如何在Google OAuth2中获得用户登录并同意后的访问令牌和刷新令牌
How to get access token and refresh token after user login and consent in Google OAuth2?
我想通过Google API导入Gmail用户的联系人。
我有以下内容:
-
使用
Client secret and key获取授权的url。这是用户访问以允许我的应用程序访问的url。 -
授权的url重定向到应用程序设置中指定的重定向uri。
-
我在url中有一个查询参数
code,我猜这是文档在这里说的授权代码。
问题:
如果可能的话,我想交换这个代码以获得access token和refresh token到javascript。但我在javascript中看不到这部分的任何文档。
在我的服务器端,我这样做是为了获得authorized url:
token = gdata.gauth.OAuth2Token(client_id=settings.GMAIL_CLIENT_ID,
client_secret=settings.GMAIL_API_KEY,
scope=scope, user_agent=user_agent)
auth_url = token.generate_authorize_url(redirect_uri=redirect_uri)
然后将用户重定向到CCD_ 9。现在,一旦用户允许请求的权限,他们就会使用查询参数code重定向回我的网站。我想从这里使用javascript来获得access token。
另一种选择是,一旦用户被重定向到我的网站,就在服务器端获得access token,并将其与响应一起返回给他,但我真的不想这样做。
简短回答:如果您想使用OAuth2客户端身份验证,则使用了错误的文档。
现在是细节。
OAuth2有4种授权类型:
- 授权代码
- 隐式
- 资源所有者密码凭据和
- 客户端凭据
如果你想要更多的细节,你可以阅读这篇很好的文章并进行解释。
您已经指出OAuth2 for Web Servers的Google文档,它符合授权代码类型。它依赖于SSL上的Web服务器数据交换,因为它涉及到client_secret的交换。
也就是说,如果您尝试使用JavaScript执行POST请求以获取access_token,那么您将暴露client_secret,因为它是POST调用中的必需参数。
如果您想尝试在不使用服务器端代码的情况下请求access_token,则需要使用隐式授予类型。
您可以在Using OAuth 2.0 for Client side Applications 中找到隐式授权类型的Google文档
- 使用Javascript获取Twitter访问令牌
- FB.login访问令牌facebook javascript SDK
- Phonegap:获取访问令牌时出现LinkedIn登录错误
- 访问令牌和响应数据
- 访问令牌facebook未激活
- OAuth和访问令牌
- 如何安全地获取&使用Facebook应用程序访问令牌发送通知使用PHP&Javascript
- 使用Javascript向ID数组发送通知时出现Facebook访问令牌错误
- 如何使用密码和用户名从 bitly 获取访问令牌
- Facebook Javascript SDK:发布到提要时验证访问令牌时出错
- Axios CORS 问题与 Github oauth 未获取访问令牌
- 在 js sdk 中手动设置访问令牌
- 如何使用访问令牌与Facebook Graph API
- 打开图形:Java脚本:必须使用活动访问令牌来查询有关当前用户的信息
- 通过oauth令牌passport.js访问用户配置文件
- 在angularjs或nodejs中获取Pocket访问令牌
- 从网页在amazoncognito中注册Facebook访问令牌
- 授权客户端JS API调用Google'的具有现有访问令牌的gap库
- 使用Javascript SDK时,我需要传递访问令牌吗
- 必须使用活动访问令牌来查询有关具有打开图的当前用户的信息
