本文详解如何通过本地缓存并复用有效的 oauth2 访问令牌(access token)与刷新令牌(refresh token),避免 google 登录时重复触发 approval prompt,实现类似 github 的“一次授权、长期免审”体验。
Google OAuth2 默认行为与 GitHub 不同:即使 approval_prompt=auto(且未显式设为 force),只要客户端未提供有效的、未过期的访问令牌,Google 授权服务器仍会重新显示权限确认页。这并非 bug,而是其安全策略——它不依赖“用户是否曾授权该应用”,而严格依据“当前是否存在可用令牌”。
关键在于:OAuth2 流程中,首次授权成功后,Google 会返回 access_token 和 refresh_token(需在初始请求中包含 access_type=offline)。后续登录时,不应每次都重走完整授权流程,而应:
- 启动时尝试从本地(如文件、数据库)加载已保存的 token;
- 检查该 token 是否有效(token.Valid());
- 若有效,直接使用它调用 Google API,完全跳过授权 URL 跳转;
- 若已过期但含 refresh_token,则静默刷新(tokenSource.Token() 自动处理);
- 仅当无有效 token 或刷新失败时,才生成新授权 URL 并引导用户。
以下是使用 golang.org/x/oauth2 的典型实现逻辑(精简版):
func getTokenFromCache(config *oauth2.Config) (*oauth2.Token, error) {
b, err := os.ReadFile("token.json")
if err != nil {
return nil, err
}
var t oauth2.Token
err = json.Unmarshal(b, &t)
return &t, err
}
func saveTokenToFile(token *oauth2.Token) error {
b, err := json.Marshal(token)
if err != nil {
return err
}
return os.WriteFile("token.json", b, 0600)
}
// 主认证逻辑
func doAuth(config *oauth2.Config) *http.Client {
tok, err := getTokenFromCache(config)
if err == nil && tok.Valid() {
// 直接复用有效 token
return config.Client(context.Background(), tok)
}
// 否则触发授权流程(仅此时生成 auth URL)
url := config.AuthCodeURL("state", oauth2.AccessTypeOffline, oauth2.ApprovalForce)
log.Printf("Visit the URL: %s", url)
// ... 获取 code 后调用 config.Exchange(...)
// 保存新 token
saveTokenToFile(tok)
return config.Client(context.Background(), tok)
}⚠️ 注意事项:
- 必须在首次 AuthCodeURL() 调用时传入 oauth2.AccessTypeOffline,否则 Google 不返回 refresh_token;
- oauth2.ApprovalForce 仅用于首次强制获取离线令牌,日常登录绝不应使用;生产环境应移除该参数,保持 auto;
- token.Valid() 内部已检查 Expiry 并自动尝试刷新(若含 refresh_token),无需手动判断过期时间;
- token.json 文件需设为私有权限(如 0600),防止敏感凭据泄露;
- 若用户主动在 Google 账户中撤回权限(https://www.php.cn/link/bb84a8628d7c605534b9a9a0bd50e9f4),刷新将失败,此时需清空本地 token 并重新授权。
总结:Google 的“每次弹窗”本质是客户端未正确管理令牌生命周期所致。通过持久化存储、启动时校验、静默刷新三步,即可实现平滑的单点登录体验——核心不在 URL 参数,而在 token 的全生命周期管控。
