Ne pas recevoir le jeton de rafraîchissement de Google OAuth

Question

Je veux obtenir le jeton d'accès de Google. L'API de Google indique que pour obtenir le jeton d'accès, il faut envoyer le code et les autres paramètres à la page de génération du jeton, et la réponse sera un objet JSON comme :

{
"access_token" : "ya29.AHES6ZTtm7SuokEB-RGtbBty9IIlNiP9-eNMMQKtXdMP3sfjL1Fc",
"token_type" : "Bearer",
"expires_in" : 3600,
"refresh_token" : "1/HKSmLFXzqP0leUihZp2xUt3-5wkU7Gmu2Os_eBnzw74"
}

Cependant, je ne reçois pas le jeton de rafraîchissement. La réponse dans mon cas est :

{
 "access_token" : "ya29.sddsdsdsdsds_h9v_nF0IR7XcwDK8XFB2EbvtxmgvB-4oZ8oU",
"token_type" : "Bearer",
"expires_in" : 3600
}

Answer 1

El refresh_token n'est fournie que lors de la première autorisation de l'utilisateur. Les autorisations ultérieures, comme celles que vous effectuez lorsque vous testez une intégration OAuth2, ne renverront pas l'indicateur refresh_token encore. :)

1. Accédez à la page indiquant les applications ayant accès à votre compte : https://myaccount.google.com/u/0/permissions .
2. Dans le menu des applications tierces, choisissez votre application.
3. Cliquez sur Supprimer l'accès et ensuite sur Ok pour confirmer
4. La prochaine demande OAuth2 que vous ferez renverra un fichier refresh_token (à condition qu'il comprenne également le paramètre de requête "access_type=offline").

Alternativement, vous pouvez ajouter les paramètres de requête prompt=consent&access_type=offline à la redirection OAuth (voir le document de Google intitulé OAuth 2.0 pour les applications de serveur Web page).

Cela invitera l'utilisateur à autoriser à nouveau l'application et renverra toujours un refresh_token .

Answer 2

Afin d'obtenir le jeton de rafraîchissement, vous devez ajouter les deux éléments suivants approval_prompt=force y access_type="offline" Si vous utilisez le client java fourni par Google, cela ressemblera à ceci :

GoogleAuthorizationCodeFlow flow = new GoogleAuthorizationCodeFlow.Builder(
            HTTP_TRANSPORT, JSON_FACTORY, getClientSecrets(), scopes)
            .build();

AuthorizationCodeRequestUrl authorizationUrl =
            flow.newAuthorizationUrl().setRedirectUri(callBackUrl)
                    .setApprovalPrompt("force")
                    .setAccessType("offline");

Answer 3

J'aimerais ajouter un peu plus d'informations sur ce sujet pour les âmes frustrées qui rencontrent ce problème. La clé pour obtenir un jeton de rafraîchissement pour une application hors ligne est de s'assurer que vous présentez l'icône écran de consentement . El refresh_token n'est retourné qu'immédiatement après que l'utilisateur ait accordé l'autorisation en cliquant sur "Autoriser".

Le problème est apparu pour moi (et je soupçonne beaucoup d'autres personnes) après avoir effectué quelques tests dans un environnement de développement et donc a déjà autorisé ma demande sur un compte donné. Je suis ensuite passé en production et j'ai tenté de m'authentifier à nouveau en utilisant un compte qui était déjà autorisé. Dans ce cas, l'écran de consentement ne s'affiche pas à nouveau et l'api ne retournera pas un nouveau jeton de rafraîchissement . Pour que cela fonctionne, vous devez forcer la réapparition de l'écran de consentement, soit :

prompt=consent

o

approval_prompt=force

L'un ou l'autre fonctionnera mais vous ne devez pas utiliser les deux. A partir de 2021, je recommande d'utiliser prompt=consent puisqu'il remplace l'ancien paramètre approval_prompt et dans certaines versions de l'api, cette dernière était en fait cassée ( https://github.com/googleapis/oauth2client/issues/453 ). Aussi, prompt est une liste délimitée par des espaces, vous pouvez donc la définir comme suit prompt=select_account%20consent si vous voulez les deux.

Bien sûr, vous avez aussi besoin :

access_type=offline

Lecture supplémentaire :

• Docs : https://developers.google.com/identity/protocols/oauth2/web-server#request-parameter-prompt
• Docs : https://developers.google.com/identity/protocols/oauth2/openid-connect#re-consent
• Discussion sur cette question : https://github.com/googleapis/google-api-python-client/issues/213

Answer 4

J'ai cherché une longue nuit et ceci fait l'affaire :

Modifié user-example.php de admin-sdk

$client->setAccessType('offline');
$client->setApprovalPrompt('force');
$authUrl = $client->createAuthUrl();
echo "<a class='login' href='" . $authUrl . "'>Connect Me!</a>";

puis vous obtenez le code à l'url de redirection et l'authentification avec le code et l'obtention du jeton de rafraîchissement.

$client()->authenticate($_GET['code']);
echo $client()->getRefreshToken();

Vous devriez le stocker maintenant ;)

Lorsque votre clé d'accès ne fonctionne plus, faites simplement

$client->refreshToken($theRefreshTokenYouHadStored);

Answer 5

Cela m'a causé une certaine confusion et j'ai pensé que je devais partager ce que j'ai appris à la dure :

Lorsque vous demandez l'accès en utilisant le access_type=offline y approval_prompt=force vous devriez recevoir à la fois un accès et un rafraîchir jeton. Le site accès Le jeton expire peu de temps après sa réception et vous devrez le rafraîchir.

Vous avez correctement fait la demande pour obtenir un nouveau accès et a reçu la réponse qui contient votre nouvelle accès jeton. J'ai également été troublé par le fait que je n'ai pas obtenu un nouveau rafraîchir jeton. Cependant, c'est ainsi que cela doit être, puisque vous pouvez utiliser le même rafraîchir jeté encore et encore.

Je pense que certaines des autres réponses supposent que tu voulais t'acheter un nouveau rafraîchir pour une raison quelconque et a suggéré que vous autorisiez à nouveau l'utilisateur, mais en fait, vous n'avez pas besoin de le faire puisque l'identifiant de l'utilisateur a été modifié. rafraîchir que vous avez fonctionnera jusqu'à ce qu'il soit révoqué par l'utilisateur.