Non riceve il token di aggiornamento di Google OAuth

Voglio ottenere il token di accesso da Google. L'API di Google afferma che per ottenere il token di accesso, inviare il codice e altri parametri alla pagina di generazione del token e la risposta sarà un oggetto JSON come:

{
"access_token" : "ya29.AHES6ZTtm7SuokEB-RGtbBty9IIlNiP9-eNMMQKtXdMP3sfjL1Fc",
"token_type" : "Bearer",
"expires_in" : 3600,
"refresh_token" : "1/HKSmLFXzqP0leUihZp2xUt3-5wkU7Gmu2Os_eBnzw74"
}

Tuttavia, non ricevo il token di aggiornamento. La risposta nel mio caso è:

{
 "access_token" : "ya29.sddsdsdsdsds_h9v_nF0IR7XcwDK8XFB2EbvtxmgvB-4oZ8oU",
"token_type" : "Bearer",
"expires_in" : 3600
}

L' refresh_tokenè fornito solo sulla prima autorizzazione da parte dell'utente. Le autorizzazioni successive, come il tipo che si effettua durante il test di un'integrazione OAuth2, non restituiranno refresh_tokennuovamente. :)

1. Vai alla pagina che mostra le app con accesso al tuo account: https://myaccount.google.com/u/0/permissions .
2. Nel menu App di terze parti, scegli la tua app.
3. Fai clic su Rimuovi accesso, quindi su OK per confermare
4. La successiva richiesta OAuth2 che fai restituirà un refresh_token(a condizione che includa anche il parametro di query 'access_type = offline'.

In alternativa, è possibile aggiungere i parametri della query prompt=consent&access_type=offlineal reindirizzamento di OAuth (consultare la pagina OAuth 2.0 di Google per le applicazioni del server Web ).

Ciò richiederà all'utente di autorizzare nuovamente l'applicazione e restituirà sempre a refresh_token.

Per ottenere il token di aggiornamento è necessario aggiungere entrambi approval_prompt=forcee access_type="offline" se si utilizza il client Java fornito da Google sarà simile al seguente:

GoogleAuthorizationCodeFlow flow = new GoogleAuthorizationCodeFlow.Builder(
            HTTP_TRANSPORT, JSON_FACTORY, getClientSecrets(), scopes)
            .build();

AuthorizationCodeRequestUrl authorizationUrl =
            flow.newAuthorizationUrl().setRedirectUri(callBackUrl)
                    .setApprovalPrompt("force")
                    .setAccessType("offline");

Ho cercato una lunga notte e questo è il trucco:

User-example.php modificato da admin-sdk

$client->setAccessType('offline');
$client->setApprovalPrompt('force');
$authUrl = $client->createAuthUrl();
echo "<a class='login' href='" . $authUrl . "'>Connect Me!</a>";

quindi ottieni il codice nell'URL di reindirizzamento e l'autenticazione con il codice e il token di aggiornamento

$client()->authenticate($_GET['code']);
echo $client()->getRefreshToken();

Dovresti memorizzarlo ora;)

Quando il tuo accesskey scade e basta

$client->refreshToken($theRefreshTokenYouHadStored);

Questo mi ha causato un po 'di confusione, quindi ho pensato di condividere ciò che sono venuto per imparare nel modo più duro:

Quando si richiede l'accesso utilizzando i parametri access_type=offlinee approval_prompt=force, è necessario ricevere sia un token di accesso sia un token di aggiornamento . Il token di accesso scade subito dopo averlo ricevuto e sarà necessario aggiornarlo.

Hai correttamente inviato la richiesta per ottenere un nuovo token di accesso e hai ricevuto la risposta con il tuo nuovo token di accesso . Sono stato anche confuso dal fatto che non ho ricevuto un nuovo token di aggiornamento . Tuttavia, è così che deve essere poiché è possibile utilizzare lo stesso token di aggiornamento più e più volte.

Penso che alcune delle altre risposte presumano che tu volessi procurarti un nuovo token di aggiornamento per qualche motivo e suggerito di autorizzare nuovamente l'utente, ma in realtà non è necessario poiché il token di aggiornamento che hai funzionerà fino al revocato dall'utente.

La risposta di Rich Sutton alla fine ha funzionato per me, dopo che ho capito che l'aggiunta access_type=offlineè fatta sulla richiesta del client front-end per un codice di autorizzazione, non sulla richiesta di back-end che scambia quel codice con un access_token. Ho aggiunto un commento alla sua risposta e questo link su Google per ulteriori informazioni sui token di aggiornamento.

PS Se stai usando Satellizer, ecco come aggiungere quell'opzione a $ authProvider.google in AngularJS .

Per ottenere ciò refresh_tokenè necessario includere access_type=offlinenell'URL della richiesta OAuth. Quando un utente esegue l'autenticazione per la prima volta, verrà restituito un valore diverso da zero refresh_tokene uno access_tokenche scade.

Se si verifica una situazione in cui un utente potrebbe autenticare nuovamente un account per cui si dispone già di un token di autenticazione (come menzionato @SsjCosty sopra), è necessario recuperare informazioni da Google sull'account a cui è destinato il token. Per fare ciò, aggiungi profileai tuoi ambiti. Utilizzando la gemma OAuth2 Ruby, la tua richiesta finale potrebbe assomigliare a questa:

client = OAuth2::Client.new(
  ENV["GOOGLE_CLIENT_ID"],
  ENV["GOOGLE_CLIENT_SECRET"],
  authorize_url: "https://accounts.google.com/o/oauth2/auth",
  token_url: "https://accounts.google.com/o/oauth2/token"
)

# Configure authorization url
client.authorize_url(
  scope: "https://www.googleapis.com/auth/analytics.readonly profile",
  redirect_uri: callback_url,
  access_type: "offline",
  prompt: "select_account"
)

Si noti che l'ambito ha due voci delimitate da spazi, una per l'accesso in sola lettura a Google Analytics e l'altra è giusta profile, che è uno standard OpenID Connect.

Ciò comporterà che Google fornisca un attributo aggiuntivo chiamato id_token nella get_tokenrisposta. Per ottenere informazioni da id_token, controlla questa pagina nei documenti di Google. Ci sono una manciata di librerie fornite da Google che convalideranno e “decodificheranno” questo per te (ho usato la gemma Ruby google-id-token ). Una volta analizzato, il subparametro è effettivamente l'ID account Google univoco.

Vale la pena notare che se si modifica l'ambito, si riceverà nuovamente un token di aggiornamento per gli utenti che hanno già eseguito l'autenticazione con l'ambito originale. Ciò è utile se, ad esempio, hai già un sacco di utenti e non vuoi renderli tutti non autorizzati sull'app in Google.

Oh, e un'ultima nota: non è necessario prompt=select_account , ma è utile se hai una situazione in cui i tuoi utenti potrebbero voler autenticarsi con più di un account Google (ad esempio, non lo stai usando per l'accesso / autenticazione) .

1. Come ottenere 'refresh_token'?

Soluzione: è necessario utilizzare access_type = 'offline' quando si genera authURL. fonte: utilizzo di OAuth 2.0 per applicazioni Web Server

2. Ma anche con 'access_type = offline', non ottengo il 'refresh_token'?

Soluzione: tieni presente che lo otterrai solo alla prima richiesta, quindi se lo stai memorizzando da qualche parte e c'è una disposizione per sovrascriverlo nel tuo codice quando ricevi un nuovo access_token dopo scadenze precedenti, quindi assicurati di non sovrascrivere questo valore.

Da Google Auth Doc: (questo valore = access_type)

Questo valore indica al server di autorizzazione di Google di restituire un token di aggiornamento e un token di accesso la prima volta che l'applicazione scambia un codice di autorizzazione per i token.

Se hai bisogno di nuovo "refresh_token", devi rimuovere l'accesso per la tua app seguendo i passaggi scritti nella risposta di Rich Sutton .

Impostandolo, il token di aggiornamento verrà inviato ogni volta:

$client->setApprovalPrompt('force');

di seguito è riportato un esempio (php):

$client = new Google_Client();
$client->setClientId($client_id);
$client->setClientSecret($client_secret);
$client->setRedirectUri($redirect_uri);
$client->addScope("email");
$client->addScope("profile"); 
$client->setAccessType('offline');
$client->setApprovalPrompt('force');

Per me stavo provando CalendarSampleServletfornito da Google. Dopo 1 ora il tasto access_key scade e si passa a una pagina 401. Ho provato tutte le opzioni di cui sopra ma non hanno funzionato. Alla fine, controllando il codice sorgente per "AbstractAuthorizationCodeServlet" , ho potuto vedere che il reindirizzamento sarebbe disabilitato se fossero presenti credenziali, ma idealmente avrebbe dovuto verificare refresh token!=null. Ho aggiunto sotto il codice CalendarSampleServlete ha funzionato dopo. Grande sollievo dopo tante ore di frustrazione. Grazie Dio.

if (credential.getRefreshToken() == null) {
    AuthorizationCodeRequestUrl authorizationUrl = authFlow.newAuthorizationUrl();
    authorizationUrl.setRedirectUri(getRedirectUri(req));
    onAuthorization(req, resp, authorizationUrl);
    credential = null;
}

ora google aveva rifiutato quei parametri nella mia richiesta (access_type, prompt) ... :( e non esiste alcun pulsante "Revoke Access". Sono frustrante a causa del recupero del mio refresh_token lol

AGGIORNAMENTO: ho trovato la risposta qui: D è possibile recuperare il token di aggiornamento tramite una richiesta https://developers.google.com/identity/protocols/OAuth2WebServer

curl -H "Tipo di contenuto: application / x-www-form-urlencoded" \ https://accounts.google.com/o/oauth2/revoke?token= {token}

Il token può essere un token di accesso o un token di aggiornamento. Se il token è un token di accesso e ha un token di aggiornamento corrispondente, anche il token di aggiornamento verrà revocato.

Se la revoca viene elaborata correttamente, il codice di stato della risposta è 200. Per le condizioni di errore, viene restituito un codice di stato 400 insieme a un codice di errore.

    #!/usr/bin/env perl

    use strict;
    use warnings;
    use 5.010_000;
    use utf8;
    binmode STDOUT, ":encoding(utf8)";

    use Text::CSV_XS;
    use FindBin;
    use lib $FindBin::Bin . '/../lib';
    use Net::Google::Spreadsheets::V4;

    use Net::Google::DataAPI::Auth::OAuth2;

    use lib 'lib';
    use Term::Prompt;
    use Net::Google::DataAPI::Auth::OAuth2;
    use Net::Google::Spreadsheets;
    use Data::Printer ;


    my $oauth2 = Net::Google::DataAPI::Auth::OAuth2->new(
         client_id => $ENV{CLIENT_ID},
         client_secret => $ENV{CLIENT_SECRET},
         scope => ['https://www.googleapis.com/auth/spreadsheets'],
    );
    my $url = $oauth2->authorize_url();
    # system("open '$url'");
    print "go to the following url with your browser \n" ;
    print "$url\n" ;
    my $code = prompt('x', 'paste code: ', '', '');
    my $objToken = $oauth2->get_access_token($code);

    my $refresh_token = $objToken->refresh_token() ;

    print "my refresh token is : \n" ;
    # debug p($refresh_token ) ;
    p ( $objToken ) ;


    my $gs = Net::Google::Spreadsheets::V4->new(
            client_id      => $ENV{CLIENT_ID}
         , client_secret  => $ENV{CLIENT_SECRET}
         , refresh_token  => $refresh_token
         , spreadsheet_id => '1hGNULaWpYwtnMDDPPkZT73zLGDUgv5blwJtK7hAiVIU'
    );

    my($content, $res);

    my $title = 'My foobar sheet';

    my $sheet = $gs->get_sheet(title => $title);

    # create a sheet if does not exit
    unless ($sheet) {
         ($content, $res) = $gs->request(
              POST => ':batchUpdate',
              {
                    requests => [
                         {
                              addSheet => {
                                    properties => {
                                         title => $title,
                                         index => 0,
                                    },
                              },
                         },
                    ],
              },
         );

         $sheet = $content->{replies}[0]{addSheet};
    }

    my $sheet_prop = $sheet->{properties};

    # clear all cells
    $gs->clear_sheet(sheet_id => $sheet_prop->{sheetId});

    # import data
    my @requests = ();
    my $idx = 0;

    my @rows = (
         [qw(name age favorite)], # header
         [qw(tarou 31 curry)],
         [qw(jirou 18 gyoza)],
         [qw(saburou 27 ramen)],
    );

    for my $row (@rows) {
         push @requests, {
              pasteData => {
                    coordinate => {
                         sheetId     => $sheet_prop->{sheetId},
                         rowIndex    => $idx++,
                         columnIndex => 0,
                    },
                    data => $gs->to_csv(@$row),
                    type => 'PASTE_NORMAL',
                    delimiter => ',',
              },
         };
    }

    # format a header row
    push @requests, {
         repeatCell => {
              range => {
                    sheetId       => $sheet_prop->{sheetId},
                    startRowIndex => 0,
                    endRowIndex   => 1,
              },
              cell => {
                    userEnteredFormat => {
                         backgroundColor => {
                              red   => 0.0,
                              green => 0.0,
                              blue  => 0.0,
                         },
                         horizontalAlignment => 'CENTER',
                         textFormat => {
                              foregroundColor => {
                                    red   => 1.0,
                                    green => 1.0,
                                    blue  => 1.0
                              },
                              bold => \1,
                         },
                    },
              },
              fields => 'userEnteredFormat(backgroundColor,textFormat,horizontalAlignment)',
         },
    };

    ($content, $res) = $gs->request(
         POST => ':batchUpdate',
         {
              requests => \@requests,
         },
    );

    exit;

    #Google Sheets API, v4

    # Scopes
    # https://www.googleapis.com/auth/drive   View and manage the files in your Google D# # i# rive
    # https://www.googleapis.com/auth/drive.file View and manage Google Drive files and folders that you have opened or created with this app
    # https://www.googleapis.com/auth/drive.readonly   View the files in your Google Drive
    # https://www.googleapis.com/auth/spreadsheets  View and manage your spreadsheets in Google Drive
    # https://www.googleapis.com/auth/spreadsheets.readonly  View your Google Spreadsheets

Utilizzo dell'accesso offline e prompt: il consenso ha funzionato bene per me:

   auth2 = gapi.auth2.init({
                    client_id: '{cliend_id}' 
   });

   auth2.grantOfflineAccess({prompt:'consent'}).then(signInCallback); 

La mia soluzione era un po 'strana..ho provato ogni soluzione che ho trovato su internet e niente. Sorprendentemente, ha funzionato: elimina le credentials.json, aggiorna, vincola nuovamente la tua app nel tuo account. Il nuovo file credentials.json avrà il token di aggiornamento. Esegui il backup di questo file da qualche parte. Quindi continua a utilizzare l'app fino a quando non si ripresenta l'errore del token di aggiornamento. Elimina il file crendetials.json che ora è solo con un messaggio di errore (questo è accaduto nel mio caso), quindi incolla il tuo vecchio file di credenziali nella cartella, il gioco è fatto! È passata 1 settimana da quando l'ho fatto e non ho più avuto problemi.

Per ottenere ogni nuovo refresh_token ogni volta all'autenticazione, il tipo di credenziali OAuth 2.0 create nella dashboard deve essere "Altro". Inoltre, come menzionato sopra, l'opzione access_type = 'offline' dovrebbe essere usata durante la generazione di authURL.

Quando si utilizzano credenziali con il tipo "Applicazione Web", nessuna combinazione di variabili prompt / Approvation_prompt funzionerà - si otterrà comunque il refresh_token solo alla prima richiesta.