Page History
...
- 自身の Web アプリケーションでは、ブラウザで Google OAuth2 のログイン・フォームにリダイレクトします。この時、 ログイン・フォームが認証完了時にリダイレクトする自身のアプリケーション URL (リダイレクト URL) を指定します。
- エンド・ユーザーは Google ログイン・フォームにユーザー名とパスワードを入力します。
- Google ログイン・フォームが Google のサーバーに送信されます。
- Google は提供されたユーザー名とパスワードを検証します。
- すべて OK であれば、Google は Web アプリケーションにブラウザをリダイレクトし、認証コードを (URL のクエリ文字列に) 引き渡します。
- この認証コードは自身のサーバー・プログラムに引き渡されます。
- サーバー・プログラムはこの認証コードを Google サーバーに送信します。これでアクセス・トークンが返されるはずです。
- アクセス・トークンを正常に取得できれば、ユーザーが正しく認証されたことになります。
- アクセス・トークンの本文には、絶対認証が含まれていることに注意してください。本文に有効期限日時がありますが、アクセス・トークンをキャンセルする方法はありません。アクセス・トークンの機密を守り、サーバー外に漏れないように (つまり、アクセス・トークンをブラウザに送信しないよう注意) する必要があります。