Googleサインインを介したアプリケーションでのOAuth2の認証。 Google APIへの継続的なアクセス

「2017年4月20日から、組み込みブラウザからの認証リクエストの送信はブロックされます。」

3月1日からのこのようなメッセージは、承認が必要な一部のアプリケーションで見ることができます。 Googleは2016年8月に彼のブログでこのことを書きました。これは、すぐに多くのアプリケーションが登録の実装を書き換える必要があることを意味します。 あまり快適ではありませんが、解決策があります-推奨されるGoogleサインイン認証方法を使用してください。



このメソッドについては、レッスンで説明するほか、Google APIの操作に必要なトークンを取得する方法についても説明します。



レッスンには、公式文書の部分的な翻訳が含まれます。 しかし、最初に、私の実践からの少しの背景とOAuth2での最初の作業は、おそらく誰かが同様の状況にあるでしょう。



アプリケーションがYouTubeライブブロードキャストからチャットを取得する必要がありました。 そして、ブロードキャストリクエストを送信するには（チャットの後でのみ）OAuth2でユーザーを認証する必要があることがわかりました。 検索を始めました。 このトピックに関する情報は非常に小さく、ばらばらであり、私の場合には適しておらず、もちろんすべてが英語で書かれていました。 ほとんどの情報は、最も人気のあるAPIであるDrive、Cloud、Google Plusと連携するためのものでした。 公式のYouTube APIドキュメントには既製のコードがあり、それを受け取って使用しますが、Androidでは機能しません。 試行錯誤を繰り返して、かなりの時間を費やして、実用的なソリューションを見つけました。 その後、私が最初にやりたいことは、情報を「ヒープ内」に収集して棚に置くことでした。これにより、このレッスンを書くようになりました。



最初に、私の決定は、ユーザーが認証（電子メール、パスワードを入力）するためにWebViewが開かれたという事実から始まりました。 次に、データを使用するための許可が要求され、許可後に認証コード（AuthCode）が応答に含まれます。これについては、後でそれをどう処理するかについて説明します。 WebViewで開いたURLは次のとおりです。

https://accounts.google.com/o/oauth2/auth? client_id=60*********5ad3np.apps.googleusercontent.com &redirect_uri=urn:ietf:wg:oauth:2.0:oob &access_type=offline&response_type=code &scope=https://www.googleapis.com/auth/youtube.readonly
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、ページヘッダーにあるコードであるauthCodeを含むページへの応答としての投稿要求にすぎません。 APIへの推奨事項と、ユーザーからこのコードを非表示にするアクションに従って、すべてが開発者に任されました。



すべてが正常に機能し、アプリケーションは公開されましたが、ある日私は以下を見ました：









「詳細」リンクをクリックすると、ブログにアクセスしますが、そこではセキュリティの名の下に、WebViewによる認証は4月20日以降機能しないと書かれています。 まあ、私はそれをやったばかりで、サインインでやり直す必要があると思います。 そして最初は、このサービスを通じて実装を試みました。 しかし、「何となぜ」という既存の知識があれば、すぐに判明しました。 それでは、始めましょう。



1.資格情報の取得



API Managerで、新しいプロジェクトを作成します（または既存のプロジェクトを選択します）。









承認のために、ウィザードで取得できる構成ファイルが必要になります。









アプリケーション名とパッケージのフィールドに入力します。 次に、接続するサービス（Googleサインイン）を選択します。ここで、アプリケーションのSHA1キーを入力する必要があります。取得は簡単です。AndroidStudioで[Gradle]タブを見つけ、[Tasks-android-signingReport]タブを開きます。 ダブルクリックすると、キーに関する情報がログに表示されます。 キーSHA1、コピーを見つけます。















[構成ファイルを生成]ボタンをクリックし、[google-services.jsonをダウンロード]をクリックします。 このjsonファイルは、プロジェクトフォルダー「app」に保存されます。



重要！ Google Playでアプリケーションを公開する場合、デバッグキーSHA1をそれぞれリリースキーに置き換え、構成ファイルを置き換える必要があります。



APIマネージャーに移動すると、キーとOAuthクライアント識別子が生成されたことがわかります。 Webクライアントデータ（クライアント識別子とクライアントシークレット）のみが必要です。





「OAuthアクセス要求ウィンドウ」タブで、メールと製品名を変更できます。これは、許可が要求されたときに書き込まれる内容です「Application **** asks：...」



2.クライアントサインインの構成



Google Api Clientにアクセスするには、以下に応じてgradleアプリファイルに追加します。

 compile 'com.google.android.gms:play-services-auth:10.2.0'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、プラグイン（ファイルの最後）：

 apply plugin: 'com.google.gms.google-services'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

依存するgradleプロジェクトファイル：

 classpath 'com.google.gms:google-services:3.0.0'
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

オプションを構成します。

 GoogleSignInOptions gso = new GoogleSignInOptions.Builder(GoogleSignInOptions.DEFAULT_SIGN_IN) .requestServerAuthCode(getString(R.string.server_client_id)) .requestEmail() .requestScopes(new Scope("https://www.googleapis.com/auth/youtube.readonly")) .build();
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで最も重要な行は次のとおりです。



requestServerAuthCode(getString(R.string.server_client_id))



-authCodeを要求し、上記で受け取ったクライアント識別子パラメーター（すべて完全に）を渡します。



requestScopes(new Scope("***"))



-使用するAPIに必要なアクセス領域を要求します。 スコープには既に定義済みの領域がいくつかありますが、適切な領域が見つからない場合は、私の場合のように独自の領域を設定できます。 ユーザーにとっては、アプリケーションが取得したいものへのアクセスとして表示されます。



クライアントを構成します。

 GoogleApiClient mApiClient = new GoogleApiClient.Builder(this) .enableAutoManage(this, this) .addApi(Auth.GOOGLE_SIGN_IN_API, gso) .build();
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてがドキュメントの標準に準拠しています。



enableAutoManage(this, this)



-アクティビティと接続リスナーがパラメーターに渡されます（GoogleApiClient.OnConnectionFailedListenerインターフェースを実装します）。



addApi(Auth.GOOGLE_SIGN_IN_API, gso)



-サインインAPIと以前に作成されたオプションオブジェクトを使用することを示します。



承認を開始するには、ボタン（またはその他の要素）が必要です。 標準のサインインボタンを使用できます。 XMLマークアップ：

 <com.google.android.gms.common.SignInButton android:id="@+id/activity_button_sign_in" android:layout_width="wrap_content" android:layout_height="wrap_content" />
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のようになります。







アクティビティでは、ボタンは他のすべてのビューと同じように定義されます。リスナーをハングさせ、ボタンをクリックしてメソッドを実行します。

 @Override public void onClick(View view) { switch (view.getId()) { case R.id.activity_button_sign_in: signIn(); break; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

呼び出されたメソッドのコードは、インテントの作成と承認のためのアクティベーションコールです。

 public void signIn() { Intent signInIntent = Auth.GoogleSignInApi.getSignInIntent(mApiClient); startActivityForResult(signInIntent, RC_AUTH_CODE); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

構成されたmApiClientをパラメーターに渡します。 いつものように、アクティビティの結果を追跡するための任意の番号のRC_AUTH_CODE。



ボタンをクリックすると、ログインするアカウントを選択するか、新しいアカウントを追加するよう求められます。 選択後、アプリケーションは許可を要求します。









3.認証コードの取得



ユーザーが許可を与えた後、onActivityResultでアカウントデータを取得します。

 @Override protected void onActivityResult(int requestCode, int resultCode, Intent data) { if (requestCode == RC_AUTH_CODE) { GoogleSignInResult result = Auth.GoogleSignInApi.getSignInResultFromIntent(data); if (result.isSuccess()) { GoogleSignInAccount acct = result.getSignInAccount(); String authCode = acct.getServerAuthCode(); getAccessToken(authCode); } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その結果、通常の行として認証コードを取得します。次のようになります。

 4/iHhVmqtxccXh0Qs*********oo5XG8OjaNsWu_kEKyw
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

また、アカウントからユーザーのメール、ユーザー名、アバターを取得できます：



acct.getEmail（）

acct.getDisplayName（）

acct.getPhotoUrl（）



このデータは、たとえば、ヘッダーNavigationViewに挿入するために必要になる場合があります。



4.アクセストークンとリフレッシュトークンの取得



認証コードを取得しました。APIリクエストに必要なトークンに変更する必要があります。 これを行うには、 https://www.googleapis.com/oauth2/v4/token.



リクエストを作成しhttps://www.googleapis.com/oauth2/v4/token.



たとえば、OkHttpを使用してこれを行います。

 public void getAccessToken(String authCode) { OkHttpClient client = new OkHttpClient(); RequestBody requestBody = new FormEncodingBuilder() .add("grant_type", "authorization_code") .add("client_id", getString(R.string.server_client_id)) .add("client_secret", getString(R.string.client_secret)) .add("code", authCode) .build(); final Request request = new Request.Builder() .url("https://www.googleapis.com/oauth2/v4/token") .header("Content-Type", "application/x-www-form-urlencoded") .post(requestBody) .build(); client.newCall(request).enqueue(new Callback() { @Override public void onFailure(Request request, IOException e) {} @Override public void onResponse(Response response) throws IOException { try { JSONObject jsonObject = new JSONObject(response.body().string()); mAccessToken = jsonObject.get("access_token").toString(); mTokenType = jsonObject.get("token_type").toString(); mRefreshToken = jsonObject.get("refresh_token").toString(); } catch (JSONException e) { e.printStackTrace(); } } }); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パラメーターをより詳細に検討してください。 Request.Builder（）で、トークンを取得するURLを渡します。

 url("https://www.googleapis.com/oauth2/v4/token")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ヘッダーで、Content-Typeを指定します。

 header("Content-Type", "application/x-www-form-urlencoded")
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これがPOSTメソッドであることを示し、bodyを渡します：

 post(requestBody)
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

生成されたrequestBodyには、パラメーターが含まれている必要があります。



"grant_type", "authorization_code"



-認証コードを渡すことを示します

"client_id", getString(R.string.server_client_id)



-パラメーターは、API Managerで受信したクライアントIDです

"client_secret", getString(R.string.client_secret)



Managerで受信したクライアントシークレット

"code", authCode



実際に受け取ったコード。



リクエストは非同期で、レスポンスでは、動作に必要なすべてのデータを含む通常のjsonを取得します。

 { "access_token":"ya29.GlsfBJNMTfGy…", "token_type":"Bearer", "expires_in":3600, "refresh_token":"1\/72OqA7zYuyY__XhGij5oA2nEb7…", "id_token":"eyJhbGciOiJSUzI1NiIsImtpZ…" }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

"access_token"



-すべてが保持されたアクセストークン

"expires_in"



-アクセストークンの有効期間。デフォルトでは、トークンは1時間存続します。リクエストに応じて1日に25個のトークンを受け取ることができます。

"token_type"



-トークンのタイプ。これも覚えておく必要があります。また、将来のAPIのリクエストにも挿入されます。

"refresh_token"



は、1時間が経過したときにアクセストークンを更新するためのトークンです。 更新トークンは変更されていません。 多くの場合、フォーラムで私自身が遭遇した問題を見ました。このトークンはリクエストに含まれていませんでした。 エラーは、不正な資格情報または不正な要求で構成されています。 許可がWebViewを介して実行され、urlでaccess_type = offlineなどの重要なパラメーターが示されていなかった場合、更新トークンは送信されませんでした。



5.アクセストークンの更新



1時間が経過し、アクセストークンがアクティブでなくなったため、新しいトークンが必要です。 エラー401または403が発生すると、サーバーはユーザーが認証されていないか、アクセス権がないと言います。 たとえば、私のような継続的なセッションが必要な場合、ブロードキャスト中にチャットからメッセージを継続的に受信する必要がある場合、新しい許可をリクエストするのは良くありません。これは数時間です。 どうする 新しいトークンのリクエストを送信します。



リクエストは基本的にパラグラフ4と同じですが、いくつかのパラメータが異なります。

 private void getNewAccessToken() { OkHttpClient client = new OkHttpClient(); RequestBody requestBody = new FormEncodingBuilder() .add("refresh_token", mRefreshToken) .add("client_id", getString(R.string.server_client_id)) .add("client_secret", getString(R.string.client_secret)) .add("grant_type", "refresh_token") .build(); final Request request = new Request.Builder() .url("https://www.googleapis.com/oauth2/v4/token") .header("Content-Type", "application/x-www-form-urlencoded") .post(requestBody) .build(); client.newCall(request).enqueue(new Callback() { @Override public void onFailure(Request request, IOException e) {} @Override public void onResponse(Response response) throws IOException { try { JSONObject jsonObject = new JSONObject(response.body().string()); mAccessToken = jsonObject.get("access_token").toString(); } catch (JSONException e) { e.printStackTrace(); } } }); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

重要なパラメーターは次のとおりです。



"grant_type", "refresh_token"



-タイプでリフレッシュトークンを送信していることを示す

"refresh_token", mRefreshToken



およびトークン自体



応答は、新しいアクセストークンを含むjsonになります。これには、APIから再びアクセスできます。

 { "access_token":"ya29.GlsfBM7Y...", "token_type":"Bearer", "expires_in":3600, "id_token":"eyJhbGciOiJ..." }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この承認で、ユーザー認証が完了します。



たとえば、APIへのリクエストがどのように見えるか、トークンを更新する方法を示します。

APIをリクエストするには、Retrofit2 + RxAndroidを使用します。 ライブチャットチャットを受信するリクエストは次のようになります。

 @GET(GoogleApiUrls.Youtube.CHAT) Observable<ChatResponse> getChat(@Header("Authorization") String token, @Query("liveChatId") String liveChatId, @Query("part") String part);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで重要なのは、認証キーを使用して、トークンのタイプとアクセストークン自体をヘッダーで送信する必要があることです。 つまり、このように：

 Authorization Bearer ya29.GlsfBJNMTfGy…
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、RxAndroidを介してリクエストを行います。すべての種類のエラーがonErrorコールバックに送られるため、1時間後に401 Unauthorizedコードを伴うHttpExceptionエラーも発生します。 ここで処理し、これが同じエラーであるかどうかを確認し、適切なタイプに変換し、実際に401コードかどうかを確認し、新しいトークンを取得するメソッドを実行して、リクエストを繰り返します。

 @Override public void onError(Throwable e) { if (e instanceof HttpException) { HttpException exception = (HttpException) e; if (exception.code() == 401) { getNewAccessToken(); } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

トークンを確認するためのGETリクエストもあります。

 https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=ya29.GlsfBJNMTfGy…
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

応答には、トークンがまだアクティブな場合はトークンに関するデータが含まれ、有効期限が切れている場合はエラーが含まれます。



繰り返しになりますが、Googleによるトークン更新の実装は開発者に任されています。



ログアウトして承認を取り消すのは簡単です。必要に応じて公式のドキュメントを見つけることは難しくありません。



作業を開始する前に、Postmanなどのサードパーティのアプリケーション/拡張機能でリクエストをチェックして、パラメータが正しく入力され、回答が受信されたことを確認することをお勧めします。 誰かがこのレッスンが役に立つと思ったらとてもうれしいです！



使用されているドキュメントへのリンク：



1. Android向けGoogleサインイン

2. Youtube API。 OAuth 2.0フロー