ä¸ºä»ä¹æçäºæç®¡åºç¨ç¨åºä¸æ¶å°å·æ°ä»¤çï¼

ç¡®ä¿æ¨çèº«ä»½éªè¯è¯·æ±åæ¬ access_type=offline å prompt=consentãå¦å¤ï¼æ£æ¥æ¨çåºç¨ç¨åºæ¯å¦å¨Google Cloud Consoleä¸æ£ç¡®éç½®ã

OAuth 2.0èº«ä»½éªè¯ä¸âæç¤ºâåæ°çä½ç¨æ¯ä»ä¹ï¼

æå¯ä»¥å¨æ²¡æå·æ°ä»¤ççæåµä¸æå¨å·æ°è®¿é®ä»¤çåï¼

å¦ä½å°OAuth 2.0ä»¤çç¢åºå°åå¨å¨ç§ç¶åºç¨ç¨åºä¸ï¼

Googleå¨ä¸æ®µæ¶é´åæ¯å¦æ¤éäºå·æ°ä»¤çï¼

Googleå³äºOAUTH 2.0èº«ä»½éªè¯åå·æ°ä»¤ççå®æ¹ææ¡£ï¼ Google OAUTH 2.0æåã

在GCE上破解Google OAuth 2.0刷新令牌的代码

Jules David

2025年2月15日星期六下午5:54:41

了解OAuth 2.0中的刷新令牌差异

想象一下，为您的Web应用程序开发无缝的OAuth 2.0身份验证流。一切都可以在您的本地机器上完美效果，但是当部署在Google Cloud Engine（GCE）上时，必不可少的作品（刷新令牌）就缺失了！ 🤯此问题可防止自动令牌续订，从而破坏用户会议。

尽管执行 Access_Type =“离线” 和其他最佳实践。 Local -Host环境始终返回刷新令牌，而云部署则无法做到。随着两个设置共享相同的代码库和身份验证流，这个神秘会加深。

经过无数小时的调试后，解决方案通常位于被忽略的参数： 迅速的 选项。调整此设置可能意味着接收刷新令牌和陷入无尽的身份验证环之间的区别。但是为什么会发生这种情况？ 🤔

在本文中，我们将剖析此问题的根本原因，探索Google的OAuth 2.0行为，并提供具体的修复。无论您是否正在运行 烧瓶应用程序 或者另一个框架，您将使用一个工作解决方案走开，并更好地了解Google的身份验证怪癖！

命令	使用的示例
OAuth2Session()	创建一个OAuth 2.0会话，以使用Google处理身份验证。这可以安全地管理令牌存储，刷新和API请求。
authorization_url()	生成用户必须访问以授予OAuth权限的URL。包括类似的参数 access_type 和迅速的为了更好的控制。
fetch_token()	用户身份验证后，检索访问令牌和刷新令牌（如果有）。它向令牌端点发送请求。
session["oauth_state"]	存储OAuth状态参数以防止CSRF攻击。它确保用户返回时的身份验证请求是有效的。
redirect()	身份验证后，将用户重定向到Google的OAuth页面或返回应用程序。确保登录流平滑。
test_client()	为烧瓶应用程序创建一个测试环境，允许在不启动服务器的情况下模拟HTTP请求。
assertIn()	检查响应中是否存在特定的子字符串，例如验证正确返回Google登录URL。
setUp()	定义测试用例的先决条件。在运行身份验证测试之前，初始化烧瓶测试客户端。
authorization_response=request.url	捕获Google在用户身份验证后返回的URL。它包含获取令牌所需的授权代码。

了解Oauth 2.0刷新令牌检索

OAuth 2.0是一种广泛使用的身份验证框架，允许应用程序通过Google等外部提供商对用户进行身份验证。在我们的示例中，我们实施了烧瓶使用 requests_oauthlib 库处理身份验证过程。但是，出现了一个关键问题：只有在本地运行而不是在云环境中运行时，刷新令牌才授予。此问题阻止了自动令牌续订，要求用户经常重新认证。

解决方案的核心在于调整身份验证请求。默认情况下，Google明确要求使用 Access_Type =“离线”。但是，在某些情况下，添加 提示=“同意” 参数是迫使Google重新推出用户授权的必要条件。将应用程序部署在 Google云引擎（GCE），以前授予的许可证可能无法延续。

我们的脚本首先将OAuth会话初始化，然后将用户重定向到Google的登录页面。一旦用户进行身份验证，Google将返回授权代码，该应用程序将其交换为访问令牌。关键问题是，如果没有正确的参数，Google将无法提供刷新令牌，从而使长期身份验证不可能。通过修改请求以包含 提示=“同意”，我们确保始终生成新的刷新令牌。

为了验证解决方案，我们还创建了一个单元测试来模拟登录请求并验证正确的身份验证URL是否返回。这样可以确保我们的修复在不同的环境中起作用。如果您曾经遇到过类似的问题（身份验证在生产与开发方面的行为不同），可以理解Oauth 2.0如何处理用户会议和代币持久性至关重要。通过这些调整，您可以确保无缝身份验证和更好的用户体验。 🚀

在Google Cloud部署中处理缺少OAuth 2.0刷新令牌

使用Google实施OAuth 2.0身份验证的Python烧瓶应用程序

from flask import Flask, redirect, session, request
from requests_oauthlib import OAuth2Session
app = Flask(__name__)
app.secret_key = "your_secret_key"
CLIENT_ID = "your_client_id"
CLIENT_SECRET = "your_client_secret"
AUTHORIZATION_BASE_URL = "https://accounts.google.com/o/oauth2/auth"
TOKEN_URL = "https://oauth2.googleapis.com/token"
REDIRECT_URI = "https://yourdomain.com/callback"
@app.route("/login")
def login():
    gcp = OAuth2Session(CLIENT_ID, redirect_uri=REDIRECT_URI, scope=["openid", "email", "profile"])
    authorization_url, state = gcp.authorization_url(AUTHORIZATION_BASE_URL, access_type="offline", prompt="consent")
    session["oauth_state"] = state
    return redirect(authorization_url)
@app.route("/callback")
def callback():
    gcp = OAuth2Session(CLIENT_ID, state=session["oauth_state"], redirect_uri=REDIRECT_URI)
    token = gcp.fetch_token(TOKEN_URL, client_secret=CLIENT_SECRET, authorization_response=request.url)
    session["oauth_token"] = token
    return "Login Successful"
if __name__ == "__main__":
    app.run(debug=True)

OAuth 2.0令牌检索的单位测试

Python单元测试用于验证OAuth 2.0身份验证和刷新令牌检索

import unittest
from app import app
class OAuthTestCase(unittest.TestCase):
    def setUp(self):
        self.app = app.test_client()
    def test_login_redirect(self):
        response = self.app.get("/login")
        self.assertEqual(response.status_code, 302)
        self.assertIn("accounts.google.com", response.location)
if __name__ == "__main__":
    unittest.main()

确保在云环境中的安全和持久的OAuth 2.0身份验证

开发人员在云中部署OAUTH 2.0身份验证时面临的一个关键挑战是确保身份验证过程在整个会话中保持无缝。当未授予刷新令牌时，用户必须经常重新认证，这可能会破坏用户体验。这个问题通常是由于不正确的配置而引起的 OAuth 2.0同意屏幕 在Google Cloud Console中，带领Google假定该应用程序不需要脱机访问。

另一个关键因素是确保正确配置所有必要的API范围。如果云托管应用程序不请求权利 OAuth 2.0范围，Google可能会限制授予的权限，不包括刷新令牌。开发人员应验证其申请是否明确请求离线访问，并包括相关范围，例如 “ OpenID”，“电子邮件”和“配置文件”，在身份验证请求中。另外，使用 include_granted_scopes =“ true” 参数有助于维护以前会议中授予的权限。

为了进一步增强身份验证的安全性和持久性，开发人员应实施强大的 令牌存储。使用安全的数据库或加密的存储机制，与其将令牌存储在会话变量中，以确保访问令牌和刷新令牌可以在服务器重新启动过程中访问。通过遵循这些最佳实践，开发人员可以确保在云托管应用程序中保持平稳且不间断的身份验证流。 🔐

关于Oauth 2.0和刷新令牌的常见问题

为什么我的云托管应用程序不收到刷新令牌？
确保您的身份验证请求包括 access_type="offline" 和 prompt="consent"。另外，检查您的应用程序是否在Google Cloud Console中正确配置。
OAuth 2.0身份验证中“提示”参数的作用是什么？
这 prompt 参数控制Google请求用户同意的方式。使用 prompt="consent" 迫使用户再次授予许可，以确保发布刷新令牌。
我可以在没有刷新令牌的情况下手动刷新访问令牌吗？
不，需要刷新令牌才能在没有用户干预的情况下生成新的访问令牌。如果您没有收到刷新令牌，则您的应用需要重新认证用户。
如何将OAuth 2.0令牌牢固地存储在烧瓶应用程序中？
不用在会话变量中存储令牌，而是使用具有加密字段的数据库或Google Secret Manager等安全凭证管理系统。
Google在一段时间后是否撤销了刷新令牌？
是的，如果较长的时间未使用，或者用户通过其Google帐户设置撤销访问权限，则可能会撤销刷新令牌。

解决云应用程序中的OAuth 2.0刷新令牌问题

了解OAuth 2.0令牌处理的细微差别对于在云应用程序中保持无缝身份验证至关重要。在生产环境中，在本地获得刷新令牌与在生产环境中获得的差异通常源于隐式的Google身份验证行为。通过明确指定离线访问和执行用户同意，开发人员可以确保令牌在会话中持续存在。

此外，在安全数据库中正确存储令牌并定期刷新它们可防止会话到期。对于使用Google身份验证构建Web应用程序的任何人，解决这些问题都可以增强安全性和用户体验。使用正确的配置，您的应用程序可以平稳运行，而无需持续重新认证！ 🔐

可靠的来源和参考

Google关于OAUTH 2.0身份验证和刷新令牌的官方文档： Google OAUTH 2.0指南。
讨论在Google Cloud部署中处理刷新令牌问题：堆栈溢出线程。
错误报告强调使用正确的重要性 迅速的 范围： Google问题跟踪器。
OpenID连接的详细说明 迅速的 选项及其对身份验证的影响： OpenID连接核心规范。
Python's requests_oauthlib 用于管理烧瓶中OAuth身份验证的库文档：请求-Oauthlib文档。