Autorisieren Kommandozeilen-tool zu verbrauchen Google-APIs (über OAuth2.0 oder irgendetwas anderes)

Ich denke ich verstehe, wie OAuth 2.0 funktioniert im Kontext einer mobilen app oder website - weder ist mein Fall.

Ich habe ein C++ Befehlszeile Anwendung, die ich möchte zu geben, Zugang zu einem der Google-Dienste ( Google Fusion Tables ), aber ich denke, diese Frage gilt für alle von der Google-Dienste, oder der Teufel, vielleicht auch alle Kommandozeilen-app, die zu tun hat mit OAuth2.

Habe ich den Benutzernamen. Ich habe das Kennwort (der Benutzer eingegeben). Ich brauche, um ein token, so kann ich die Aufrufe durch Curl. Was ist der einfachste Weg, dies zu erreichen?

Update 1:

Nachdem sich durch die Dokumentation, so scheint es, dass die am wenigsten schmerzhafte OAuth2 flow werden die "Installierte Anwendung" ein.

Was ich denke ist, dass mein command line tool wird den Anforderungen für öffentliche Tische, ohne ein token (, aber es scheint, wir müssen noch um das senden einer Anwendungs-id aus Google, die ich bekommen kann von der Google-APIs dashboard).

Immer wenn mein Kommandozeilen-tool, müssen verwenden Sie eine private Ressource, die Benutzer werden gebeten, einen von Google gelieferten Autorisierungs-code (was mein Kommandozeilen-tool können Sie dann nutzen, um ein brauchbares token). Wenn der Benutzer hat nicht geliefert Autorisierungs-code in der Befehlszeile, mein tool würde nur drucken, einen link kann der Benutzer einfügen, um die URL zu generieren, den Authorisierungs-code. Der link würde dann so Aussehen:

https://accounts.google.com/o/oauth2/auth?scope=https://www.googleapis.com/auth/fusiontables&redirect_uri=urn:ietf:wg:oauth:2.0:oob&response_type=code&client_id=812741506391-h38jh0j4fv0ce1krdkiq0hfvt6n5amrf.apps.googleusercontent.com

Sobald der Benutzer akzeptiert, hätte Sie die paste, Autorisierungs-code auf den terminal, damit es verwendet werden kann mit dem Befehlszeilen-tool. Das Kommandozeilen-tool verwenden würde, den Authorisierungs-code für Google Fragen für eine token und dann, endlich, kann ich dann die Google-token, um die API-Aufrufe.

Ein paar Dinge sind mir noch immer unklar. Hat den Authorisierungs-code ändern? Wenn so, es scheint, ich würde retten müssen, die token und refresh Token irgendwo, so kann ich die Wiederverwendung der refresh-token jedes mal, wenn das token abläuft.

Ist es nur mir so, oder hat das ganze Ding scheint wie verrückt zu reden, gerade so, dass ich ein Google-API aus der command line?

Ich würde normalerweise verwenden Sie die ClientLogin flow, aber alles scheint darauf hinweisen, dass es wird bald veraltet.

InformationsquelleAutor rburhum | 2012-11-10
  1. 41

    Zur Beantwortung Ihrer Frage über die "Installierte Anwendung" Durchfluss:

    Den Autorisierungs-code ist nur einmal gültig. Nachdem Sie sich ausgetauscht haben - und bekam ein refresh token und ein access token - es wird nicht mehr verwendet. Nur dump es. Es ist ein one-time-Einsatz nur, und Sie brauchen es nicht mehr. Was Sie tun müssen, ist einfach zu halten/speichern/beibehalten des refresh token in einigen lokalen Datei für die Wiederverwendung.

    Den refresh token ist die wichtig token. Es gibt Ihnen Zugriff auf die API für eine unbegrenzte Zeit, weil Sie können es verwenden, um programmgesteuert neue access Token (die jeweils 1h). Überprüfen Sie die refresh token doc über die Bedienung.

    Die Google APIs-Client-Bibliotheken in der Regel behandeln aktualisieren Sie das Token automatisch und transparent für Sie, aber da haben wir nicht einen C++ - client-lib, müssen Sie dies selbst tun. Eine Technik, die wir verwenden, ist, dass wir catch-403-Fehler, wenn dabei die Anforderungen an die API (die angibt, eine ungültige access token), in diesem Fall machen wir aktualisieren um einen neuen zu bekommen access token, dann automatisch erneut versuchen, die operation, die scheiterte zunächst.

    Mein Rat:

    Den Fluss, der Ihnen die beste Nutzer-Erfahrung, ist die Verwendung der server-side web application flow. Es ist möglich, verwenden Sie es auf installiert und/oder Befehl Linie Anwendung, wenn es mehr Arbeit. Hier ist, wie:

    1. Starten Sie einen lokalen Webserver auf dem Rechner des Benutzers hören, um einen freien port (z.B.: http://127.0.0.1:7777)
    2. Spawn eine web-browser-Fenster (oder einbetten in Ihrer app) umleiten der Benutzer auf die Google OAuth 2.0 grant Seite, und legen Sie die redirect-URI zu http://127.0.0.1:7777
    3. Wenn der Benutzer gewährt der Anwendung Zugriff, es wird umgeleitet, um Ihre server-listening auf http://127.0.0.1:7777.
    4. Auf Ihrem lokalen web-server Sie erhalten den auth-code, der in einer URL-query-parameter. Sie können jetzt tauschen Sie den auth-code für die access-und refresh-tokens, die Sie beibehalten
    5. Töten/schließen des lokalen web-server, den Sie in Schritt 1 gestartet
    6. Töten/schließen der browser-Instanz, die Sie hervorgebracht hat, in Schritt 2

    Das ist es, jetzt haben Sie die aktualisieren-und das access-Token (aus Schritt 4) und Sie sind wieder in Ihrer app nach der Tötung der browser.

    Warum All diese Verwirrung?

    Client Login ist veraltet. Es ist Weg und funktioniert nicht mit neueren APIs. Google nicht möchten, dass Benutzer geben Sie Ihr Passwort, da Sie versucht sein könnten, zu speichern, und Sie könnte gehackt :)) Auch, es gibt Ihnen Zugriff auf zu viele Informationen, da konnte man Sachen kaufen, die mit Ihrem Google Checkout-Konto oder Ihr Passwort zu ändern, zu stehlen Ihre Konten. Derzeit ist der einzige Weg zu gehen, auf Sicht der Sicherheit ist es, diese 3-beinigen auth-Systeme wie OAuth2 und raten von der Verwendung von Passwörtern, so dass Benutzer raus aus der Gewohnheit, indem Sie Ihren Benutzernamen und Passwort an 3. Parteien. Natürlich, OAuth2 ist viel schwieriger zu verwenden für desktop/command-line-Anwendungen...

    Die OOB-Alternative

    Wenn Sie nicht wollen oder können nicht starten Sie einen web-server zur überwachung von dem code dann kann man das oob OAuth-flow. Es funktioniert einfach durch Angabe der oob wie Sie die redirect-URI. In diesem Fall, anstelle der Weiterleitung auf eine angegebene URL, wird dem Benutzer angezeigt, eine Seite, die sagt "Hier ist dein auth-code. Kopieren Sie ihn in Ihre app.". Auf Ihrer app können Sie einfach lassen Sie Ihre Benutzer fügen Sie den auth-code in einem text-Feld und voila. Dies ist ein schlechter user experience kann aber robuster in einigen Fällen und arbeiten in Umwelt, insbesondere für das low-tech-Umgebungen.

    Vorsicht, da nicht alle OAuth 2 Anbieter unterstützen aber zumindest Google und Facebook tun.

    • Danke @Nivco. Als ich aber auf die server-seitige web-Anwendung fließen. Trotzdem fand ich es schwer zu rechtfertigen, schreiben einen webserver oder das hinzufügen einer neuen webserver-Bibliothek-Abhängigkeit zu tun. Ich denke die andere option ist die einzige, wo ich eine Umfrage der Google-Endpunktes, bis der Benutzer sich anmeldet, aber ich war nicht sicher, Wann zu stoppen, wenn der nicht. Dennoch, ich denke etwas zu schreiben um die refresh-token.
    • Ich landete mit einem design, das trennt die OAuth2-Authentifizierung Logik von meinem command-line-interface. Ein Werkzeug ist die Aufgabe bekommen, die refresh_token (mit einer der OAuth2 fließt) und Ausgänge, eine txt-Datei mit einem refresh token. Das Kommandozeilen-tool nimmt die OAuth-txt-refresh-token zu tun, seine Sache. Es ist die Verantwortung der Nutzer zu setzen, die OAuth-refresh-token an einem sicheren Ort oder zu löschen, wenn Sie brauchen es nicht mehr.
    • Mittlerweile, einbetten von einem browser in der app, wie vorgeschlagen, unter (2), ist nicht empfehlenswert. Google blockiert diese, wie embedded web-Ansichten nicht vertrauenswürdig sind.
    InformationsquelleAutor Nicolas Garnier
Schreibe einen Kommentar