Google Home के डेवलपर सेंटर में आपका स्वागत है. यहां स्मार्ट होम ऐक्शन बनाने का तरीका सीखा जा सकता है.

इस पेज का अनुवाद Cloud Translation API से किया गया है.

OAuth 2.0 सर्वर लागू करना
संग्रह की मदद से व्यवस्थित रहें अपनी प्राथमिकताओं के आधार पर, कॉन्टेंट को सेव करें और कैटगरी में बांटें.

हर Cloud-to-cloud इंटिग्रेशन में, उपयोगकर्ताओं की पुष्टि करने का कोई तरीका होना चाहिए.

पुष्टि करने की सुविधा की मदद से, अपने उपयोगकर्ताओं के Google खातों को, पुष्टि करने वाले सिस्टम में मौजूद उपयोगकर्ता खातों से लिंक किया जा सकता है. इससे, आपको अपने उपयोगकर्ताओं की पहचान करने में मदद मिलती है, जब आपके फ़ुलफ़िलमेंट को स्मार्ट होम इंटेंट मिलता है. Google स्मार्ट होम, सिर्फ़ ऑथराइज़ेशन कोड फ़्लो के साथ काम करने वाले OAuth का इस्तेमाल करता है.

इस पेज पर, OAuth 2.0 सर्वर को सेट अप करने का तरीका बताया गया है, ताकि वह आपके Cloud-to-cloud इंटिग्रेशन के साथ काम कर सके.

OAuth की मदद से Google खाता लिंक करना

ऑथराइज़ेशन कोड फ़्लो में, आपको दो एंडपॉइंट की ज़रूरत होगी:

ऑथराइज़ेशन एंडपॉइंट, जो आपके उन उपयोगकर्ताओं को साइन-इन यूज़र इंटरफ़ेस (यूआई) दिखाता है जिन्होंने पहले से साइन इन नहीं किया है. ऑथराइज़ेशन एंडपॉइंट, अनुरोध किए गए ऐक्सेस के लिए उपयोगकर्ताओं की सहमति को रिकॉर्ड करने के लिए, कुछ समय तक चलने वाला ऑथराइज़ेशन कोड भी बनाता है.
टोकन एक्सचेंज एंडपॉइंट, जो दो तरह के एक्सचेंज के लिए ज़िम्मेदार है:
1. लंबे समय तक चलने वाले रीफ़्रेश टोकन और कम समय तक चलने वाले ऐक्सेस टोकन के लिए, ऑथराइज़ेशन कोड को एक्सचेंज करता है. यह बातचीत तब होती है, जब उपयोगकर्ता खाता जोड़ने के फ़्लो से गुज़रता है.
2. यह लंबे समय तक चलने वाले रीफ़्रेश टोकन को कम समय के लिए इस्तेमाल होने वाले ऐक्सेस टोकन के लिए एक्सचेंज करता है. यह एक्सचेंज तब होता है, जब Google को नए ऐक्सेस टोकन की ज़रूरत होती है, क्योंकि टोकन की समयसीमा खत्म हो चुकी होती है.

डिज़ाइन से जुड़े दिशा-निर्देश

इस सेक्शन में उपयोगकर्ता की स्क्रीन के लिए डिज़ाइन से जुड़ी ज़रूरी शर्तों और सुझावों के बारे में बताया गया है. इन्हें OAuth लिंकिंग फ़्लो के लिए होस्ट किया जाता है. जब Google का ऐप्लिकेशन इसे कॉल करता है, तो आपका प्लैटफ़ॉर्म, Google पेज में साइन इन करने और उपयोगकर्ता को खाता लिंक करने की सहमति वाली स्क्रीन दिखाता है. खाते लिंक करने की सहमति देने के बाद, उपयोगकर्ता को Google के ऐप्लिकेशन पर वापस भेज दिया जाता है.

इस इमेज में बताया गया है कि उपयोगकर्ता अपने Google खाते को
पुष्टि करने वाले सिस्टम से कैसे लिंक कर सकता है. पहले स्क्रीनशॉट में,
उपयोगकर्ता की तरफ़ से आपके प्लैटफ़ॉर्म से लिंक करने की प्रोसेस दिखाई गई है. दूसरी इमेज में,
उपयोगकर्ता का Google में साइन इन करते समय दिखाया गया है. वहीं, तीसरी इमेज में, उपयोगकर्ता के Google खाते को
आपके ऐप्लिकेशन से जोड़ने के लिए सहमति दी गई है. साथ ही,
पुष्टि करते हुए दिखाया गया है. — **पहली इमेज.** खाता जोड़ने वाले उपयोगकर्ता के लिए, Google और सहमति वाली स्क्रीन में साइन इन करना.

ज़रूरी शर्तें

आपको यह बताना होगा कि उपयोगकर्ता का खाता Google से लिंक किया जाएगा, न कि Google Home या Google Assistant जैसे किसी खास Google प्रॉडक्ट से.
आपके पास Google की अनुमति से जुड़ा स्टेटमेंट होना चाहिए, जैसे कि "साइन इन करके आपने Google को अपने डिवाइस कंट्रोल करने की अनुमति दी है." Google Home के डेवलपर के लिए बनी नीतियों में, Google डिवाइस कंट्रोल की अनुमति वाला सेक्शन देखें.
अगर उपयोगकर्ता लिंक नहीं करना चाहते हैं, तो आपको उन्हें सदस्यता रद्द करने या वापस जाने के लिए कोई तरीका उपलब्ध कराना होगा.
आपको वेब OAuth लिंक करने वाला पेज खोलना होगा. साथ ही, यह पक्का करना होगा कि उपयोगकर्ताओं के पास अपने Google खाते में साइन इन करने का तरीका साफ़ तौर पर हो. जैसे, उपयोगकर्ता नाम और पासवर्ड वाले फ़ील्ड. 'Google साइन-इन' (GSI) वाला तरीका इस्तेमाल न करें. यह तरीका, उपयोगकर्ताओं को वेब OAuth लिंकिंग पेज पर ले जाए बिना लिंक करने की सुविधा देता है. ऐसा करने से Google की नीति का उल्लंघन होता है.

सुझाव

हमारा सुझाव है कि आप ये काम करें:

Google की निजता नीति दिखाएं. सहमति वाली स्क्रीन पर Google की निजता नीति का लिंक शामिल करें.
शेयर किया जाने वाला डेटा. कम शब्दों में और साफ़ तौर पर जानकारी दें, ताकि लोगों को पता चल सके कि Google को उनके किस तरह के डेटा की ज़रूरत है. साथ ही, उसे ऐसा क्यों लगता है.
कॉल-टू-ऐक्शन साफ़ करें. सहमति वाली स्क्रीन पर, कॉल-टू-ऐक्शन के बारे में साफ़ तौर पर बताएं, जैसे कि “सहमति दें और लिंक करें.” ऐसा इसलिए है, क्योंकि उपयोगकर्ताओं को यह समझना ज़रूरी है कि अपने खातों को लिंक करने के लिए, उन्हें Google के साथ कौनसा डेटा शेयर करना होगा.
अनलिंक करने की सुविधा. उपयोगकर्ताओं को अनलिंक करने का तरीका बताएं, जैसे कि आपके प्लैटफ़ॉर्म पर उनकी खाता सेटिंग का यूआरएल. इसके अलावा, आपके पास Google खाते का लिंक शामिल करने का विकल्प भी है. इस लिंक पर जाकर, उपयोगकर्ता अपने लिंक किए गए खाते को मैनेज कर सकते हैं.
उपयोगकर्ता का खाता बदलने की सुविधा. उपयोगकर्ताओं को अपना खाता(खाते) बदलने का तरीका बताएं. यह खास तौर पर तब फ़ायदेमंद होता है, जब उपयोगकर्ताओं के पास कई खाते होते हों.
- अगर किसी उपयोगकर्ता को एक खाते से दूसरे खाते पर जाने के लिए, सहमति वाली स्क्रीन बंद करनी पड़ती है, तो Google को ऐसी गड़बड़ी की जानकारी भेजें जिसे ठीक किया जा सकता है. ऐसा इसलिए, ताकि उपयोगकर्ता OAuth लिंकिंग की मदद से, अपने मनचाहे खाते में साइन इन कर सके.
अपना लोगो शामिल करें. सहमति वाली स्क्रीन पर अपनी कंपनी का लोगो दिखाएं. अपना लोगो लगाने के लिए, अपनी स्टाइल से जुड़े दिशा-निर्देशों का पालन करें. अगर आपको Google का लोगो भी दिखाना है, तो लोगो और ट्रेडमार्क देखें.

ऑथराइज़ेशन कोड का फ़्लो

OAuth 2.0 सर्वर पर ऑथराइज़ेशन कोड फ़्लो लागू करने के लिए, दो एंडपॉइंट होते हैं. आपकी सेवा, इन्हें एचटीटीपीएस के ज़रिए उपलब्ध कराती है. पहला एंडपॉइंट, ऑथराइज़ेशन एंडपॉइंट होता है. यह डेटा ऐक्सेस करने के लिए, उपयोगकर्ताओं से सहमति पाने या उसे ढूंढने की ज़िम्मेदारी लेता है. ऑथराइज़ेशन एंडपॉइंट, उन उपयोगकर्ताओं को साइन-इन यूज़र इंटरफ़ेस (यूआई) दिखाता है जिन्होंने पहले से साइन इन नहीं किया है. साथ ही, अनुरोध किए गए ऐक्सेस के लिए सहमति रिकॉर्ड करता है. दूसरा एंडपॉइंट, टोकन एक्सचेंज एंडपॉइंट है. इसका इस्तेमाल, एन्क्रिप्ट की गई स्ट्रिंग पाने के लिए किया जाता है. इन स्ट्रिंग को टोकन कहा जाता है. ये स्ट्रिंग, उपयोगकर्ता को आपकी सेवा ऐक्सेस करने की अनुमति देती हैं.

जब Google के किसी ऐप्लिकेशन को आपकी सेवा के किसी एपीआई को कॉल करना होता है, तो Google इन एंडपॉइंट का इस्तेमाल एक साथ करता है. इससे, वह आपकी ओर से इन एपीआई को कॉल करने के लिए, आपके उपयोगकर्ताओं से अनुमति पाता है.

Google की ओर से शुरू किए गए OAuth 2.0 के ऑथराइज़ेशन कोड फ़्लो सेशन का यह तरीका है:

Google, उपयोगकर्ता के ब्राउज़र में आपका ऑथराइज़ेशन एंडपॉइंट खोलता है. अगर किसी कार्रवाई के लिए, सिर्फ़ बोलकर निर्देश देने की सुविधा वाले डिवाइस पर फ़्लो शुरू होता है, तो Google उसे फ़ोन पर ट्रांसफ़र कर देता है.
अगर उपयोगकर्ता पहले से साइन इन नहीं है, तो वह साइन इन करता है. साथ ही, अगर उसने पहले से अनुमति नहीं दी है, तो Google को आपके एपीआई की मदद से अपना डेटा ऐक्सेस करने की अनुमति देता है.
आपकी सेवा, ऑथराइज़ेशन कोड बनाती है और उसे Google को दिखाती है. ऐसा करने के लिए, अनुरोध में अटैच किए गए ऑथराइज़ेशन कोड के साथ, उपयोगकर्ता के ब्राउज़र को Google पर वापस रीडायरेक्ट करें.
Google, आपके टोकन एक्सचेंज एंडपॉइंट पर ऑथराइज़ेशन कोड भेजता है. यह एंडपॉइंट, कोड की पुष्टि करता है और ऐक्सेस टोकन और रीफ़्रेश टोकन दिखाता है. ऐक्सेस टोकन, कम समय तक चलने वाला टोकन होता है. आपकी सेवा, एपीआई को ऐक्सेस करने के लिए इसे क्रेडेंशियल के तौर पर स्वीकार करती है. रिफ़्रेश टोकन एक ऐसा टोकन होता है जिसकी समयसीमा लंबी होती है. Google, इस टोकन को स्टोर करके उसका इस्तेमाल कर सकता है. साथ ही, ऐक्सेस टोकन की समयसीमा खत्म होने पर, नए ऐक्सेस टोकन पाने के लिए भी इसका इस्तेमाल किया जा सकता है.
उपयोगकर्ता के खाता लिंक करने का फ़्लो पूरा करने के बाद, Google से भेजे गए हर अनुरोध में ऐक्सेस टोकन शामिल होता है.

अनुमति के अनुरोधों को मैनेज करना

जब आपको OAuth 2.0 ऑथराइज़ेशन कोड फ़्लो का इस्तेमाल करके खाता लिंक करना हो, तो Google उपयोगकर्ता को आपके ऑथराइज़ेशन एंडपॉइंट पर भेजता है. साथ ही, एक अनुरोध भेजता है, जिसमें ये पैरामीटर शामिल होते हैं:

ऑथराइज़ेशन एंडपॉइंट पैरामीटर
`client_id`	Google को असाइन किया गया क्लाइंट आईडी.
`redirect_uri`	वह यूआरएल जिस पर इस अनुरोध का जवाब भेजा जाता है.
`state`	हिसाब-किताब की ऐसी वैल्यू जिसे रीडायरेक्ट यूआरआई में बिना बदलाव किए, Google को वापस भेज दिया जाता है.
`scope`	ज़रूरी नहीं: स्पेस से अलग की गई स्कोप स्ट्रिंग का एक सेट, जिसमें वह डेटा बताया गया है जिसके लिए Google अनुमति का अनुरोध कर रहा है.
`response_type`	रिस्पॉन्स में कौनसी वैल्यू दिखानी है. OAuth 2.0 के ऑथराइज़ेशन कोड फ़्लो के लिए, रिस्पॉन्स टाइप हमेशा `code` होता है.
`user_locale`	Google खाते की भाषा की सेटिंग, RFC5646 फ़ॉर्मैट में. इसका इस्तेमाल, उपयोगकर्ता की पसंदीदा भाषा में आपके कॉन्टेंट को स्थानीय भाषा में उपलब्ध कराने के लिए किया जाता है.

उदाहरण के लिए, अगर आपका ऑथराइज़ेशन एंडपॉइंट https://myservice.example.com/auth पर उपलब्ध है, तो अनुरोध कुछ ऐसा दिख सकता है:

GET https://myservice.example.com/auth?client_id=GOOGLE_CLIENT_ID&redirect_uri=REDIRECT_URI&state=STATE_STRING&scope=REQUESTED_SCOPES&response_type=code&user_locale=LOCALE

अनुमति देने वाले एंडपॉइंट को साइन इन के अनुरोधों को मैनेज करने के लिए, यह तरीका अपनाएं:

पुष्टि करें कि client_id, Google को असाइन किए गए क्लाइंट आईडी से मेल खाता हो. साथ ही, redirect_uri आपकी सेवा के लिए Google से मिले रीडायरेक्ट यूआरएल से मेल खाता हो. अनजाने में या गलत तरीके से कॉन्फ़िगर किए गए क्लाइंट ऐप्लिकेशन को ऐक्सेस करने से रोकने के लिए, ये जांच करना ज़रूरी है. अगर आपके पास एक से ज़्यादा OAuth 2.0 फ़्लो काम करते हैं, तो इस बात की पुष्टि भी करें कि response_type code है.
देखें कि उपयोगकर्ता ने आपकी सेवा में साइन इन किया है या नहीं. अगर उपयोगकर्ता ने साइन इन नहीं किया है, तो अपनी सेवा के लिए साइन इन या साइन अप करने का फ़्लो पूरा करें.
Google के लिए अनुमति कोड जनरेट करें, ताकि वह आपके एपीआई को ऐक्सेस कर सके. अनुमति कोड, किसी भी स्ट्रिंग वैल्यू का हो सकता है. हालांकि, यह उपयोगकर्ता, उस क्लाइंट के लिए टोकन, और कोड की समयसीमा के बारे में यूनीक तरीके से बताता हो. साथ ही, यह अनुमान लगाने लायक नहीं होना चाहिए. आम तौर पर, अनुमति वाले कोड जारी किए जाते हैं, जो करीब 10 मिनट बाद खत्म हो जाते हैं.
पुष्टि करें कि redirect_uri पैरामीटर से तय किए गए यूआरएल का फ़ॉर्मैट, यहां दिया गया है:
```
  https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID
  https://oauth-redirect-sandbox.googleusercontent.com/r/YOUR_PROJECT_ID
  
```
उपयोगकर्ता के ब्राउज़र को, redirect_uri पैरामीटर से तय किए गए यूआरएल पर रीडायरेक्ट करें. code और state पैरामीटर जोड़कर रीडायरेक्ट करते समय, अभी जनरेट किया गया अनुमति कोड और ओरिजनल, बिना बदलाव वाली स्टेटस वैल्यू शामिल करें. इससे मिलने वाले यूआरएल का उदाहरण यहां दिया गया है:
```
https://oauth-redirect.googleusercontent.com/r/YOUR_PROJECT_ID?code=AUTHORIZATION_CODE&state=STATE_STRING
```

टोकन एक्सचेंज के अनुरोधों को मैनेज करना

आपकी सेवा का टोकन एक्सचेंज एंडपॉइंट, दो तरह के टोकन एक्सचेंज के लिए ज़िम्मेदार होता है:

ऑथराइज़ेशन कोड को ऐक्सेस टोकन और रीफ़्रेश टोकन से बदलना
रीफ़्रेश टोकन को ऐक्सेस टोकन से बदलना

टोकन एक्सचेंज के अनुरोधों में ये पैरामीटर शामिल होते हैं:

टोकन एक्सचेंज एंडपॉइंट पैरामीटर
`client_id`	एक स्ट्रिंग, जो अनुरोध के ऑरिजिन को Google के तौर पर पहचानती है. इस स्ट्रिंग को आपके सिस्टम में, Google के यूनीक आइडेंटिफ़ायर के तौर पर रजिस्टर करना ज़रूरी है.
`client_secret`	अपनी सेवा के लिए, Google के साथ रजिस्टर की गई एक सीक्रेट स्ट्रिंग.
`grant_type`	जिस टोकन को एक्सचेंज किया जा रहा है उसका टाइप. यह `authorization_code` या `refresh_token` में से कोई एक होगा.
`code`	`grant_type=authorization_code` होने पर, यह पैरामीटर वह कोड होता है जो Google को आपके साइन-इन या टोकन एक्सचेंज एंडपॉइंट से मिलता है.
`redirect_uri`	`grant_type=authorization_code` होने पर, यह पैरामीटर वह यूआरएल होता है जिसका इस्तेमाल, अनुमति के शुरुआती अनुरोध में किया गया था.
`refresh_token`	`grant_type=refresh_token` होने पर, यह पैरामीटर वह रिफ़्रेश टोकन होता है जो Google को आपके टोकन एक्सचेंज एंडपॉइंट से मिला है.

कॉन्फ़िगर करें कि Google आपके सर्वर पर क्रेडेंशियल कैसे भेजता है

इसे लागू करने के तरीके के आधार पर, आपके अनुमति देने वाले सर्वर को अनुरोध के मुख्य हिस्से या अनुरोध के हेडर में क्लाइंट क्रेडेंशियल मिल सकते हैं.

Google, डिफ़ॉल्ट रूप से अनुरोध के मुख्य हिस्से में क्रेडेंशियल भेजता है. अगर अनुमति देने वाले आपके सर्वर को अनुरोध हेडर में क्लाइंट क्रेडेंशियल की ज़रूरत है, तो आपको अपने Cloud-to-cloud इंटिग्रेशन को इस हिसाब से कॉन्फ़िगर करना होगा:

Developer Console पर जाएं

प्रोजेक्ट की सूची में, उस प्रोजेक्ट के बगल में मौजूद खोलें पर क्लिक करें जिस पर आपको काम करना है.
क्लाउड-टू-क्लाउड में जाकर, डेवलप करें चुनें.
अपने इंटिग्रेशन के बगल में मौजूद, खोलें पर क्लिक करें.
नीचे की ओर स्क्रोल करके, अनुमतियां (ज़रूरी नहीं) सेक्शन पर जाएं और Google को एचटीटीपी बुनियादी पुष्टि वाले हेडर के ज़रिए क्लाइंट आईडी और पासवर्ड भेजने की अनुमति दें चेकबॉक्स को चुनें.
अपने बदलावों को सेव करने के लिए, सेव करें पर क्लिक करें.

ऑथराइज़ेशन कोड को ऐक्सेस टोकन और रीफ़्रेश टोकन से बदलना

जब उपयोगकर्ता साइन इन करता है और आपका ऑथराइज़ेशन एंडपॉइंट, Google को कुछ समय के लिए इस्तेमाल किए जा सकने वाला ऑथराइज़ेशन कोड दिखाता है, तो Google आपके टोकन एक्सचेंज एंडपॉइंट को एक अनुरोध भेजता है. इस अनुरोध में, ऑथराइज़ेशन कोड को ऐक्सेस टोकन और रीफ़्रेश टोकन के साथ बदलने के लिए कहा जाता है.

इन अनुरोधों के लिए, grant_type की वैल्यू authorization_code है और code की वैल्यू, उस ऑथराइज़ेशन कोड की वैल्यू है जिसे आपने पहले Google को दिया था. यहां ऑथराइज़ेशन कोड को ऐक्सेस टोकन और रीफ़्रेश टोकन से बदलने के अनुरोध का उदाहरण दिया गया है:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=authorization_code&code=AUTHORIZATION_CODE&redirect_uri=REDIRECT_URI

ऑथराइज़ेशन कोड को ऐक्सेस टोकन और रीफ़्रेश टोकन से बदलने के लिए, आपका टोकन एक्सचेंज एंडपॉइंट, POST अनुरोधों का जवाब देता है. इसके लिए, यह तरीका अपनाएं:

पुष्टि करें कि client_id, अनुरोध के ऑरिजिन को अनुमति वाले ऑरिजिन के तौर पर पहचानता हो और client_secret, अनुमानित वैल्यू से मेल खाता हो.
पुष्टि करें कि ऑथराइज़ेशन कोड मान्य है और उसकी समयसीमा खत्म नहीं हुई है. साथ ही, यह भी पुष्टि करें कि अनुरोध में दिया गया क्लाइंट आईडी, ऑथराइज़ेशन कोड से जुड़े क्लाइंट आईडी से मेल खाता हो.
पुष्टि करें कि redirect_uri पैरामीटर से तय किया गया यूआरएल, अनुमति के शुरुआती अनुरोध में इस्तेमाल की गई वैल्यू से मेल खाता हो.
अगर ऊपर दी गई सभी शर्तों की पुष्टि नहीं की जा सकती, तो {"error": "invalid_grant"} को बॉडी के तौर पर इस्तेमाल करके, एचटीटीपी 400 गलत अनुरोध वाली गड़बड़ी दिखाएं.
इसके अलावा, रीफ़्रेश टोकन और ऐक्सेस टोकन जनरेट करने के लिए, ऑथराइज़ेशन कोड में मौजूद उपयोगकर्ता आईडी का इस्तेमाल करें. इन टोकन में कोई भी स्ट्रिंग वैल्यू हो सकती है. हालांकि, इनसे उपयोगकर्ता और उस क्लाइंट की खास तौर पर पहचान होनी चाहिए जिसके लिए टोकन बनाया गया है. साथ ही, इनका अनुमान नहीं लगाया जा सकता. ऐक्सेस टोकन के लिए, टोकन की समयसीमा खत्म होने का समय भी रिकॉर्ड करें. आम तौर पर, टोकन जारी करने के एक घंटे बाद उसकी समयसीमा खत्म हो जाती है. रीफ़्रेश टोकन की समयसीमा खत्म नहीं होती.
एचटीटीपीएस रिस्पॉन्स के मुख्य हिस्से में, यह JSON ऑब्जेक्ट दिखाएं:
```
{
"token_type": "Bearer",
"access_token": "ACCESS_TOKEN",
"refresh_token": "REFRESH_TOKEN",
"expires_in": SECONDS_TO_EXPIRATION
}
```

Google, उपयोगकर्ता के लिए ऐक्सेस टोकन और रीफ़्रेश टोकन को स्टोर करता है. साथ ही, ऐक्सेस टोकन के खत्म होने की तारीख को रिकॉर्ड करता है. ऐक्सेस टोकन की समयसीमा खत्म होने पर, Google आपके टोकन एक्सचेंज एंडपॉइंट से नया ऐक्सेस टोकन पाने के लिए, रिफ़्रेश टोकन का इस्तेमाल करता है.

रीफ़्रेश टोकन को ऐक्सेस टोकन से बदलना

जब किसी ऐक्सेस टोकन की समयसीमा खत्म हो जाती है, तो Google आपके टोकन एक्सचेंज एंडपॉइंट पर एक अनुरोध भेजता है. इस अनुरोध में, रीफ़्रेश टोकन को नए ऐक्सेस टोकन से बदलने के लिए कहा जाता है.

इन अनुरोधों के लिए, grant_type की वैल्यू refresh_token है और refresh_token की वैल्यू, उस रीफ़्रेश टोकन की वैल्यू है जिसे आपने पहले Google को दिया था. यहां ऐक्सेस टोकन के लिए रीफ़्रेश टोकन को एक्सचेंज करने के अनुरोध का उदाहरण दिया गया है:

POST /token HTTP/1.1
Host: oauth2.example.com
Content-Type: application/x-www-form-urlencoded

client_id=GOOGLE_CLIENT_ID&client_secret=GOOGLE_CLIENT_SECRET&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

रीफ़्रेश टोकन को ऐक्सेस टोकन से बदलने के लिए, आपका टोकन एक्सचेंज एंडपॉइंट, POST अनुरोधों का जवाब देता है. इसके लिए, यह तरीका अपनाएं:

पुष्टि करें कि client_id, अनुरोध के ऑरिजिन को Google के तौर पर पहचानता है और client_secret, उम्मीद की गई वैल्यू से मेल खाता है.
पुष्टि करें कि रीफ़्रेश टोकन मान्य है और अनुरोध में दिया गया क्लाइंट आईडी, रीफ़्रेश टोकन से जुड़े क्लाइंट आईडी से मेल खाता है.
अगर ऊपर दी गई सभी शर्तों की पुष्टि नहीं की जा सकती, तो बॉडी के तौर पर {"error": "invalid_grant"} के साथ एचटीटीपी 400 गलत अनुरोध गड़बड़ी दिखाएं.
अगर ऐसा नहीं है, तो ऐक्सेस टोकन जनरेट करने के लिए, रीफ़्रेश टोकन में मौजूद उपयोगकर्ता आईडी का इस्तेमाल करें. इन टोकन में कोई भी स्ट्रिंग वैल्यू हो सकती है. हालांकि, ये टोकन, उपयोगकर्ता और उस क्लाइंट को यूनीक तरीके से दिखाने चाहिए जिसके लिए टोकन बनाया गया है. साथ ही, इन टोकन का अनुमान नहीं लगाया जा सकता. ऐक्सेस टोकन के लिए, टोकन की समयसीमा खत्म होने का समय भी रिकॉर्ड करें. आम तौर पर, टोकन जारी करने के एक घंटे बाद यह समयसीमा खत्म हो जाती है.
एचटीटीपीएस रिस्पॉन्स के मुख्य हिस्से में, यह JSON ऑब्जेक्ट दिखाएं:
```
{
"token_type": "Bearer",
"access_token": "ACCESS_TOKEN",
"expires_in": SECONDS_TO_EXPIRATION
}
```

उपयोगकर्ता की जानकारी के अनुरोधों को मैनेज करना

userinfo एंडपॉइंट, OAuth 2.0 से सुरक्षित किया गया एक ऐसा संसाधन है जो लिंक किए गए उपयोगकर्ता के बारे में दावे दिखाता है. नीचे दिए गए इस्तेमाल के उदाहरणों को छोड़कर, userinfo एंडपॉइंट को लागू और होस्ट करना ज़रूरी नहीं है:

Google One Tap की मदद से, लिंक किए गए खाते में साइन इन करें.
AndroidTV पर बिना किसी रुकावट के सदस्यता.

आपके टोकन एंडपॉइंट से ऐक्सेस टोकन पाने के बाद, Google आपके userinfo एंडपॉइंट पर एक अनुरोध भेजता है, ताकि लिंक किए गए उपयोगकर्ता की प्रोफ़ाइल की बुनियादी जानकारी फिर से मिल सके.

userinfo एंडपॉइंट अनुरोध के हेडर
`Authorization header`	बेयरर टाइप का ऐक्सेस टोकन.

उदाहरण के लिए, अगर आपका userinfo एंडपॉइंट यहां उपलब्ध है https://myservice.example.com/userinfo, अनुरोध कुछ ऐसा दिख सकता है:

GET /userinfo HTTP/1.1
Host: myservice.example.com
Authorization: Bearer ACCESS_TOKEN

अपने userinfo एंडपॉइंट पर अनुरोधों को मैनेज करने के लिए यह तरीका अपनाएं:

ऑथराइज़ेशन हेडर से ऐक्सेस टोकन निकालें और ऐक्सेस टोकन से जुड़े उपयोगकर्ता की जानकारी दिखाएं.
अगर ऐक्सेस टोकन अमान्य है, तो WWW-Authenticate रिस्पॉन्स हेडर का इस्तेमाल करके, एचटीटीपी 401 बिना अनुमति वाली गड़बड़ी दिखाएं. नीचे userinfo गड़बड़ी के जवाब का एक उदाहरण दिया गया है:
```
HTTP/1.1 401 Unauthorized
WWW-Authenticate: error="invalid_token",
error_description="The Access Token expired"
```
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है अगर लिंक करने की प्रोसेस के दौरान, बिना अनुमति वाली 401 या गड़बड़ी वाला कोई भी गड़बड़ी का मैसेज मिलता है, तो इस गड़बड़ी को ठीक नहीं किया जा सकेगा. साथ ही, वापस मिले टोकन को खारिज कर दिया जाएगा और उपयोगकर्ता को फिर से लिंक करने की प्रोसेस शुरू करनी होगी.

अगर ऐक्सेस टोकन मान्य है, तो वापस जाएं और एचटीटीपीएस के मुख्य हिस्से में, यहां दिए गए JSON ऑब्जेक्ट के साथ एचटीटीपी 200 रिस्पॉन्स भेजें जवाब:

{
"sub": "USER_UUID",
"email": "EMAIL_ADDRESS",
"given_name": "FIRST_NAME",
"family_name": "LAST_NAME",
"name": "FULL_NAME",
"picture": "PROFILE_PICTURE",
}

अगर आपका userinfo एंडपॉइंट, एचटीटीपी 200 सक्सेस रिस्पॉन्स देता है, तो हासिल किए गए टोकन और दावे, उपयोगकर्ता के Google खाते से रजिस्टर किए जाते हैं.

userinfo एंडपॉइंट रिस्पॉन्स
`sub`	एक यूनीक आईडी, जो आपके सिस्टम में उपयोगकर्ता की पहचान करता है.
`email`	उपयोगकर्ता का ईमेल पता.
`given_name`	ज़रूरी नहीं: उपयोगकर्ता का नाम.
`family_name`	ज़रूरी नहीं: उपयोगकर्ता का सरनेम.
`name`	ज़रूरी नहीं: उपयोगकर्ता का पूरा नाम.
`picture`	ज़रूरी नहीं: उपयोगकर्ता की प्रोफ़ाइल फ़ोटो.

पीछे जाएं

डेवलपर चेकलिस्ट

आगे बढ़ें

क्लाउड-टू-क्लाउड प्रोजेक्ट बनाना