适用于移动应用和桌面应用的 OAuth 2.0

本文档介绍了安装在手机、平板电脑和计算机等设备上的应用如何使用 Google 的 OAuth 2.0 端点来授权访问 Google API。

OAuth 2.0 可让用户与应用共享特定数据,同时保持其用户名、密码和其他信息的私密性。例如,应用可以使用 OAuth 2.0 从用户那里获取在其 Google 云端硬盘中存储文件的权限。

已安装的应用会分发到各个设备,并且假定这些应用无法保密。在用户使用应用时或应用在后台运行时,它们可以访问 Google API。

此授权流程与用于网站服务器应用的流程类似。主要区别在于,已安装的应用必须打开系统浏览器并提供本地重定向 URI,以处理来自 Google 授权服务器的响应。

替代方案

���于移动应用,您可能更倾向于使用 Android 版或 iOS 版 Google 登录。Google 登录客户端库可处理身份验证和用户授权,并且实现起来可能比此处所述的较低级别协议更简单。

对于在不支持系统浏览器或输入功能受限的设备(例如电视、游戏机、摄像头或打印机)上运行的应用,请参阅适用于电视和设备的 OAuth 2.0在电视和输入受限的设备上登录

库和示例

我们建议您使用以下库和示例来帮助您实现本文档中介绍的 OAuth 2.0 流程:

前提条件

为您的项目启用 API

任何调用 Google API 的应用都需要在 API Console中启用这些 API。

如需为您的项目启用该 API,请按以下步骤操作:

  1. Google API Console中的Open the API Library
  2. If prompted, select a project, or create a new one.
  3. API Library 列出了所有可用的 API(按产品系列和热门程度分组)。如果列表中没有显示您要启用的 API,请使用搜索功能查找该 API,或点击其所属产品系列中的查看全部
  4. 选择您要启用的 API,然后点击启用按钮。
  5. If prompted, enable billing.
  6. If prompted, read and accept the API's Terms of Service.

创建授权凭据

任何使用 OAuth 2.0 访问 Google API 的应用都必须具有授权凭据,以向 Google 的 OAuth 2.0 服务器表明应用的身份。以下步骤介绍了如何为项目创建凭据。然后,您的应用便可使用这些凭据访问您为该项目启用的 API。

  1. Go to the Credentials page.
  2. 依次点击创建凭据 > OAuth 客户端 ID
  3. 以下部分介绍了 Google 授权服务器支持的客户端类型。选择为您的应用推荐的客户端类型,为您的 OAuth 客户端命名,并根据需要设置表单中的其他字段。
Android
  1. 选择 Android 应用类型。
  2. 输入 OAuth 客户端的名称。此名称会显示在项目的 Credentials page 中,用于标识客户。
  3. 输入 Android 应用的软件包名称。此值在应用清单文件中的 <manifest> 元素的 package 属性中定义。
  4. 输入应用分发的 SHA-1 签名证书指纹。
    • 如果您的应用使用 Google Play 应用签名,请从 Play 管理中心的“应用签名”页面复制 SHA-1 指纹。
    • 如果您自行管理密钥库和签名密钥,请使用 Java 附带的 keytool 实用程序以人类可读的格式输出证书信息。复制 keytool 输出的 Certificate fingerprints 部分中的 SHA1 值。如需了解详情,请参阅 Google API for Android 文档中的对客户端进行身份验证
  5. (可选)验证您的 Android 应用的所有权。
  6. 点击创建
iOS
  1. 选择 iOS 应用类型。
  2. 输入 OAuth 客户端的名称。此名称会显示在项目的 Credentials page 中,用于标识客户。
  3. 输入应用的软件包标识符。软件包 ID 是应用信息属性列表资源文件 (info.plist) 中的 CFBundleIdentifier 键的值。此值最常显示在 Xcode 项目编辑器的“General”(常规)窗格或“Signing & Capabilities”(签名和功能)窗格中。Apple 的 App Store Connect 网站上,应用的“应用信息”页面中的“一般信息”部分也会显示软件包 ID。

    请确认您为应用使用的软件包 ID 正确无误,因为如果您使用的是 App Check 功能,将无法更改该 ID。

  4. (可选)

    如果应用已在 Apple 的 App Store 中发布,请输入应用的 App Store ID。商店 ID 是每个 Apple App Store 网址中包含的数字字符串。

    1. 在 iOS 或 iPadOS 设备上打开 Apple App Store 应用
    2. 搜索您的应用。
    3. 选择“分享”按钮(方形和向上箭头符号)。
    4. 选择复制链接
    5. 将链接粘贴到文本编辑器中。App Store ID 是网址的最后一部分。

      示例:https://apps.apple.com/app/google/id284815942

  5. (可选)

    输入您的团队 ID。如需了解详情,请参阅 Apple 开发者账号文档中的查找您的团队 ID

    注意:如果您要为客户端启用 App Check,则必须填写“团队 ID”字段。
  6. (可选)

    为您的 iOS 应用启用 App Check。启用 App Check 后,Apple 的 App Attest 服务将用于验证源自 OAuth 客户端的 OAuth 2.0 请求是否真实且来自您的应用。这有助于降低应用冒充风险。 详细了解如何为 iOS 应用启用 App Check

  7. 点击创建
UWP
  1. 选择 Universal Windows Platform 应用类型。
  2. 输入 OAuth 客户端的名称。此名称会显示在项目的 Credentials page 中,用于标识客户。
  3. 输入应用的 12 位 Microsoft Store ID。您可以在 Microsoft Partner Center 的“应用管理”部分的应用 ID 页面中找到此值。
  4. 点击创建

对于 UWP 应用,自定义 URI 架构不得超过 39 个字符。

确定访问权限范围

有了这一范围,您不但可以让应用仅请求访问所需的资源,而且还可以让用户控制其向您的应用授予的访问权限大小。因此,请求的范围数量与获得用户同意的可能性之间可能存在反比关系。

在开始实现 OAuth 2.0 授权之前,我们建议您确定应用需要访问权限的范围。

OAuth 2.0 API 范围文档包含您可能用来访问 Google API 的完整范围列表。

获取 OAuth 2.0 访问令牌

以下步骤展示了您的应用如何与 Google 的 OAuth 2.0 服务器交互,以便征得用户同意代表用户执行 API 请求。您的应用必须先征得用户同意,然后才能执行需要用户授权的 Google API 请求。

��� 1 步:生成代码验证器和质询

Google 支持用于代码交换的证明密钥 (PKCE) 协议,以提高已安装应用的流程安全性。系统会为每个授权请求创建一个唯一的代码验证器,并将其转换后的值(称为“code_challenge”)发送到授权服务器以获取授权代码。

创建代码验证器

code_verifier 是一种高熵加密随机字符串,使用未预留的字符 [A-Z] / [a-z] / [0-9] / “-”/“.”/“_”/“~”,长度不得低于 43 个字符,不得高于 128 个字符。

代码验证器应具有足够的熵,以使猜测其值变得不可行。

创建代码挑战

支持通过两种方法创建代码验证。

代码质询生成方法
S256(推荐) 代码质询是代码验证器的 Base64网址(未填充)编码 SHA256 哈希值。
code_challenge = BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))
plain 代码质询与上方生成的代码验证器的值相同。
code_challenge = code_verifier

第 2 步:向 Google 的 OAuth 2.0 服务器发送请求

如需获取用户授权,请向 Google 的授权服务器 https://accounts.google.com/o/oauth2/v2/auth 发送请求。此端点用于处理有效会话查询、对用户进行身份验证并征得用户同意。该端点只能通过 SSL 访问,并且拒绝 HTTP(非 SSL)连接。

授权服务器支持为已安装的应用提供以下查询字符串参数:

参数
client_id 必填

应用的客户端 ID。您可以在 API Console Credentials page中找到此值。

redirect_uri 必填

用于确定 Google 的授权服务器如何向您的应用发送响应。已安装的应用有多个重定向选项,您在设置授权凭据时应考虑特定的重定向方法。

此值必须与 OAuth 2.0 客户端的已获授权重定向 URI 之一完全匹配,该 URI 是在客户端的 API Console Credentials page中配置的。如果此值与已获授权的 URI 不匹配,您将收到 redirect_uri_mismatch 错误。

下表显示了每种方法的适当 redirect_uri 参数值:

redirect_uri
自定义 URI scheme com.example.app:redirect_uri_path

com.googleusercontent.apps.123:redirect_uri_path
  • com.example.app 是您控制的网域的反向 DNS 表示法。自定义方案必须包含一个周期才能有效。
  • com.googleusercontent.apps.123 是客户端 ID 的反向 DNS 表示法。
  • redirect_uri_path 是可选的路径组件,例如 /oauth2redirect。请注意,路径应以单个斜杠开头,这与常规 HTTP 网址不同。
环回 IP 地址 http://127.0.0.1:porthttp://[::1]:port

向平台查询相关的环回 IP 地址,并在随机可用端口上启动 HTTP 监听器。将 port 替换为应用侦听的实际端口号。

请注意,我们 已弃用移动应用上的环回 IP 地址重定向选项的支持。

response_type 必填

确定 Google OAuth 2.0 端点是否返回授权代码。

将已安装应用的参数值设置为 code

scope 必填

以空格分隔的范围列表,用于标识您的应用可以代表用户访问的资源。这些值用于填充 Google 向用户显示的意见征求页面。

有了这一范围,您不但可以让应用仅请求访问所需的资源,而且还可以让用户控制其向您的应用授予的访问权限大小。因此,请求的范围数量与获得用户同意的可能性之间存在反比关系。

code_challenge 推荐

指定一个编码的 code_verifier,该 code_verifier 将在授权代码交换期间用作服务器端质询。如需了解详情,请参阅上文的创建代码挑战部分。

code_challenge_method 推荐

指定用于编码将在授权代码交换期间使用的 code_verifier 的方法。此参数必须与上述 code_challenge 参数搭配使用。如果包含 code_challenge 的请求中不存在 code_challenge_method,则 code_challenge_method 的值默认为 plain。此参数仅支持值 S256plain

state 推荐

指定应用用于在授权请求和授权服务器响应之间维护状态的任何字符串值。 在用户同意或拒绝应用的访问请求后,服务器会返回您在 redirect_uri 的网址片段标识符 (#) 中作为 name=value 对发送的确切值。

您可以将此参数用于多种用途,例如将用户定向到应用中的正确资源、发送 Nonce 以及减少跨网站请求伪造。由于 redirect_uri 可能会被猜到,因此使用 state 值可以提高您对传入连接是身份验证请求结果的信心。如果您生成随机字符串或对 Cookie 或捕获客户端状态的其他值进行哈希编码,则可以验证响应,以进一步确保请求和响应来自同一浏览器,从而防范跨网站请求伪造等攻击。如需查看有关如何创建和确认 state 令牌的示例,请参阅 OpenID Connect 文档。

login_hint 可选

如果您的应用知道哪位用户正在尝试进行身份验证,则可以使用此参数向 Google 身份验证服务器提供提示。服务器使用提示来简化登录流程,方法是预填充登录表单中的电子邮件字段,或选择适当的多账号登录会话。

将参数值设置为电子邮件地址或 sub 标识符,该标识符相当于用户的 Google ID。

授权网址示例

以下标签页显示了不同重定向 URI 选项的授权网址示例。

除了 redirect_uri 参数的值外,这两个网址完全相同。网址还包含必需的 response_typeclient_id 参数以及可选的 state 参数。为了便于阅读,每个网址都包含换行符和空格。

自定义 URI scheme

https://accounts.google.com/o/oauth2/v2/auth?
 scope=email%20profile&
 response_type=code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken&
 redirect_uri=com.example.app%3A/oauth2redirect&
 client_id=client_id

环回 IP 地址

https://accounts.google.com/o/oauth2/v2/auth?
 scope=email%20profile&
 response_type=code&
 state=security_token%3D138r5719ru3e1%26url%3Dhttps%3A%2F%2Foauth2.example.com%2Ftoken&
 redirect_uri=http%3A//127.0.0.1%3A9004&
 client_id=client_id

第 3 步:Google 提示用户同意

在���步骤中,用户决定是否向您的应用授予所请求的访问权限。在此阶段,Google 会显示一个意见征求窗口,其中显示应用的名称,以及请求权限来使用用户授权凭据进行访问的 Google API 服务,以及要授予的访问范围摘要。然后,用户可以同意授予对应用请求的一个或多个范围的访问权限,也可以拒绝该请求。

在此阶段,您的应用无需执行任何操作,只需等待 Google 的 OAuth 2.0 服务器的响应,以确定是否已授予任何访问权限。下一步将介绍该响应。

错误

向 Google 的 OAuth 2.0 授权端点发出的请求可能会显示面向用户的错误消息,而不是预期的身份验证和授权流程。下面列出了常见的错误代码和建议的解决方法。

admin_policy_enforced

由于 Google Workspace 管理员的政策,Google 账号无法授权所请求的一个或多个镜重范围。如需详细了解管理员如何限制对所有镜重或敏感和受限镜重范围的访问,直至向您的 OAuth 客户端 ID 明确授予访问权限,请参阅 Google Workspace 管理中心帮助文章 控制哪些第三方应用和内部应用可以访问 Google Workspace 数据

disallowed_useragent

授权端点显示在 Google 的 OAuth 2.0 政策所禁止的嵌入式用户代理中。

Android

Android 开发者在 android.webkit.WebView 中打开授权请求时可能会遇到此错误消息。 开发者应改为使用 Android 库,例如 Google 登录(适用于 Android)或 OpenID Foundation 的 AppAuth for Android

当 Android 应用在嵌入式用户代理中打开常规网页链接,并且用户从您的网站导航到 Google 的 OAuth 2.0 授权端点时,Web 开发者可能会遇到此错误。开发者应允许通用链接在操作系统的默认链接处理程序中打开,其中包括 Android 应用链接处理程序或默认浏览器应用。Android 自定义标签页库也是受支持的选项。

iOS

iOS 和 macOS 开发者在 WKWebView 中打开授权请求时可能会遇到此错误。 开发者应改用 iOS 库,例如 Google 登录(适用于 iOS)或 OpenID Foundation 的 AppAuth(适用于 iOS)

当 iOS 或 macOS 应用在嵌入式用户代理中打开常规网页链接,并且用户从您的网站导航到 Google 的 OAuth 2.0 授权端点时,Web 开发者可能会遇到此错误。开发者应允许通用链接在操作系统的默认链接处理程序中打开,其中包括通用链接处理程序或默认浏览器应用。SFSafariViewController 库也是受支持的选项。

org_internal

请求中的 OAuth 客户端 ID 属于一个项目,该项目会限制对特定 Google Cloud 组织中的 Google 账号的访问权限。如需详细了解此配置选项,请参阅“设置 OAuth 权限请求页面”帮助文章中的用户类型部分。

invalid_grant

如果您使用的是代码验证器和质询,则 code_callenge 参数无效或缺失。确保 code_challenge 参数设置正确。

刷新访问令牌时,令牌可能已过期或已失效。 再次验证用户身份,并征得用户同意以获取新令牌。如果您仍然看到此错误,请确保您的应用已正确配置,并且您在请求中使用的是正确的令牌和参数。否则,用户账号可能已被删除或停用。

redirect_uri_mismatch

授权请求中传递的 redirect_uri 与 OAuth 客户端 ID 的已获授权的重定向 URI 不匹配。在 Google API Console Credentials page中查看已获授权的重定向 URI。

传递的 redirect_uri 可能对客户端类型无效。

redirect_uri 参数可能指的是已废弃且不再受支持的 OAuth 带外 (OOB) 流程。请参阅迁移指南,更新您的集成。

invalid_request

您提交的请求有问题。这可能由以下多种原因导致:

  • 请求的格式不正确
  • 请求缺少必需参数
  • 请求使用 Google 不支持的授权方法。验证您的 OAuth 集成是否使用了推荐的集成方法
  • 重定向 URI 使用自定义 scheme:如果您看到错误消息 Chrome 应用不支持自定义 URI scheme未为 Android 客户端启用自定义 URI scheme,则表示您使用的自定义 URI scheme 不受 Chrome 应用支持,并且在 Android 上默认处于停用状态。详细了解自定义 URI scheme 替代方案

第 4 步:处理 OAuth 2.0 服务器响应

应用接收授权响应的方式取决于其使用的重定向 URI 架构。无论采用哪种方案,响应都将包含授权代码 (code) 或错误 (error)。例如,error=access_denied 表示用户拒绝了请求。

如果用户授予对应用的访问权限,您可以将授权代码换成访问令牌和刷新令牌,如下一步所述。

第 5 步:使用授权代码换取刷新令牌和访问令牌

如需使用授权代码交换访问令牌,请调用 https://oauth2.googleapis.com/token 端点并设置以下参数:

字段
client_id 从 API Console Credentials page获取的客户端 ID。
client_secret 从 API Console Credentials page获取的客户端密钥。
code 从初始请求返回的授权代码。
code_verifier 您在第 1 步中创建的代码验证器。
grant_type 如 OAuth 2.0 规范中所定义,此字段的值必须设置为 authorization_code
redirect_uri 为给定 client_id 在 API Console Credentials page 中为您的项目列出的重定向 URI 之一。

以下代码段显示了一个示例请求:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=your_client_id&
client_secret=your_client_secret&
redirect_uri=http://127.0.0.1:9004&
grant_type=authorization_code

Google 会通过返回包含短时有效访问令牌和刷新令牌的 JSON 对象来响应此请求。

响应包含以下字段:

字段
access_token 您的应用发送的用于授权 Google API 请求的令牌。
expires_in 访问令牌的剩余生命周期(以秒为单位)。
id_token 注意:只有当您的请求包含身份范围(例如 openidprofileemail)时,系统才会返回此属性。该值是一个 JSON Web 令牌 (JWT),其中包含经过数字签名的用户身份信息。
refresh_token 您可以使用此令牌获取新的访问令牌。刷新令牌在用户撤消访问权限之前有效。 请注意,系统始终会为已安装的应用返回刷新令牌。
scope access_token 授予的访问权限范围,表示为以空格分隔且区分大小写的字符串列表。
token_type 返回的令牌类型。此时,此字段的值始终设置为 Bearer

以下代码段显示了示例响应:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "token_type": "Bearer",
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly",
  "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
}

第 6 步:查看用户授予了哪些权限范围

同时请求多个范围时,用户可能不会授予您的应用请求的所有范围。 您的应用应始终检查用户授予了哪些镜重范围,并通过停用相关功能来处理任何镜重范围被拒的情况。如需了解详情,请参阅如何处理精细权限

如需检查用户是否已向您的应用授予对特定范围的访问权限,请检查访问令牌响应中的 scope 字段。access_token 授予的访问范围,表示为以空格分隔且区分大小写的字符串列表。

例如,以下访问令牌响应示例表明,用户已向您的应用授予对只读 Drive 活动和日历活动权限的访问权限:

  {
    "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
    "expires_in": 3920,
    "token_type": "Bearer",
    "scope": "https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly",
    "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
  }

调用 Google API

在应用获取访问令牌后,如果已授予 API 所需的访问范围,您可以使用该令牌代表给定用户账号调用 Google API。为此,请通过添加 access_token 查询参数或 Authorization HTTP 标头 Bearer 值,在向 API 发出的请求中添加访问令牌。请尽可能使用 HTTP 标头,因为查询字符串通常会显示在服务器日志中。在大多数情况下,您可以使用客户端库设置对 Google API 的调用(例如,调用 Drive Files API 时)。

您可以在 OAuth 2.0 Playground 中试用所有 Google API 并查看其范围。

HTTP GET 示例

使用 Authorization: Bearer HTTP 标头调用 drive.files 端点(即云端硬盘文件 API)的代码可能如下所示。请注意,您需要指定自己的访问令牌:

GET /drive/v2/files HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

以下是使用 access_token 查询字符串参数对已验证用户调用同一 API 的示例:

GET https://www.googleapis.com/drive/v2/files?access_token=access_token

curl 示例

您可以使用 curl 命令行应用测试这些命令。下面是一个使用 HTTP 标头选项(首选)的示例:

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/drive/v2/files

或者,您也可以使用查询字符串参数选项:

curl https://www.googleapis.com/drive/v2/files?access_token=access_token

刷新访问令牌

访问令牌会定期过期,并成为相关 API 请求的无效凭据。如果您请求离线访问与令牌关联的范围,则可以刷新访问令牌,而不提示用户授予权限(包括在用户不存在的情况下)。

如需刷新访问令牌,您的应用会向 Google 的授权服务器 (https://oauth2.googleapis.com/token) 发送包含以下参数的 HTTPS POST 请求:

字段
client_id API Console获取的客户端 ID。
client_secret API Console获取的客户端密钥。 (client_secret 不适用于注册为 Android、iOS 或 Chrome 应用的客户端发出的请求。)
grant_type OAuth 2.0 规范中所定义,此字段的值必须设置为 refresh_token
refresh_token 从授权代码交换返回的刷新令牌。

以下代码段显示了一个示例请求:

POST /token HTTP/1.1
Host: oauth2.googleapis.com
Content-Type: application/x-www-form-urlencoded

client_id=your_client_id&
client_secret=your_client_secret&
refresh_token=refresh_token&
grant_type=refresh_token

只要用户未撤消向应用授予的访问权限,令牌服务器就会返回包含新访问令牌的 JSON 对象。以下代码段显示了示例响应:

{
  "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
  "expires_in": 3920,
  "scope": "https://www.googleapis.com/auth/drive.metadata.readonly https://www.googleapis.com/auth/calendar.readonly",
  "token_type": "Bearer"
}

请注意,系统会对要发出的刷新令牌数量施加限制:每个客户端/用户组合有上限,所有客户端中的每个用户也有上限。您应将刷新令牌保存在长期存储空间中,并在其有效期间继续使用。如果您的应用请求的刷新令牌过多,可能会遇到这些限制,在这种情况下,较早的刷新令牌将无法使用。

撤消令牌

在某些情况下,用户可能希望撤消向某个应用授予的访问权限。用户可以访问 账号设置来撤消访问权限。如需了解详情,请参阅“有权访问您账号的第三方网站和应用”支持文档中的“撤消网站或应用访问权限”部分

应用还可以通过程序化方式撤消授予给它的访问权限。 在用户取消订阅、移除应用或应用所需的 API 资源发生重大变化的情况下,程序化撤消非常重要。换句话说,移除流程的一部分可以包含 API 请求,以确保移除之前向应用授予的权限。

如需以编程方式撤消令牌,您的应用需要向 https://oauth2.googleapis.com/revoke 发出请求,并将令牌作为参数包含在内:

curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
        https://oauth2.googleapis.com/revoke?token={token}

该令牌可以是访问令牌或刷新令牌。如果令牌是访问令牌且具有相应的刷新令牌,则刷新令牌也会被撤消。

如果撤消成功处理,则响应的 HTTP 状态代码为 200。对于错误情况,系统会返回 HTTP 状态代码 400 以及错误代码。

应用重定向方法

自定义 URI 架构(Android、iOS、UWP)

自定义 URI scheme 是一种深层链接,使用自定义 scheme 打开应用。

在 Android 上使用自定义 URI scheme 的替代方案

使用 Google 登录 Android SDK,该 SDK 会直接将 OAuth 2.0 响应传送到您的应用,从而无需重定向 URI。

如何迁移到 Google Sign-In for Android SDK

如果您在 Android 上使用自定义架构进行 OAuth 集成,则需要完成以下操作才能完全迁移到使用推荐的 Google 登录 for Android SDK:

  1. 更新您的代码以使用 Google 登录 SDK。
  2. 在 Google API 控制台中停用对自定义架构的支持。

请按照以下步骤迁移到 Google 登录 Android SDK:

  1. 更新您的代码以使用 Google 登录 Android SDK:
    1. 检查您的代码,找出您向 Google 的 OAuth 2.0 服务器发送请求的位置;如果使用自定义架构,您的请求将如下所示:
        https://accounts.google.com/o/oauth2/v2/auth?
        scope=<SCOPES>&
        response_type=code&
        &state=<STATE>&
        redirect_uri=com.example.app:/oauth2redirect&
        client_id=<CLIENT_ID>
        
      com.example.app:/oauth2redirect 是上述示例中的自定义 scheme 重定向 URI。如需详细了解自定义 URI 架构值的格式,请参阅 redirect_uri 参数定义。
    2. 记下 scopeclient_id 请求���数,您需要这些参数来配置 Google 登录 SDK。
    3. 请按照 开始将 Google 登录功能集成到您的 Android 应用中中的说明设置 SDK。您可以跳过获取后端服务器的 OAuth 2.0 客户端 ID 步骤,因为您将重复使用从上一步中检索到的 client_id
    4. 请按照 启用服务器端 API 访问中的说明操作。具体步骤如下:
      1. 使用 getServerAuthCode 方法检索您请求权限的范围的授权代码。
      2. 将授权代码发送到应用的后端,以换取访问令牌和刷新令牌。
      3. 使用检索到的访问令牌代表用户调用 Google API。
  2. 在 Google API 控制台中停用对自定义架构的支持:
    1. 前往 OAuth 2.0 凭据列表,然后选择您的 Android 客户端。
    2. 前往高级设置部分,取消选中启用自定义 URI scheme 复选框,然后点击保存以停用自定义 URI scheme 支持。

启用自定义 URI scheme

如果推荐的替代方案不适合您,您可以按照以下说明为 Android 客户端启用自定义 URI scheme:
  1. 前往 OAuth 2.0 凭据列表,然后选择您的 Android 客户端。
  2. 前往高级设置部分,选中启用自定义 URI 架构复选框,然后点击保存以启用自定义 URI 架构支持。

在 Chrome 应用中使用自定义 URI scheme 的替代方案

使用 Chrome Identity API,该 API 会直接将 OAuth 2.0 响应传送到您的应用,从而无需重定向 URI。

环回 IP 地址(macOS、Linux、Windows 桌面设备)

如需使用此网址接收授权代码,您的应用必须监听本地 Web 服务器。在许多平台上都可以实现这一点,但并非所有平台都支持。不过,如果您的平台支持,则建议使用此机制获取授权代码。

当您的应用收到授权响应时,为了实现最佳易用性,它应通过显示 HTML 页面来响应,指示用户关闭浏览器并返回您的应用。

建议的用法 macOS、Linux 和 Windows 桌面(但不包括通用 Windows 平台)应用
表单值 将应用类型设置为桌面应用

手动复制/粘贴(已废弃)

保护您的应用

验证应用所有权(Android、Chrome)

您可以验证应用的所有权,以降低应用冒充风险。

Android

如需完成验证流程,您可以使用 Google Play 开发者账号(前提是您拥有此类账号且应用已在 Google Play 管理中心注册)。必须满足以下要求才能成功完成验证:

  • 您必须在 Google Play 管理中心内拥有一个注册应用,该应用的软件包名称和 SHA-1 签名证书指纹与您要完成验证的 Android OAuth 客户端相同。
  • 您必须在 Google Play 管理中心内拥有相应应用的管理员权限。 详细了解如何在 Google Play 管理中心内管理访问权限。

在 Android 客户端的验证应用所有权部分中,点击验证所有权按钮以完成验证流程。

如果验证成功,系统会显示一条通知,确认验证流程已成功完成。否则,系统会显示错误提示。

如需解决验证失败的问题,请尝试以下操作:

  • 确保您要验证的应用已在 Google Play 管理中心内注册。
  • 确保您在 Google Play 管理中心内拥有该应用的管理员权限。
Chrome

您需要使用自己的 Chrome 应用商店开发者账号来完成验证流程。 必须满足以下要求才能成功完成验证:

  • 您必须在 Chrome 应用商店开发者信息中心中拥有一个已注册的项目,且该项目的 ID 与您要完成验证的 Chrome 扩展程序 OAuth 客户端的 ID 相同。
  • 您必须是 Chrome 应用商店商品的发布商。 详细了解如何在 Chrome 应用商店开发者信息中心中管理访问权限。

在 Chrome 扩展程序客户端的验证应用所有权部分中,点击验证所有权按钮以完成验证流程。

注意:授予对您账号的访问权限后,请等待几分钟,然后再完成验证流程。

如果验证成功,系统会显示一条通知,确认验证流程已成功完成。否则,系统会显示错误提示。

如需解决验证失败的问题,请尝试以下操作:

  • 确保 Chrome 应用商店开发者信息中心中有一件注册商品,其商品 ID 与您要完成验证的 Chrome 扩展程序 OAuth 客户端相同。
  • 确保您是该应用的发布商,也就是说,您必须是该应用的个人发布商或该应用的群组发布商成员。如需详细了解如何在 Chrome 应用商店开发者信息中心管理访问权限,请参阅相关文章。
  • 如果您刚刚更新了群组发布商名单,请验证群组发布商成员名单是否已在 Chrome 应用商店开发者信息中心同步。 详细了解如何同步发布商会员名单。

App Check(仅限 iOS)

App Check 功能可使用 Apple 的 App Attest 服务来验证发送到 Google OAuth 2.0 端点的请求是否来自真实的应用,从而帮助保护您的 iOS 应用免遭未经授权的使用。这有助于降低应用冒充的风险。

为 iOS 客户端启用 App Check

必须满足以下要求,才能成功为 iOS 客户端启用 App Check:
  • 您必须为 iOS 客户端指定团队 ID。
  • 您不得在软件包 ID 中使用通配符,因为它可以解析为多个应用。这意味着软件包 ID 不得包含星号 (*) 符号。
如需启用 App Check,请在 iOS 客户端的修改视图中开启使用 Firebase App Check 保护您的 OAuth 客户端免遭滥用切换按钮。

启用 App Check 后,您将开始在 OAuth 客户端的修改视图中看到与客户端发出的 OAuth 请求相关的指标。在您强制执行 App Check 之前,系统不会屏蔽来自未经验证来源的请求。指标监控页面中的信息可帮助您确定何时开始强制执行。

为 iOS 应用启用 App Check 时,您可能会看到与 App Check 功能相关的错误。如需修正这些错误,请尝试执行以下操作:

  • 请验证您指定的软件包 ID 和团队 ID 是否有效。
  • 请确保您未为软件包 ID 使用通配符。

为 iOS 客户端强制执行 App Check

为应用启用 App Check 后,系统不会自动屏蔽无法识别的请求。如需强制执行此保护措施,请前往 iOS 客户端的“修改”视图。在该页面右侧的 Google Identity for iOS 部分下,您会看到 App Check 指标。这些指标包含以下信息:
  • 已验证请求的数量 - 具有有效 App Check 令牌的请求。启用 App Check 强制执行后,只有此类别的请求会成功。
  • 未验证请求的数量:可能过时的客户端请求 - 缺少 App Check 令牌的请求;这些请求可能来自未包含 App Check 实现的旧版���用。
  • 未验证请求数:未知来源的请求 - 缺少 App Check 令牌且看起来不像来自您的应用的请求。
  • 未经验证请求数:无效请求 - 具有无效 App Check 令牌的请求,可能来自企图冒充您的应用的不可信客户端,也可能来自模拟环境。
查看这些指标,了解强制执行 App Check 对用户有何影响。

如需强制执行应用检查,请点击ENFORCE按钮,然后确认您的选择。强制执行生效后,来自客户端的所有未经验证的请求都将被拒绝。

注意:启用强制执行后,更改最长可能需要 15 分钟才能生效。

为 iOS 客户端取消强制执行 App Check

为应用取消强制执行 App Check 后,系统将停止强制执行,并允许客户端向 Google OAuth 2.0 端点发出所有请求,包括未经验证的请求。

如需为 iOS 客户端停用 App Check,请前往 iOS 客户端的修改视图,点击 UNENFORCE 按钮,然后确认您的选择。

注意:停用应用检查后,所做更改最长可能需要 15 分钟才能生效。

为 iOS 客户端停用 App Check

为应用停用 App Check 会停止所有 App Check 监控和强制执行。不妨考虑停用 App Check,以便继续监控客户端的指标。

如需为 iOS 客户端停用 App Check,请前往 iOS 客户端的修改视图,然后关闭使用 Firebase App Check 保护您的 OAuth 客户端免遭滥用切换按钮。

注意:停用应用检查后,更改最长可能需要 15 分钟才会生效。

延伸阅读

IETF 现行最佳实践 OAuth 2.0 for Native Apps 中规定了本文档中记录的许多最佳实践。

实现跨账号保护

为了保护用户的账号,您还应采取一项额外的措施,即利用 Google 的跨账号保护服务实现跨账号保护。借助此服务,您可以订阅安全事件通知,以便向您的应用提供有关用户账号重大更改的信息。然后,您可以根据自己决定的事件响应方式,使用这些信息来执行操作。

Google 跨账号保护服务向您的应用发送的事件类型示例包括:

  • https://schemas.openid.net/secevent/risc/event-type/sessions-revoked
  • https://schemas.openid.net/secevent/oauth/event-type/token-revoked
  • https://schemas.openid.net/secevent/risc/event-type/account-disabled

如需详细了解如何实现跨账号保护功能以及可用事件的完整列表,请参阅 使用跨账号保护功能保护用户账号 页面。