인된 API 요청을 실행합니다.
- 호출하려는 API의 서비스 객체를 빌드합니다.
예를 들어 YouTube Data API 버전 3을 호출하려면 다음을 실행합니다.
youtube = Google::Apis::YoutubeV3::YouTubeService.new
- 서비스에서 사용자 인증 정보를 설정합니다.
youtube.authorization = credentials
- 서비스 객체에서 제공하는 인터페이스를 사용하여 API 서비스에 요청합니다.
예를 들어 YouTube Data API를 사용하여 인증된 사용자의 채널에 대한 라이브 방송 목록을 가져오려면 다음을 실행합니다.
broadcasts = youtube.list_liveBroadcasts('id,snippet', mine: true)
또는 메서드에 options
매개변수를 제공하여 메서드별로 승인을 제공할 수 있습니다.
broadcasts = youtube.list_liveBroadcasts('id,snippet', mine: true)
Node.js
액세스 토큰을 가져와 OAuth2
객체로 설정한 후 이 객체를 사용하여 Google API를 호출합니다. 애플리케이션은 이 토큰을 사용하여 지정된 사용자 계정 또는 서비스 계정을 대신하여 API 요청을 승인할 수 있습니다. 호출하려는 API의 서비스 객체를 빌드합니다.
예를 들어 다음 코드는 Google Drive API를 사용하여 사용자의 Drive에 있는 파일 이름을 나열합니다.
const { google } = require('googleapis'); // Example of using Google Drive API to list filenames in user's Drive. const drive = google.drive('v3'); drive.files.list({ auth: oauth2Client, pageSize: 10, fields: 'nextPageToken, files(id, name)', }, (err1, res1) => { if (err1) return console.log('The API returned an error: ' + err1); const files = res1.data.files; if (files.length) { console.log('Files:'); files.map((file) => { console.log(`${file.name} (${file.id})`); }); } else { console.log('No files found.'); } });
HTTP/REST
애플리케이션이 액세스 토큰을 획득한 후 API에 필요한 액세스 범위가 부여된 경우 이 토큰을 사용하여 지정된 사용자 계정을 대신하여 Google API를 호출할 수 있습니다. 이렇게 하려면 access_token
쿼리 매개변수 또는 Authorization
HTTP 헤더 Bearer
값을 포함하여 API 요청에 액세스 토큰을 포함합니다. 가능하면 HTTP 헤더를 사용하는 것이 좋습니다. 쿼리 문자열은 서버 로그에 표시되는 경향이 있기 때문입니다. 대부분의 경우 클라이언트 라이브러리를 사용하여 Google API 호출을 설정할 수 있습니다 (예: YouTube Live Streaming API를 호출하는 경우).
YouTube Live Streaming API는 서비스 계정 흐름을 지원하지 않습니다. 서비스 계정을 YouTube 계정에 연결할 방법이 없으므로 이 흐름으로 요청을 승인하려고 하면 NoLinkedYouTubeAccount
오류가 발생합니다.
OAuth 2.0 플레이그라운드에서 모든 Google API를 사용해 보고 범위를 확인할 수 있습니다.
HTTP GET 예시
Authorization: Bearer
HTTP 헤더를 사용하여
liveBroadcasts.list
엔드포인트 (YouTube Live Streaming API)를 호출하면 다음과 같은 형식이 됩니다. 자체 액세스 토큰을 지정해야 합니다.
GET /youtube/v3/liveBroadcasts?part=id%2Csnippet&mine=true HTTP/1.1 Host: www.googleapis.com Authorization: Bearer access_token
다음은 access_token
쿼리 문자열 매개변수를 사용하여 인증된 사용자의 동일한 API를 호출하는 예입니다.
GET https://www.googleapis.com/youtube/v3/liveBroadcasts?access_token=access_token&part=id%2Csnippet&mine=true
curl
예
curl
명령줄 애플리케이션을 사용하여 이러한 명령어를 테스트할 수 있습니다. 다음은 HTTP 헤더 옵션을 사용하는 예입니다 (권장).
curl -H "Authorization: Bearer access_token" https://www.googleapis.com/youtube/v3/liveBroadcasts?part=id%2Csnippet&mine=true
또는 쿼리 문자열 매개변수 옵션을 사용할 수 있습니다.
curl https://www.googleapis.com/youtube/v3/liveBroadcasts?access_token=access_token&part=id%2Csnippet&mine=true
전체 예
다음 예에서는 사용자가 애플리케이션이 해당 데이터를 검색하도록 승인한 후 인증된 사용자의 YouTube 채널에 대한 라이브 방송을 보여주는 JSON 형식의 객체를 출력합니다.
PHP
이 예시를 실행하려면 다음 안내를 따르세요.
- 에서 리디렉션 URL 목록에 로컬 컴퓨터의 URL을 추가합니다. 예를 들어
http://localhost:8080
을 추가합니다. - 새 디렉터리를 만들고 변경합니다. 예를 들면 다음과 같습니다.
mkdir ~/php-oauth2-example cd ~/php-oauth2-example
- Composer를 사용하여 PHP용 Google API 클라이언트 라이브러리를 설치합니다.
composer require google/apiclient:^2.15.0
- 다음 콘텐츠로
index.php
및oauth2callback.php
파일을 만듭니다. - PHP의 내장 테스트 웹 서버로 예시를 실행합니다.
php -S localhost:8080 ~/php-oauth2-example
index.php
<?php require_once __DIR__.'/vendor/autoload.php'; session_start(); $client = new Google\Client(); $client->setAuthConfig('client_secret.json'); // User granted permission as an access token is in the session. if (isset($_SESSION['access_token']) && $_SESSION['access_token']) { $client->setAccessToken($_SESSION['access_token']); // Check if user granted Drive permission if ($_SESSION['granted_scopes_dict']['Drive']) { echo "Drive feature is enabled."; echo "</br>"; $drive = new Drive($client); $files = array(); $response = $drive->files->listFiles(array()); foreach ($response->files as $file) { echo "File: " . $file->name . " (" . $file->id . ")"; echo "</br>"; } } else { echo "Drive feature is NOT enabled."; echo "</br>"; } // Check if user granted Calendar permission if ($_SESSION['granted_scopes_dict']['Calendar']) { echo "Calendar feature is enabled."; echo "</br>"; } else { echo "Calendar feature is NOT enabled."; echo "</br>"; } } else { // Redirect users to outh2call.php which redirects users to Google OAuth 2.0 $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/oauth2callback.php'; header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL)); } ?>
oauth2callback.php
<?php require_once __DIR__.'/vendor/autoload.php'; session_start(); $client = new Google\Client(); // Required, call the setAuthConfig function to load authorization credentials from // client_secret.json file. $client->setAuthConfigFile('client_secret.json'); $client->setRedirectUri('http://' . $_SERVER['HTTP_HOST']. $_SERVER['PHP_SELF']); // Required, to set the scope value, call the addScope function. $client->addScope(Google_Service_YouTube::YOUTUBE_FORCE_SSL); // Enable incremental authorization. Recommended as a best practice. $client->setIncludeGrantedScopes(true); // Recommended, offline access will give you both an access and refresh token so that // your app can refresh the access token without user interaction. $client->setAccessType("offline"); // Generate a URL for authorization as it doesn't contain code and error if (!isset($_GET['code']) && !isset($_GET['error'])) { // Generate and set state value $state = bin2hex(random_bytes(16)); $client->setState($state); $_SESSION['state'] = $state; // Generate a url that asks permissions. $auth_url = $client->createAuthUrl(); header('Location: ' . filter_var($auth_url, FILTER_SANITIZE_URL)); } // User authorized the request and authorization code is returned to exchange access and // refresh tokens. if (isset($_GET['code'])) { // Check the state value if (!isset($_GET['state']) || $_GET['state'] !== $_SESSION['state']) { die('State mismatch. Possible CSRF attack.'); } // Get access and refresh tokens (if access_type is offline) $token = $client->fetchAccessTokenWithAuthCode($_GET['code']); /** Save access and refresh token to the session variables. * ACTION ITEM: In a production app, you likely want to save the * refresh token in a secure persistent storage instead. */ $_SESSION['access_token'] = $token; $_SESSION['refresh_token'] = $client->getRefreshToken(); // Space-separated string of granted scopes if it exists, otherwise null. $granted_scopes = $client->getOAuth2Service()->getGrantedScope(); // Determine which scopes user granted and build a dictionary $granted_scopes_dict = [ 'Drive' => str_contains($granted_scopes, Google\Service\Drive::DRIVE_METADATA_READONLY), 'Calendar' => str_contains($granted_scopes, Google\Service\Calendar::CALENDAR_READONLY) ]; $_SESSION['granted_scopes_dict'] = $granted_scopes_dict; $redirect_uri = 'http://' . $_SERVER['HTTP_HOST'] . '/'; header('Location: ' . filter_var($redirect_uri, FILTER_SANITIZE_URL)); } // An error response e.g. error=access_denied if (isset($_GET['error'])) { echo "Error: ". $_GET['error']; } ?>
Python
이 예에서는 Flask 프레임워크를 사용합니다. http://localhost:8080
에서 OAuth 2.0 흐름을 테스트할 수 있는 웹 애플리케이션을 실행합니다. 이 URL로 이동하면 다음과 같은 5개의 링크가 표시됩니다.
- Drive API 호출: 사용자가 권한을 부여한 경우 샘플 API 요청을 실행하려는 페이지로 연결되는 링크입니다. 필요한 경우 승인 흐름을 시작합니다. 성공하면 페이지에 API 응답이 표시됩니다.
- Calendar API를 호출하는 모의 페이지: 사용자가 권한을 부여한 경우 샘플 Calendar API 요청을 실행하려고 시도하는 모의 페이지를 가리키는 링크입니다. 필요한 경우 승인 흐름을 시작합니다. 성공하면 페이지에 API 응답이 표시됩니다.
- 인증 흐름 직접 테스트: 이 링크는 사용자를 인증 흐름으로 보내려고 시도하는 페이지로 연결됩니다. 앱은 사용자를 대신하여 승인된 API 요청을 제출할 권한을 요청합니다.
- 현재 사용자 인증 정보 취소: 이 링크는 사용자가 애플리케이션에 이미 부여한 권한을 취소하는 페이지로 연결됩니다.
- Flask 세션 사용자 인증 정보 삭제: 이 링크는 Flask 세션에 저장된 승인 사용자 인증 정보를 삭제합니다. 이렇게 하면 이미 앱에 권한을 부여한 사용자가 새 세션에서 API 요청을 실행하려고 하면 어떻게 되는지 확인할 수 있습니다. 또한 사용자가 앱에 부여된 권한을 취소했는데 앱에서 여전히 취소된 액세스 토큰으로 요청을 승인하려고 시도할 경우 앱에서 수신할 API 응답을 확인할 수 있습니다.
# -*- coding: utf-8 -*- import os import flask import requests import google.oauth2.credentials import google_auth_oauthlib.flow import googleapiclient.discovery # This variable specifies the name of a file that contains the OAuth 2.0 # information for this application, including its client_id and client_secret. CLIENT_SECRETS_FILE = "client_secret.json" # The OAuth 2.0 access scope allows for access to the # authenticated user's account and requires requests to use an SSL connection. SCOPES = ['https://www.googleapis.com/auth/youtube.force-ssl', 'https://www.googleapis.com/auth/calendar.readonly'] API_SERVICE_NAME = 'youtube' API_VERSION = 'v3' app = flask.Flask(__name__) # Note: A secret key is included in the sample so that it works. # If you use this code in your application, replace this with a truly secret # key. See https://flask.palletsprojects.com/quickstart/#sessions. app.secret_key = 'REPLACE ME - this value is here as a placeholder.' @app.route('/') def index(): return print_index_table() @app.route('/drive') def drive_api_request(): if 'credentials' not in flask.session: return flask.redirect('authorize') features = flask.session['features'] if features['drive']: # Load credentials from the session. credentials = google.oauth2.credentials.Credentials( **flask.session['credentials']) youtube = googleapiclient.discovery.build( API_SERVICE_NAME, API_VERSION, credentials=credentials) broadcasts = youtube.liveBroadcasts().list(part='id,snippet', mine=True).execute() # Save credentials back to session in case access token was refreshed. # ACTION ITEM: In a production app, you likely want to save these # credentials in a persistent database instead. flask.session['credentials'] = credentials_to_dict(credentials) return flask.jsonify(**broadcasts) else: # User didn't authorize read-only Drive activity permission. # Update UX and application accordingly return '<p>Drive feature is not enabled.</p>' @app.route('/calendar') def calendar_api_request(): if 'credentials' not in flask.session: return flask.redirect('authorize') features = flask.session['features'] if features['calendar']: # User authorized Calendar read permission. # Calling the APIs, etc. return ('<p>User granted the Google Calendar read permission. '+ 'This sample code does not include code to call Calendar</p>') else: # User didn't authorize Calendar read permission. # Update UX and application accordingly return '<p>Calendar feature is not enabled.</p>' @app.route('/authorize') def authorize(): # Create flow instance to manage the OAuth 2.0 Authorization Grant Flow steps. flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( CLIENT_SECRETS_FILE, scopes=SCOPES) # The URI created here must exactly match one of the authorized redirect URIs # for the OAuth 2.0 client, which you configured in the API Console. If this # value doesn't match an authorized URI, you will get a 'redirect_uri_mismatch' # error. flow.redirect_uri = flask.url_for('oauth2callback', _external=True) authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true') # Store the state so the callback can verify the auth server response. flask.session['state'] = state return flask.redirect(authorization_url) @app.route('/oauth2callback') def oauth2callback(): # Specify the state when creating the flow in the callback so that it can # verified in the authorization server response. state = flask.session['state'] flow = google_auth_oauthlib.flow.Flow.from_client_secrets_file( CLIENT_SECRETS_FILE, scopes=SCOPES, state=state) flow.redirect_uri = flask.url_for('oauth2callback', _external=True) # Use the authorization server's response to fetch the OAuth 2.0 tokens. authorization_response = flask.request.url flow.fetch_token(authorization_response=authorization_response) # Store credentials in the session. # ACTION ITEM: In a production app, you likely want to save these # credentials in a persistent database instead. credentials = flow.credentials credentials = credentials_to_dict(credentials) flask.session['credentials'] = credentials # Check which scopes user granted features = check_granted_scopes(credentials) flask.session['features'] = features return flask.redirect('/') @app.route('/revoke') def revoke(): if 'credentials' not in flask.session: return ('You need to <a href="/authorize">authorize</a> before ' + 'testing the code to revoke credentials.') credentials = google.oauth2.credentials.Credentials( **flask.session['credentials']) revoke = requests.post('https://oauth2.googleapis.com/revoke', params={'token': credentials.token}, headers = {'content-type': 'application/x-www-form-urlencoded'}) status_code = getattr(revoke, 'status_code') if status_code == 200: return('Credentials successfully revoked.' + print_index_table()) else: return('An error occurred.' + print_index_table()) @app.route('/clear') def clear_credentials(): if 'credentials' in flask.session: del flask.session['credentials'] return ('Credentials have been cleared.<br><br>' + print_index_table()) def credentials_to_dict(credentials): return {'token': credentials.token, 'refresh_token': credentials.refresh_token, 'token_uri': credentials.token_uri, 'client_id': credentials.client_id, 'client_secret': credentials.client_secret, 'granted_scopes': credentials.granted_scopes} def check_granted_scopes(credentials): features = {} if 'https://www.googleapis.com/auth/youtube.force-ssl' in credentials['granted_scopes']: features['drive'] = True else: features['drive'] = False if 'https://www.googleapis.com/auth/calendar.readonly' in credentials['granted_scopes']: features['calendar'] = True else: features['calendar'] = False return features def print_index_table(): return ('<table>' + '<tr><td><a href="/test">Test an API request</a></td>' + '<td>Submit an API request and see a formatted JSON response. ' + ' Go through the authorization flow if there are no stored ' + ' credentials for the user.</td></tr>' + '<tr><td><a href="/authorize">Test the auth flow directly</a></td>' + '<td>Go directly to the authorization flow. If there are stored ' + ' credentials, you still might not be prompted to reauthorize ' + ' the application.</td></tr>' + '<tr><td><a href="/revoke">Revoke current credentials</a></td>' + '<td>Revoke the access token associated with the current user ' + ' session. After revoking credentials, if you go to the test ' + ' page, you should see an <code>invalid_grant</code> error.' + '</td></tr>' + '<tr><td><a href="/clear">Clear Flask session credentials</a></td>' + '<td>Clear the access token currently stored in the user session. ' + ' After clearing the token, if you <a href="/test">test the ' + ' API request</a> again, you should go back to the auth flow.' + '</td></tr></table>') if __name__ == '__main__': # When running locally, disable OAuthlib's HTTPs verification. # ACTION ITEM for developers: # When running in production *do not* leave this option enabled. os.environ['OAUTHLIB_INSECURE_TRANSPORT'] = '1' # This disables the requested scopes and granted scopes check. # If users only grant partial request, the warning would not be thrown. os.environ['OAUTHLIB_RELAX_TOKEN_SCOPE'] = '1' # Specify a hostname and port that are set as a valid redirect URI # for your API project in the . app.run('localhost', 8080, debug=True)
Ruby
이 예에서는 Sinatra 프레임워크를 사용합니다.
require 'googleauth' require 'googleauth/web_user_authorizer' require 'googleauth/stores/redis_token_store' require 'google/apis/youtube_v3' require 'google/apis/calendar_v3' require 'sinatra' configure do enable :sessions # Required, call the from_file method to retrieve the client ID from a # client_secret.json file. set :client_id, Google::Auth::ClientId.from_file('/path/to/client_secret.json') # Required, scope value # Access scopes for two non-Sign-In scopes: Read-only Drive activity and Google Calendar. scope = ['Google::Apis::DriveV3::AUTH_DRIVE_METADATA_READONLY', 'Google::Apis::CalendarV3::AUTH_CALENDAR_READONLY'] # Required, Authorizers require a storage instance to manage long term persistence of # access and refresh tokens. set :token_store, Google::Auth::Stores::RedisTokenStore.new(redis: Redis.new) # Required, indicate where the API server will redirect the user after the user completes # the authorization flow. The redirect URI is required. The value must exactly # match one of the authorized redirect URIs for the OAuth 2.0 client, which you # configured in the API Console. If this value doesn't match an authorized URI, # you will get a 'redirect_uri_mismatch' error. set :callback_uri, '/oauth2callback' # To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI # from the client_secret.json file. To get these credentials for your application, visit # https://console.cloud.google.com/apis/credentials. set :authorizer, Google::Auth::WebUserAuthorizer.new(settings.client_id, settings.scope, settings.token_store, callback_uri: settings.callback_uri) end get '/' do # NOTE: Assumes the user is already authenticated to the app user_id = request.session['user_id'] # Fetch stored credentials for the user from the given request session. # nil if none present credentials = settings.authorizer.get_credentials(user_id, request) if credentials.nil? # Generate a url that asks the user to authorize requested scope(s). # Then, redirect user to the url. redirect settings.authorizer.get_authorization_url(request: request) end # User authorized the request. Now, check which scopes were granted. if credentials.scope.include?(Google::Apis::DriveV3::AUTH_DRIVE_METADATA_READONLY) # User authorized read-only Drive activity permission. # Example of using Google Drive API to list filenames in user's Drive. youtube = Google::Apis::YoutubeV3::YouTubeService.new broadcasts = youtube.list_liveBroadcasts('id,snippet', mine: true) "<pre>#{JSON.pretty_generate(broadcasts.to_h)}</pre>" else # User didn't authorize read-only Drive activity permission. # Update UX and application accordingly end # Check if user authorized Calendar read permission. if credentials.scope.include?(Google::Apis::CalendarV3::AUTH_CALENDAR_READONLY) # User authorized Calendar read permission. # Calling the APIs, etc. else # User didn't authorize Calendar read permission. # Update UX and application accordingly end end # Receive the callback from Google's OAuth 2.0 server. get '/oauth2callback' do # Handle the result of the oauth callback. Defers the exchange of the code by # temporarily stashing the results in the user's session. target_url = Google::Auth::WebUserAuthorizer.handle_auth_callback_deferred(request) redirect target_url end
Node.js
이 예시를 실행하려면 다음 안내를 따르세요.
-
에서 리디렉션 URL 목록에 로컬 컴퓨터의 URL을 추가합니다. 예를 들어
http://localhost
을 추가합니다. - 유지보수 LTS, 활성 LTS 또는 Node.js의 현재 출시 버전이 설치되어 있는지 확인합니다.
-
새 디렉터리를 만들고 변경합니다. 예를 들면 다음과 같습니다.
mkdir ~/nodejs-oauth2-example cd ~/nodejs-oauth2-example
-
npm을 사용하여 Node.js용 Google API 클라이언트 라이브러리를 설치합니다.
npm install googleapis
-
다음 콘텐츠로
main.js
파일을 만듭니다. -
예시를 실행합니다.
node .\main.js
main.js
const http = require('http'); const https = require('https'); const url = require('url'); const { google } = require('googleapis'); const crypto = require('crypto'); const express = require('express'); const session = require('express-session'); /** * To use OAuth2 authentication, we need access to a CLIENT_ID, CLIENT_SECRET, AND REDIRECT_URI. * To get these credentials for your application, visit * https://console.cloud.google.com/apis/credentials. */ const oauth2Client = new google.auth.OAuth2( YOUR_CLIENT_ID, YOUR_CLIENT_SECRET, YOUR_REDIRECT_URL ); // Access scopes for two non-Sign-In scopes: Read-only Drive activity and Google Calendar. const scopes = [ 'https://www.googleapis.com/auth/youtube.force-ssl', 'https://www.googleapis.com/auth/calendar.readonly' ]; /* Global variable that stores user credential in this code example. * ACTION ITEM for developers: * Store user's refresh token in your data store if * incorporating this code into your real app. * For more information on handling refresh tokens, * see https://github.com/googleapis/google-api-nodejs-client#handling-refresh-tokens */ let userCredential = null; async function main() { const app = express(); app.use(session({ secret: 'your_secure_secret_key', // Replace with a strong secret resave: false, saveUninitialized: false, })); // Example on redirecting user to Google's OAuth 2.0 server. app.get('/', async (req, res) => { // Generate a secure random state value. const state = crypto.randomBytes(32).toString('hex'); // Store state in the session req.session.state = state; // Generate a url that asks permissions for the Drive activity and Google Calendar scope const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true, // Include the state parameter to reduce the risk of CSRF attacks. state: state }); res.redirect(authorizationUrl); }); // Receive the callback from Google's OAuth 2.0 server. app.get('/oauth2callback', async (req, res) => { // Handle the OAuth 2.0 server response let q = url.parse(req.url, true).query; if (q.error) { // An error response e.g. error=access_denied console.log('Error:' + q.error); } else if (q.state !== req.session.state) { //check state value console.log('State mismatch. Possible CSRF attack'); res.end('State mismatch. Possible CSRF attack'); } else { // Get access and refresh tokens (if access_type is offline) let { tokens } = await oauth2Client.getToken(q.code); oauth2Client.setCredentials(tokens); /** Save credential to the global variable in case access token was refreshed. * ACTION ITEM: In a production app, you likely want to save the refresh token * in a secure persistent database instead. */ userCredential = tokens; // User authorized the request. Now, check which scopes were granted. if (tokens.scope.includes('https://www.googleapis.com/auth/youtube.force-ssl')) { // User authorized read-only Drive activity permission. // Example of using Google Drive API to list filenames in user's Drive. const drive = google.drive('v3'); drive.files.list({ auth: oauth2Client, pageSize: 10, fields: 'nextPageToken, files(id, name)', }, (err1, res1) => { if (err1) return console.log('The API returned an error: ' + err1); const files = res1.data.files; if (files.length) { console.log('Files:'); files.map((file) => { console.log(`${file.name} (${file.id})`); }); } else { console.log('No files found.'); } }); } else { // User didn't authorize read-only Drive activity permission. // Update UX and application accordingly } // Check if user authorized Calendar read permission. if (tokens.scope.includes('https://www.googleapis.com/auth/calendar.readonly')) { // User authorized Calendar read permission. // Calling the APIs, etc. } else { // User didn't authorize Calendar read permission. // Update UX and application accordingly } } }); // Example on revoking a token app.get('/revoke', async (req, res) => { // Build the string for the POST request let postData = "token=" + userCredential.access_token; // Options for POST request to Google's OAuth 2.0 server to revoke a token let postOptions = { host: 'oauth2.googleapis.com', port: '443', path: '/revoke', method: 'POST', headers: { 'Content-Type': 'application/x-www-form-urlencoded', 'Content-Length': Buffer.byteLength(postData) } }; // Set up the request const postReq = https.request(postOptions, function (res) { res.setEncoding('utf8'); res.on('data', d => { console.log('Response: ' + d); }); }); postReq.on('error', error => { console.log(error) }); // Post the request with data postReq.write(postData); postReq.end(); }); const server = http.createServer(app); server.listen(8080); } main().catch(console.error);
HTTP/REST
이 Python 예에서는 Flask 프레임워크와 Requests 라이브러리를 사용하여 OAuth 2.0 웹 흐름을 보여줍니다. 이 흐름에는 Python용 Google API 클라이언트 라이브러리를 사용하는 것이 좋습니다. Python 탭의 예시에서는 클라이언트 라이브러리를 사용합니다.
import json import flask import requests app = flask.Flask(__name__) # To get these credentials (CLIENT_ID CLIENT_SECRET) and for your application, visit # https://console.cloud.google.com/apis/credentials. CLIENT_ID = '123456789.apps.googleusercontent.com' CLIENT_SECRET = 'abc123' # Read from a file or environmental variable in a real app # Access scopes for two non-Sign-In scopes: Read-only Drive activity and Google Calendar. SCOPE = 'https://www.googleapis.com/auth/youtube.force-ssl https://www.googleapis.com/auth/calendar.readonly' # Indicate where the API server will redirect the user after the user completes # the authorization flow. The redirect URI is required. The value must exactly # match one of the authorized redirect URIs for the OAuth 2.0 client, which you # configured in the API Console. If this value doesn't match an authorized URI, # you will get a 'redirect_uri_mismatch' error. REDIRECT_URI = 'http://example.com/oauth2callback' @app.route('/') def index(): if 'credentials' not in flask.session: return flask.redirect(flask.url_for('oauth2callback')) credentials = json.loads(flask.session['credentials']) if credentials['expires_in'] <= 0: return flask.redirect(flask.url_for('oauth2callback')) else: # User authorized the request. Now, check which scopes were granted. if 'https://www.googleapis.com/auth/drive.metadata.readonly' in credentials['scope']: # User authorized read-only Drive activity permission. # Example of using Google Drive API to list filenames in user's Drive. headers = {'Authorization': 'Bearer {}'.format(credentials['access_token'])} req_uri = 'https://youtube.googleapis.com/youtube/v3/liveBroadcasts' r = requests.get(req_uri, headers=headers).text else: # User didn't authorize read-only Drive activity permission. # Update UX and application accordingly r = 'User did not authorize Drive permission.' # Check if user authorized Calendar read permission. if 'https://www.googleapis.com/auth/calendar.readonly' in credentials['scope']: # User authorized Calendar read permission. # Calling the APIs, etc. r += 'User authorized Calendar permission.' else: # User didn't authorize Calendar read permission. # Update UX and application accordingly r += 'User did not authorize Calendar permission.' return r @app.route('/oauth2callback') def oauth2callback(): if 'code' not in flask.request.args: state = str(uuid.uuid4()) flask.session['state'] = state # Generate a url that asks permissions for the Drive activity # and Google Calendar scope. Then, redirect user to the url. auth_uri = ('https://accounts.google.com/o/oauth2/v2/auth?response_type=code' '&client_id={}&redirect_uri={}&scope={}&state={}').format(CLIENT_ID, REDIRECT_URI, SCOPE, state) return flask.redirect(auth_uri) else: if 'state' not in flask.request.args or flask.request.args['state'] != flask.session['state']: return 'State mismatch. Possible CSRF attack.', 400 auth_code = flask.request.args.get('code') data = {'code': auth_code, 'client_id': CLIENT_ID, 'client_secret': CLIENT_SECRET, 'redirect_uri': REDIRECT_URI, 'grant_type': 'authorization_code'} # Exchange authorization code for access and refresh tokens (if access_type is offline) r = requests.post('https://oauth2.googleapis.com/token', data=data) flask.session['credentials'] = r.text return flask.redirect(flask.url_for('index')) if __name__ == '__main__': import uuid app.secret_key = str(uuid.uuid4()) app.debug = False app.run()
리디렉션 URI 유효성 검사 규칙
Google은 개발자가 애플리케이션을 안전하게 보호할 수 있도록 리디렉션 URI에 다음 유효성 검사 규칙을 적용합니다. 리디렉션 URI는 다음 규칙을 따라야 합니다. 아래에 언급된 도메인, 호스트, 경로, 쿼리, 스키마, 사용자 정보의 정의는 RFC 3986 섹션 3을 참고하세요.
유효성 검사 규칙 | |
---|---|
스키마 |
리디렉션 URI는 일반 HTTP가 아닌 HTTPS 체계를 사용해야 합니다. 로컬호스트 URI (localhost IP 주소 URI 포함)는 이 규칙에서 예외입니다. |
호스트 |
호스트는 원시 IP 주소가 될 수 없습니다. localhost IP 주소는 이 규칙에서 제외됩니다. |
도메인 |
“googleusercontent.com” 일 수 없습니다.goo.gl )을 포함할 수 없습니다. 또한 URL 단축 도메인을 소유한 앱이 해당 도메인으로 리디렉션하는 경우 리디렉션 URI의 경로에 “/google-callback/” 가 포함되어 있거나 “/google-callback” 로 끝나야 합니다. |
Userinfo |
리디렉션 URI에는 userinfo 하위 구성요소를 포함할 수 없습니다. |
경로 |
리디렉션 URI에는 |
쿼리 |
리디렉션 URI에는 개방형 리디렉션을 포함할 수 없습니다. |
Fragment |
리디렉션 URI에는 프래그먼트 구성요소를 포함할 수 없습니다. |
문자 |
리디렉션 URI에는 다음과 같은 특정 문자를 포함할 수 없습니다.
|
점진적 승인
OAuth 2.0 프로토콜에서 앱은 범위로 식별되는 리소스에 액세스할 수 있는 승인을 요청합니다. 필요한 시점에 리소스에 대한 승인을 요청하는 것이 최고의 사용자 환경 권장사항으로 간주됩니다. 이러한 관행을 사용 설정하기 위해 Google의 승인 서버는 점진적 승인을 지원합니다. 이 기능을 사용하면 필요에 따라 범위를 요청할 수 있으며, 사용자가 새 범위에 대한 권한을 부여하면 사용자가 프로젝트에 부여한 모든 범위가 포함된 토큰으로 교환할 수 있는 승인 코드를 반환합니다.
예를 들어 앱이 인증된 사용자의 YouTube 채널에 대한 데이터를 검색하고 사용자가 특수 흐름을 통해 YouTube 애널리틱스 데이터를 검색할 수 있도록 한다고 가정해 보겠습니다. 이 경우 앱은 로그인 시 https://www.googleapis.com/auth/youtube.force-ssl
범위에 대한 액세스만 요청할 수 있습니다. 하지만 사용자가 채널의 애널리틱스 데이터에 액세스하려고 시도한 경우 앱에서 https://www.googleapis.com/auth/yt-analytics.readonly
범위에 대한 액세스 권한을 요청할 수도 있습니다.
증분 승인을 구현하려면 액세스 토큰을 요청하는 일반적인 흐름을 완료하되 승인 요청에 이전에 부여된 범위가 포함되어 있는지 확인합니다. 이 접근 방식을 사용하면 앱에서 여러 액세스 토큰을 관리할 필요가 없습니다.
증분 승인에서 가져온 액세스 토큰에는 다음 규칙이 적용됩니다.
- 이 토큰은 새롭게 결합된 승인에 롤아웃된 범위에 해당하는 리소스에 액세스하는 데 사용할 수 있습니다.
- 결합된 승인에 새로고침 토큰을 사용하여 액세스 토큰을 가져오면 액세스 토큰은 결합된 승인을 나타내며 응답에 포함된 모든
scope
값에 사용할 수 있습니다. - 결합된 승인에는 사용자가 API 프로젝트에 부여한 모든 범위가 포함되며, 이때 부여가 다른 클라이언트에서 요청되었더라도 마찬가지입니다. 예를 들어 사용자가 애플리케이션의 데스크톱 클라이언트를 사용하여 한 범위에 대한 액세스 권한을 부여한 후 모바일 클라이언트를 통해 동일한 애플리케이션에 다른 범위에 대한 액세스 권한을 부여한 경우 결합된 승인에는 두 범위가 모두 포함됩니다.
- 결합된 승인을 나타내는 토큰을 취소하면 연결된 사용자를 대신하여 해당 승인의 모든 범위에 대한 액세스 권한이 동시에 취소됩니다.
1단계: 승인 매개변수 설정의 언어별 코드 샘플과 2단계: Google OAuth 2.0 서버로 리디렉션의 샘플 HTTP/REST 리디렉션 URL은 모두 증분 승인을 사용합니다. 아래의 코드 샘플은 증분 승인을 사용하기 위해 추가해야 하는 코드도 보여줍니다.
PHP
$client->setIncludeGrantedScopes(true);
Python
Python에서 include_granted_scopes
키워드 인수를 true
로 설정하여 승인 요청에 이전에 부여된 범위가 포함되도록 합니다. 아래 예와 같이 include_granted_scopes
가 설정된 유일한 키워드 인수가 아닐 가능성이 매우 높습니다.
authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true')
Ruby
auth_client.update!( :additional_parameters => {"include_granted_scopes" => "true"} )
Node.js
const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true });
HTTP/REST
이 예에서 호출 애플리케이션은 사용자가 이미 애플리케이션에 부여한 다른 액세스 권한 외에도 사용자의 YouTube 데이터를 검색할 수 있는 액세스 권한을 요청합니다.
GET https://accounts.google.com/o/oauth2/v2/auth? scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.force-ssl& access_type=offline& state=security_token%3D138rk%3Btarget_url%3Dhttp...index& redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback& response_type=code& client_id=client_id& include_granted_scopes=true
Refreshing an access token (offline access)
Access tokens periodically expire and become invalid credentials for a related API request. You can refresh an access token without prompting the user for permission (including when the user is not present) if you requested offline access to the scopes associated with the token.
- If you use a Google API Client Library, the client object refreshes the access token as needed as long as you configure that object for offline access.
- If you are not using a client library, you need to set the
access_type
HTTP query parameter tooffline
when redirecting the user to Google's OAuth 2.0 server. In that case, Google's authorization server returns a refresh token when you exchange an authorization code for an access token. Then, if the access token expires (or at any other time), you can use a refresh token to obtain a new access token.
Requesting offline access is a requirement for any application that needs to access a Google
API when the user is not present. For example, an app that performs backup services or
executes actions at predetermined times needs to be able to refresh its access token when the
user is not present. The default style of access is called online
.
Server-side web applications, installed applications, and devices all obtain refresh tokens during the authorization process. Refresh tokens are not typically used in client-side (JavaScript) web applications.
PHP
If your application needs offline access to a Google API, set the API client's access type to
offline
:
$client->setAccessType("offline");
사용자가 요청된 범위에 대한 오프라인 액세스 권한을 부여하면 API 클라이언트를 계속 사용하여 사용자가 오프라인 상태일 때 사용자를 대신하여 Google API에 액세스할 수 있습니다. 클라이언트 객체는 필요에 따라 액세스 토큰을 새로고침합니다.
Python
Python에서 access_type
키워드 인수를 offline
로 설정하여 사용자에게 권한을 다시 요청하지 않고도 액세스 토큰을 새로고침할 수 있도록 합니다. 아래 예와 같이 access_type
가 설정된 유일한 키워드 인수가 아닐 가능성이 매우 높습니다.
authorization_url, state = flow.authorization_url( # Enable offline access so that you can refresh an access token without # re-prompting the user for permission. Recommended for web server apps. access_type='offline', # Enable incremental authorization. Recommended as a best practice. include_granted_scopes='true')
사용자가 요청된 범위에 대한 오프라인 액세스 권한을 부여하면 API 클라이언트를 계속 사용하여 사용자가 오프라인 상태일 때 사용자를 대신하여 Google API에 액세스할 수 있습니다. 클라이언트 객체는 필요에 따라 액세스 토큰을 새로고침합니다.
Ruby
애플리케이션에 Google API에 대한 오프라인 액세스가 필요한 경우 API 클라이언트의 액세스 유형을 offline
로 설정합니다.
auth_client.update!( :additional_parameters => {"access_type" => "offline"} )
사용자가 요청된 범위에 대한 오프라인 액세스 권한을 부여하면 API 클라이언트를 계속 사용하여 사용자가 오프라인 상태일 때 사용자를 대신하여 Google API에 액세스할 수 있습니다. 클라이언트 객체는 필요에 따라 액세스 토큰을 새로고침합니다.
Node.js
애플리케이션에 Google API에 대한 오프라인 액세스가 필요한 경우 API 클라이언트의 액세스 유형을 offline
로 설정합니다.
const authorizationUrl = oauth2Client.generateAuthUrl({ // 'online' (default) or 'offline' (gets refresh_token) access_type: 'offline', /** Pass in the scopes array defined above. * Alternatively, if only one scope is needed, you can pass a scope URL as a string */ scope: scopes, // Enable incremental authorization. Recommended as a best practice. include_granted_scopes: true });
사용자가 요청된 범위에 대한 오프라인 액세스 권한을 부여하면 API 클라이언트를 계속 사용하여 사용자가 오프라인 상태일 때 사용자를 대신하여 Google API에 액세스할 수 있습니다. 클라이언트 객체는 필요에 따라 액세스 토큰을 새로고침합니다.
액세스 토큰은 만료됩니다. 이 라이브러리는 갱신 토큰이 만료될 예정인 경우 자동으로 갱신 토큰을 사용하여 새 액세스 토큰을 가져옵니다. 항상 최신 토큰을 저장하는 가장 쉬운 방법은 토큰 이벤트를 사용하는 것입니다.
oauth2Client.on('tokens', (tokens) => { if (tokens.refresh_token) { // store the refresh_token in your secure persistent database console.log(tokens.refresh_token); } console.log(tokens.access_token); });
이 토큰 이벤트는 첫 번째 승인에서만 발생하며 generateAuthUrl
메서드를 호출하여 새로고침 토큰을 수신할 때 access_type
를 offline
로 설정해야 합니다. 갱신 토큰을 수신하기 위한 적절한 제약 조건을 설정하지 않고 앱에 필요한 권한을 이미 부여한 경우 애플리케이션을 다시 승인하여 새 갱신 토큰을 수신해야 합니다.
나중에 refresh_token
를 설정하려면 setCredentials
메서드를 사용하면 됩니다.
oauth2Client.setCredentials({ refresh_token: `STORED_REFRESH_TOKEN` });
클라이언트에 갱신 토큰이 있으면 다음번 API 호출 시 액세스 토큰이 자동으로 획득되고 새로고침됩니다.
HTTP/REST
액세스 토큰을 새로고침하기 위해 애플리케이션은 다음 매개변수가 포함된 HTTPS POST
요청을 Google의 승인 서버 (https://oauth2.googleapis.com/token
)로 전송합니다.
필드 | |
---|---|
client_id |
에서 가져온 클라이언트 ID입니다. |
client_secret |
에서 가져온 클라이언트 보안 비밀입니다. |
grant_type |
OAuth 2.0 사양에 정의된 대로 이 필드의 값은 refresh_token 로 설정해야 합니다. |
refresh_token |
승인 코드 교환에서 반환된 갱신 토큰입니다. |
다음 스니펫은 샘플 요청을 보여줍니다.
POST /token HTTP/1.1 Host: oauth2.googleapis.com Content-Type: application/x-www-form-urlencoded client_id=your_client_id& client_secret=your_client_secret& refresh_token=refresh_token& grant_type=refresh_token
사용자가 애플리케이션에 부여된 액세스 권한을 취소하지 않는 한 토큰 서버는 새 액세스 토큰이 포함된 JSON 객체를 반환합니다. 다음 스니펫은 샘플 응답을 보여줍니다.
{ "access_token": "1/fFAGRNJru1FTz70BzhT3Zg", "expires_in": 3920, "scope": "https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly", "token_type": "Bearer" }
발급되는 새로고침 토큰 수에는 제한이 있습니다. 클라이언트/사용자 조합당 한도와 모든 클라이언트에서 사용자당 한도가 각각 있습니다. 갱신 토큰은 장기 저장소에 저장하고 유효한 상태인 한 계속 사용해야 합니다. 애플리케이션에서 새로고침 토큰을 너무 많이 요청하면 이러한 제한이 발생할 수 있으며, 이 경우 이전 새로고침 토큰이 작동을 멈춥니다.
토큰 취소
경우에 따라 사용자가 애플리케이션에 부여된 액세스 권한을 취소하려고 할 수 있습니다. 사용자는 계정 설정으로 이동하여 액세스 권한을 취소할 수 있습니다. 자세한 내용은 내 계정에 액세스할 수 있는 서드 파티 사이트 및 앱의 사이트 또는 앱 액세스 권한 삭제 섹션 지원 문서를 참고하세요.
애플리케이션이 프로그래매틱 방식으로 부여된 액세스 권한을 취소할 수도 있습니다. 프로그래매틱 취소는 사용자가 구독을 취소하거나 애플리케이션을 삭제하거나 앱에 필요한 API 리소스가 크게 변경된 경우에 중요합니다. 즉, 삭제 프로세스의 일부에는 이전에 애플리케이션에 부여된 권한이 삭제되도록 하는 API 요청이 포함될 수 있습니다.
PHP
프로그래매틱 방식으로 토큰을 취소하려면 revokeToken()
를 호출합니다.
$client->revokeToken();
Python
토큰을 프로그래매틱 방식으로 취소하려면 토큰을 매개변수로 포함하고 Content-Type
헤더를 설정하는 https://oauth2.googleapis.com/revoke
에 요청합니다.
requests.post('https://oauth2.googleapis.com/revoke', params={'token': credentials.token}, headers = {'content-type': 'application/x-www-form-urlencoded'})
Ruby
프로그래매틱 방식으로 토큰을 취소하려면 oauth2.revoke
엔드포인트에 HTTP 요청을 실행합니다.
uri = URI('https://oauth2.googleapis.com/revoke') response = Net::HTTP.post_form(uri, 'token' => auth_client.access_token)
토큰은 액세스 토큰 또는 갱신 토큰일 수 있습니다. 토큰이 액세스 토큰이고 상응하는 갱신 토큰이 있는 경우 갱신 토큰도 취소됩니다.
취소가 성공적으로 처리되면 응답의 상태 코드는 200
입니다. 오류 상태의 경우 상태 코드 400
가 오류 코드와 함께 반환됩니다.
Node.js
토큰을 프로그래매틱 방식으로 취소하려면 /revoke
엔드포인트에 HTTPS POST 요청을 실행합니다.
const https = require('https'); // Build the string for the POST request let postData = "token=" + userCredential.access_token; // Options for POST request to Google's OAuth 2.0 server to revoke a token let postOptions = { host: 'oauth2.googleapis.com', port: '443', path: '/revoke', method: 'POST', headers: { 'Content-Type': 'application/x-www-form-urlencoded', 'Content-Length': Buffer.byteLength(postData) } }; // Set up the request const postReq = https.request(postOptions, function (res) { res.setEncoding('utf8'); res.on('data', d => { console.log('Response: ' + d); }); }); postReq.on('error', error => { console.log(error) }); // Post the request with data postReq.write(postData); postReq.end();
토큰 매개변수는 액세스 토큰 또는 갱신 토큰일 수 있습니다. 토큰이 액세스 토큰이고 상응하는 갱신 토큰이 있는 경우 갱신 토큰도 취소됩니다.
취소가 성공적으로 처리되면 응답의 상태 코드는 200
입니다. 오류 상태의 경우 상태 코드 400
가 오류 코드와 함께 반환됩니다.
HTTP/REST
토큰을 프로그래매틱 방식으로 취소하려면 애플리케이션에서 https://oauth2.googleapis.com/revoke
에 요청을 보내고 토큰을 매개변수로 포함합니다.
curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \ https://oauth2.googleapis.com/revoke?token={token}
토큰은 액세스 토큰 또는 갱신 토큰일 수 있습니다. 토큰이 액세스 토큰이고 상응하는 갱신 토큰이 있는 경우 갱신 토큰도 취소됩니다.
취소가 성공적으로 처리되면 응답의 HTTP 상태 코드는 200
입니다. 오류 상태의 경우 HTTP 상태 코드 400
가 오류 코드와 함께 반환됩니다.
계정 간 보안 구현
사용자 계정을 보호하기 위해 취해야 할 추가 조치는 Google의 교차 계정 보호 서비스를 활용하여 교차 계정 보호를 구현하는 것입니다. 이 서비스를 사용하면 사용자 계정의 주요 변경사항에 관한 정보를 애플리케이션에 제공하는 보안 이벤트 알림을 구독할 수 있습니다. 그런 다음 이 정보를 사용하여 이벤트에 응답하는 방법에 따라 조치를 취할 수 있습니다.
Google의 교차 계정 보호 서비스에서 앱으로 전송하는 이벤트 유형의 예는 다음과 같습니다.
-
https://schemas.openid.net/secevent/risc/event-type/sessions-revoked
-
https://schemas.openid.net/secevent/oauth/event-type/token-revoked
-
https://schemas.openid.net/secevent/risc/event-type/account-disabled
계정 간 보안을 구현하는 방법과 사용 가능한 이벤트의 전체 목록에 관한 자세한 내용은 계정 간 보안으로 사용자 계정 보호하기 페이지 를 참고하세요.