Google OAuth 令牌请求返回“invalid_client”：“未授权”

Posted 2023-03-08

【中文标题】Google OAuth 令牌请求返回“invalid_client”：“未授权”

【英文标题】：Google OAuth token request returns "invalid_client": "Unauthorized"

【发布时间】：2018-06-11 17:36:44

【问题描述】：

试图让 OAuth2 Google 登录正常工作，这是我的应用发出的原始请求：

方法：POST

网址：https://www.googleapis.com/oauth2/v3/token

标题：Content-Type: application/x-www-form-urlencoded

价值观：

client_id:XXX-0123456789abcdef0123456789abcdef.apps.googleusercontent.com

client_secret:A1b2C3d4E5f6G7h8I9j0K1l2M

code:1/A1b2C3d4E5f6G7h8I9j0K1l2M3n4O5p6Q7r8S9t0U1v

grant_type:authorization_code

redirect_uri:http://localhost:5000/callback/google/

这是回应：

状态：401 Unauthorized

主体：

    "error": "invalid_client",
    "error_description": "Unauthorized"

已验证这是我的应用正在发出的确切请求/响应（使用 Flask 和 rauth 的 Python 应用），并已验证我可以使用 Postman 重现完全相同的请求/响应。

根据其他线程中的说明，我已在 Google API 控制台中完成以下所有操作：

在“OAuth 同意屏幕”设置中，将“产品名称”设置为不同于“项目名称”的名称 同样在“OAuth 同意屏幕”设置中，仔细检查电子邮件是否已设置 启用 Google+ API 启用 Gmail API 重新创建客户端 ID/密码 仔细检查客户端 ID/秘密值中没有前导或尾随空格，我已从 API 控制台正确复制它们

无论我做什么，仍然得到"invalid_client": "Unauthorized"的相同回复。

我们将不胜感激。我正在尝试在我的应用程序中设置基于 OAuth2 的“使用 X 登录”功能，让 Facebook 和 Twitter 正常工作，希望 Google 也能正常工作，但如果我无法解决这个问题，那么恐怕我'将不得不放弃谷歌身份验证。

【参考方案1】：

无效客户端表示您使用的客户端 ID 或客户端密码无效。它们必须是您从 Google 开发者控制台下载的。

提示：您可能需要考虑使用 Google python client 库，它会为您完成所有繁重的工作。

from __future__ import print_function
import pickle
import os.path
from googleapiclient.discovery import build
from google_auth_oauthlib.flow import InstalledAppFlow
from google.auth.transport.requests import Request

# If modifying these scopes, delete the file token.pickle.
SCOPES = ['https://www.googleapis.com/auth/drive.metadata.readonly']

def main():
    """Shows basic usage of the Drive v3 API.
    Prints the names and ids of the first 10 files the user has access to.
    """
    creds = None
    # The file token.pickle stores the user's access and refresh tokens, and is
    # created automatically when the authorization flow completes for the first
    # time.
    if os.path.exists('token.pickle'):
        with open('token.pickle', 'rb') as token:
            creds = pickle.load(token)
    # If there are no (valid) credentials available, let the user log in.
    if not creds or not creds.valid:
        if creds and creds.expired and creds.refresh_token:
            creds.refresh(Request())
        else:
            flow = InstalledAppFlow.from_client_secrets_file(
                'credentials.json', SCOPES)
            creds = flow.run_local_server(port=0)
        # Save the credentials for the next run
        with open('token.pickle', 'wb') as token:
            pickle.dump(creds, token)

    service = build('drive', 'v3', credentials=creds)

    # Call the Drive v3 API
    results = service.files().list(
        pageSize=10, fields="nextPageToken, files(id, name)").execute()
    items = results.get('files', [])

    if not items:
        print('No files found.')
    else:
        print('Files:')
        for item in items:
            print(u'0 (1)'.format(item['name'], item['id']))

if __name__ == '__main__':
    main()

【讨论】：

谢谢！我以为我已经彻底检查了它，但是没有......我已经在 env 变量中正确定义了客户端密码，但是当我在我的应用程序中实际发出令牌请求时，我传入了错误的 env 变量。此外，Google python 客户端库使用https://www.googleapis.com/oauth2/v4/token（而不是v3），所以我改变了我的应用程序来做同样的事情，似乎工作正常。

而且谷歌python客户端库在发出token请求的时候也传入了scope参数，所以我让我的app也这样做了，传入scope:email。

我错误地在我的秘密字符串中添加了一个空格，这导致了问题

在这之后花了一天时间，才接近全面的精神状态。最后打印出查询字符串，发现我忘记传递 client_secret 变量，所以它被评估为 undefined ;-;我觉得很愚蠢。

我刷新了我的客户端机密文件，但仍然收到 invalid_client/unauthorized 错误。我不得不删除 token.pickle。一旦使用新的客户端密码重新创建了 token.pickle，错误就消失了。