Java API自动化：获取Google OAuth 2.0访问令牌的正确姿势

本文详细介绍了在java api自动化中获取google oauth 2.0访问令牌的正确方法。针对直接使用`googlecredentials.builder`获取令牌的常见误区，文章阐述了应采用google授权码流程（authorization code flow），通过加载客户端密钥、配置授权流并进行用户授权来获取包含访问令牌的`credential`对象。内容涵盖必要的maven依赖、示例代码及最佳实践，旨在帮助开发者高效安全地实现google服务集成。

理解Google OAuth 2.0授权流程

在进行API自动化时，尤其当需要访问受用户保护的Google资源（如Gmail、Calendar等）时，直接通过客户端ID和密钥构造GoogleCredentials并不能直接获取可用的访问令牌。这是因为GoogleCredentials.Builder主要用于服务账户（Service Account）授权或需要直接交换刷新令牌的场景，而不适用于需要用户交互授权的OAuth 2.0授权码流程（Authorization Code Flow）。

正确的做法是遵循OAuth 2.0标准，引导用户完成授权过程，从而获得一个授权码，再用此授权码交换访问令牌和刷新令牌。对于Java应用程序，Google提供了相应的客户端库来简化这一过程。

必要的Maven依赖

为了实现Google OAuth 2.0授权码流程，我们需要引入以下Maven依赖：

<dependencies>
    <!-- Google HTTP Client Library for Java -->
    <dependency>
        <groupId>com.google.api-client</groupId>
        <artifactId>google-api-client</artifactId>
        <version>1.30.10</version>
    </dependency>

    <!-- Google OAuth Client Library for Java -->
    <dependency>
        <groupId>com.google.oauth-client</groupId>
        <artifactId>google-oauth-client</artifactId>
        <version>1.30.6</version>
    </dependency>

    <!-- Google OAuth Client Library for Java (Jetty for local server receiver) -->
    <dependency>
        <groupId>com.google.oauth-client</groupId>
        <artifactId>google-oauth-client-jetty</artifactId>
        <version>1.30.6</version>
    </dependency>

    <!-- Jackson 2 for JSON parsing -->
    <dependency>
        <groupId>com.google.api-client</groupId>
        <artifactId>google-api-client-jackson2</artifactId>
        <version>1.30.10</version>
    </dependency>

    <!-- Optional: If you need specific Google API services, e.g., Calendar -->
    <!-- <dependency>
        <groupId>com.google.apis</groupId>
        <artifactId>google-api-services-calendar</artifactId>
        <version>v3-rev20230628-2.0.0</version>
    </dependency> -->
</dependencies>

注意： 依赖版本应保持兼容性，建议查阅Google官方文档获取最新推荐版本。google-auth-library-oauth2-http通常用于服务账户或更底层的凭据管理，在用户授权流程中并非必需，因此在上述依赖中已移除。

立即学习“Java免费学习笔记（深入）”；

实现Google授权码流程

获取Google访问令牌的核心在于构建GoogleAuthorizationCodeFlow并执行授权。以下是详细步骤及示例代码：

飞书多维表格

表格形态的AI工作流搭建工具，支持批量化的AI创作与分析任务，接入DeepSeek R1满血版

下载

1. 准备客户端密钥

出于安全考虑和代码整洁性，强烈建议将客户端ID和客户端密钥存储在一个独立的JSON文件中，而不是硬编码在源代码中。这个文件通常命名为client_secrets.json，并放置在项目的资源目录下。

src/main/resources/client_secrets.json 示例：

{
  "web": {
    "client_id": "YOUR_CLIENT_ID.apps.googleusercontent.com",
    "project_id": "your-project-id",
    "auth_uri": "https://accounts.google.com/o/oauth2/auth",
    "token_uri": "https://oauth2.googleapis.com/token",
    "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
    "client_secret": "YOUR_CLIENT_SECRET",
    "redirect_uris": [
      "http://localhost:8888/Callback"
    ],
    "javascript_origins": [
      "http://localhost:8888"
    ]
  }
}

重要提示：

• client_id 和 client_secret 需要从Google Cloud Console中创建OAuth 2.0客户端ID凭据获得。
• redirect_uris 是Google授权服务器在用户完成授权后重定向回应用程序的URL。对于桌面应用程序，通常使用http://localhost:port，并由LocalServerReceiver捕获。对于Web应用程序，应填写实际的回调URL。

2. 构建授权流程并获取凭据

以下Java代码演示了如何使用GoogleAuthorizationCodeFlow来获取用户授权并获得Credential对象：

package com.example.googleauth;

import com.google.api.client.auth.oauth2.Credential;
import com.google.api.client.extensions.java6.auth.oauth2.AuthorizationCodeInstalledApp;
import com.google.api.client.extensions.jetty.auth.oauth2.LocalServerReceiver;
import com.google.api.client.googleapis.auth.oauth2.GoogleAuthorizationCodeFlow;
import com.google.api.client.googleapis.auth.oauth2.GoogleClientSecrets;
import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.http.HttpTransport;
import com.google.api.client.json.JsonFactory;
import com.google.api.client.json.jackson2.JacksonFactory;
import com.google.api.client.util.store.FileDataStoreFactory;

import java.io.File;
import java.io.IOException;
import java.io.InputStreamReader;
import java.security.GeneralSecurityException;
import java.util.Collections;
import java.util.List;

public class GoogleTokenGenerator {

    /** 应用程序名称，用于标识用户代理。 */
    private static final String APPLICATION_NAME = "Google API Automation Tool";

    /** JSON工厂，用于解析JSON。 */
    private static final JsonFactory JSON_FACTORY = JacksonFactory.getDefaultInstance();

    /** HTTP传输，用于所有API请求。 */
    private static HttpTransport HTTP_TRANSPORT;

    /** 存储用户凭据的目录。 */
    private static final File DATA_STORE_DIR = new File(System.getProperty("user.home"), ".credentials/google-api-automation");

    /** 数据存储工厂。 */
    private static FileDataStoreFactory DATA_STORE_FACTORY;

    static {
        try {
            HTTP_TRANSPORT = GoogleNetHttpTransport.newTrustedTransport();
            DATA_STORE_FACTORY = new FileDataStoreFactory(DATA_STORE_DIR);
        } catch (GeneralSecurityException | IOException e) {
            System.err.println("Error initializing HTTP transport or data store: " + e.getMessage());
            System.exit(1);
        }
    }

    /**
     * 授权已安装的应用程序访问用户的受保护数据。
     * @param scopes 应用程序请求的OAuth范围。
     * @return 包含访问令牌和刷新令牌的凭据对象。
     * @throws IOException 如果加载客户端密钥或授权过程中发生I/O错误。
     * @throws GeneralSecurityException 如果HTTP传输初始化失败。
     */
    public static Credential authorize(List<String> scopes) throws IOException, GeneralSecurityException {
        // 1. 加载客户端密钥
        // 从资源文件 client_secrets.json 加载客户端ID和客户端密钥
        GoogleClientSecrets clientSecrets = GoogleClientSecrets.load(
                JSON_FACTORY,
                new InputStreamReader(GoogleTokenGenerator.class.getResourceAsStream("/client_secrets.json")));

        // 2. 设置授权码流程
        GoogleAuthorizationCodeFlow flow = new GoogleAuthorizationCodeFlow.Builder(
                HTTP_TRANSPORT,
                JSON_FACTORY,
                clientSecrets,
                scopes) // 指定应用程序请求的权限范围
                .setDataStoreFactory(DATA_STORE_FACTORY) // 存储用户凭据，以便下次无需重新授权
                .setAccessType("offline") // 请求刷新令牌
                .build();

        // 3. 执行授权
        // 对于桌面应用程序，使用LocalServerReceiver在本地启动一个服务器来接收授权回调
        // 授权成功后，凭据将被存储在DATA_STORE_DIR指定的目录下
        LocalServerReceiver receiver = new LocalServerReceiver.Builder().setPort(8888).build();
        return new AuthorizationCodeInstalledApp(flow, receiver).authorize("user");
    }

    public static void main(String[] args) {
        try {
            // 定义所需的权限范围，例如访问用户的日历
            // 更多范围请参考：https://developers.google.com/identity/protocols/oauth2/scopes
            List<String> scopes = Collections.singletonList("https://www.googleapis.com/auth/calendar.readonly");

            // 执行授权，获取凭据
            Credential credential = authorize(scopes);

            // 检查凭据是否成功获取
            if (credential != null && credential.getAccessToken() != null) {
                System.out.println("成功获取Google访问令牌。");
                System.out.println("Access Token: " + credential.getAccessToken());

                // 如果需要，可以获取刷新令牌
                if (credential.getRefreshToken() != null) {
                    System.out.println("Refresh Token: " + credential.getRefreshToken());
                } else {
                    System.out.println("未获取到刷新令牌。请确保授权时设置了'offline'访问类型。");
                }

                // 使用凭据进行API调用...
                // 例如：
                // Calendar service = new Calendar.Builder(HTTP_TRANSPORT, JSON_FACTORY, credential)
                //     .setApplicationName(APPLICATION_NAME)
                //     .build();
                // EventList events = service.events().list("primary").execute();
                // System.out.println("Upcoming events: " + events.getItems().size());

            } else {
                System.out.println("未能获取到Google访问令牌。");
            }
        } catch (IOException | GeneralSecurityException e) {
            System.err.println("授权过程中发生错误: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

代码解析：

1. APPLICATION_NAME: 应用程序的名称，用于Google的API监控和用户代理标识。
2. JSON_FACTORY: 使用JacksonFactory来处理JSON数据。
3. HTTP_TRANSPORT: 使用GoogleNetHttpTransport创建安全的HTTP传输层。
4. DATA_STORE_DIR 和 DATA_STORE_FACTORY: 这些用于存储用户授权后获得的凭据（包括访问令牌和刷新令牌）。当用户首次授权后，凭据会被存储在本地文件系统中，后续运行时，如果凭据未过期，应用程序可以直接从这里加载，无需用户再次授权。
5. authorize(List<String> scopes) 方法:
   • 加载客户端密钥: GoogleClientSecrets.load() 方法从client_secrets.json文件中读取客户端ID和密钥。
   • 构建授权码流程: GoogleAuthorizationCodeFlow.Builder 用于配置授权流程。
     • HTTP_TRANSPORT 和 JSON_FACTORY：HTTP传输和JSON解析器。
     • clientSecrets：从JSON文件加载的客户端密钥。
     • scopes：指定应用程序请求的Google API权限范围（例如，https://www.googleapis.com/auth/calendar.readonly）。
     • setDataStoreFactory()：设置凭据存储，使得刷新令牌可以被保存和复用。
     • setAccessType("offline")：关键步骤，请求一个刷新令牌。如果没有这个设置，通常只能获得一个短期的访问令牌，一旦过期就需要用户重新授权。
   • 执行授权: AuthorizationCodeInstalledApp 是一个用于已安装应用程序的辅助类。它会：
     • 在本地启动一个HTTP服务器（通过LocalServerReceiver，默认端口8888）。
     • 打开用户的浏览器，导航到Google授权页面。
     • 用户在浏览器中完成授权后，Google会将授权码重定向到本地服务器。
     • AuthorizationCodeInstalledApp 捕获授权码，并使用它向Google交换访问令牌和刷新令牌，然后返回一个Credential对象。
6. main 方法: 演示如何调用authorize方法，并打印获得的访问令牌和刷新令牌。

注意事项与最佳实践

• OAuth 2.0 范围 (Scopes)：仔细选择您的应用程序所需的权限范围。请求不必要的权限可能会降低用户授权的意愿。
• 刷新令牌 (Refresh Token)：通过setAccessType("offline")获取的刷新令牌可以用来在访问令牌过期后，无需用户再次交互即可获取新的访问令牌。GoogleAuthorizationCodeFlow和Credential对象会负责自动刷新。
• 凭据存储 (Data Store)：FileDataStoreFactory将凭据存储在用户主目录下的特定文件夹中。在生产环境中，可能需要更安全的存储方式，例如加密存储或数据库存储。
• Web 应用程序：如果您的应用程序是Web应用，则LocalServerReceiver不适用。您需要配置一个实际的重定向URI，并在您的Web应用程序中实现一个回调端点来处理Google的授权响应。
• 错误处理：在实际应用中，需要对IOException和GeneralSecurityException等异常进行更健壮的处理，例如提供用户友好的错误消息或日志记录。
• Google Cloud Console配置：确保在Google Cloud Console中创建的OAuth 2.0客户端ID类型正确（例如，“桌面应用”或“Web应用”），并且重定向URI与您代码中的配置一致。

总结

通过遵循Google OAuth 2.0授权码流程，并利用Google Java客户端库提供的GoogleAuthorizationCodeFlow，开发者可以安全、高效地在Java API自动化项目中获取和管理Google访问令牌。避免直接使用不适合用户授权场景的API，理解并正确配置授权流程是成功的关键。同时，遵循将客户端密钥外部化、合理管理权限范围和凭据存储等最佳实践，能够显著提升应用程序的安全性和可维护性。