Google APIの各種リソースに対する大抵の操作はREST風かつOAuth2なAPIになっていて、Access TokenとAPIのURLさえわかっていれば、例えば次のようにcurlコマンドを使って簡単にAPIを実行できます。
curl -H "Authorization: Bearer $ACCESS_TOKEN" $ENDPOINT
OAuth2はラクチンで助かりますね。ただここで必要となるAccess Tokenは OAuth2 Flow と呼ばれる手順を用いて取得する必要があり、そこを理解していない人が多そうに思いました。実はこちらもすごい簡単で、curlとブラウザだけで認可フローを実行できるのです。
TL;DR
環境変数の設定
CLIENT_ID=...
CLIENT_SECRET=...
REDIRECT_URI=urn:ietf:wg:oauth:2.0:oob
SCOPE=SCOPE1%20SCOPE2%20
認可画面のURLを組み立て、ブラウザで開く
echo "https://accounts.google.com/o/oauth2/v2/auth?response_type=code&client_id=$CLIENT_ID&redirect_uri=$REDIRECT_URI&scope=$SCOPE&access_type=offline"
ブラウザに表示されたAuthorization Codeを使ってAccess Tokenを取得する
AUTHORIZATION_CODE=...
curl --data "code=$AUTHORIZATION_CODE" --data "client_id=$CLIENT_ID" --data "client_secret=$CLIENT_SECRET" --data "redirect_uri=$REDIRECT_URI" --data "grant_type=authorization_code" --data "access_type=offline" https://www.googleapis.com/oauth2/v4/token
Refresh Tokenを使って新しいAccess Tokenを取得する
REFRESH_TOKEN=...
curl --data "refresh_token=$REFRESH_TOKEN" --data "client_id=$CLIENT_ID" --data "client_secret=$CLIENT_SECRET" --data "grant_type=refresh_token" https://www.googleapis.com/oauth2/v4/token
OAuth2 の認可フローの簡単な説明
登場人物は3者です。
- Application
- User(Browser)
認可フローは Google Identity Platformのリファレンスにも記述がありますが、Applicationの役割に注目すると、以下の二点を実装するだけです。
- Applicationが、ユーザの認可を得るためのページのURLをGoogleから取得し、Browserにリダイレクトとして送信する(Redirecting to Google's OAuth 2.0 server)
- ユーザが認可することで生成された
Authorization CodeをGoogleに渡してAccess Tokenに交換してもらう(Handling the OAuth 2.0 server response)
CLIでの手順
Client IDの生成
Developer ConsoleのAPI Managerで、ClientIDを作成する必要があります。
New Credentials から OAuth2 client ID を選択する。
Application typeで
Otherを選択する。
Application Typeは「認可フロー(Access Tokenを取得するフロー)」の方法であって、APIを叩くときには関係ありません。よくあるのはWeb Applicationですが、Otherを選ぶとout of bandという種類で、いわゆるDesktop Client用のフローを選択した事になります。Web Applicationでいうredirect_uiの値は固定値urn:ietf:wg:oauth:2.0:oobを使用することになります。
Scopeの調査
使用するAPIのリファレンスを探し当て、リファレンスの"Auth" というキーワードと"Scope"というキーワードを調べるとすぐにわかります。例えばGoogle Drive APIであればhttps://www.googleapis.com/auth/driveという値です。
認可画面のURLを取得する
まずは以下のように環境変数を設定します。SCOPEに複数の値を設定する場合は 空白文字で連結する必要があるので、空白文字をURLエンコードした値 %20 で連結しましょう。
CLIENT_ID=...
CLIENT_SECRET=...
REDIRECT_URI=urn:ietf:wg:oauth:2.0:oob
SCOPE=SCOPE1%20SCOPE2%20
認可画面のURLを取得する…のはブラウザにまかせて、「認可画面のURLを返すENDPOINThttps://accounts.google.com/o/oauth2/v2/auth」へのパラメータを組み立てて、そのままブラウザで開きます。
ここで組み立てたURLにアクセスすると、302が返されそのLocationヘッダの中身が「認可画面のURL」なんですが、302はそのままブラウザ任せで処理してもらうということです。
echo "https://accounts.google.com/o/oauth2/v2/auth?response_type=code&client_id=$CLIENT_ID&redirect_uri=$REDIRECT_URI&scope=$SCOPE&access_type=offline"
ここでは、Refresh Tokenも取得するためにaccess_type=offlineも指定しています。このURLをブラウザで開くと認可画面が表示されるので、AcceptしてやるとAuthorization Codeが表示されます。
Authorization CodeをAccess Tokenに交換する
先の手順で取得したAuthorization Codeを環境変数に設定し、https://www.googleapis.com/oauth2/v4/token を叩いてやります。
AUTHORIZATION_CODE=...
curl --data "code=$AUTHORIZATION_CODE" --data "client_id=$CLIENT_ID" --data "client_secret=$CLIENT_SECRET" --data "redirect_uri=$REDIRECT_URI" --data "grant_type=authorization_code" --data "access_type=offline" https://www.googleapis.com/oauth2/v4/token
これでAccess Token, Refresh Token等を取得できます。SCOPEにopenid email profileを追加してやれば、OpenID Connectで使う id_token も取得できます。
おまけ:
Refresh TokenをAccess Tokenに交換する
Access Tokenは有効期限がありますが、Refresh Tokenを保存しておけばいつでも(明示的にrevokeするまでは)新しいAccess Tokenを取得できます。
REFRESH_TOKEN=...
curl --data "refresh_token=$REFRESH_TOKEN" --data "client_id=$CLIENT_ID" --data "client_secret=$CLIENT_SECRET" --data "grant_type=refresh_token" https://www.googleapis.com/oauth2/v4/token
Refresh TokenやAccess Tokenを使ってRevokeする
curl https://accounts.google.com/o/oauth2/revoke?token=...
tokenに指定する値は、Refresh Token, Access TokenどちらでもOKです。
Access Tokenの状態を確認する
curl "https://www.googleapis.com/oauth2/v3/tokeninfo?access_token=$ACCESS_TOKEN"
このAPIでAccess Tokenの有効期限や、認可されたSCOPEが取得できます。
なお、SCOPEが足りない(認可されていないリソース)へアクセスしようとした場合は 403 Insufficient Permission というエラーが返されて403の原因が少しわかりにくいので、原因不明の403を受けた場合はこのAPIを試すと良いです。
一方、同じく403ではありますが、Projectで有効にしていないAPIを叩いた場合はAccess Not Configured. The API (Notes API) is not enabled for your project...というわかりやすいエラーが返されます。