如何使用Curl CLI执行OAuth 2.0？

Question

我想使用Windows命令提示符下的curl执行Google OAuth 2.0。我的目标是更好地了解OAuth服务器实现的身份验证流程，请参阅HTTP标头等。

如何使用Windows命令提示符中的curl.exe完成此操作？

Answer 1

如何使用Curl CLI执行OAuth 2.0？

该答案适用于Windows命令提示符用户，但也应易于适应Linux和Mac。

您将需要Google Client ID和Client Secret。这些可以从Google控制台的APIs & Services-> 下获得Credentials。

在以下示例中，范围为cloud-platform。修改以使用要测试的作用域。您可以使用以下范围进行测试：

"https://www.googleapis.com/auth/cloud-platform"
"https://www.googleapis.com/auth/cloud-platform.read-only"
"https://www.googleapis.com/auth/devstorage.full_control"
"https://www.googleapis.com/auth/devstorage.read_write"
"https://www.googleapis.com/auth/devstorage.read_only"
"https://www.googleapis.com/auth/bigquery"
"https://www.googleapis.com/auth/datastore"

Google API的OAuth 2.0范围

细节：

• 将以下语句复制到Windows批处理文件。
• 进行修改以适合您的环境。
• 修改您要使用的浏览器的脚本。
• 运行批处理文件。
• 浏览器将启动。
• 浏览器将转到https://accounts.google.com  ，您可以在其中完成Google OAuth 2.0身份验证。
• 完成后，代码将显示在浏览器窗口中。
• 从浏览器窗口复制此代码（control-c）并粘贴到命令提示符窗口（control-rightclick）。
• 该脚本将完成令牌的OAuth 2.0代码交换。
• 令牌将显示在命令提示符下。
• 返回的令牌包含可在更多curl命令中使用的访问令牌。

Windows批处理脚本：

set CLIENT_ID=Replace_with_your_Client_ID
set CLIENT_SECRET=Replace_with_your_Client_Secret
set SCOPE=https://www.googleapis.com/auth/cloud-platform
set ENDPOINT=https://accounts.google.com/o/oauth2/v2/auth

set URL="%ENDPOINT%?client_id=%CLIENT_ID%&response_type=code&scope=%SCOPE%&access_type=offline&redirect_uri=urn:ietf:wg:oauth:2.0:oob"

@REM start iexplore %URL%
@REM start microsoft-edge:%URL%
start chrome %URL%

set /p AUTH_CODE="Enter Code displayed in browser: "

curl ^
--data client_id=%CLIENT_ID% ^
--data client_secret=%CLIENT_SECRET% ^
--data code=%AUTH_CODE% ^
--data redirect_uri=urn:ietf:wg:oauth:2.0:oob ^
--data grant_type=authorization_code ^
https://www.googleapis.com/oauth2/v4/token

最终输出如下所示：

{
  "access_token": "ya29.deleted_for_security_reasons",
  "expires_in": 3600,
  "refresh_token": "1/jk3/deleted_for_security_reasons",
  "scope": "https://www.googleapis.com/auth/cloud-platform",
  "token_type": "Bearer"
}

使用访问令牌的示例curl命令：

set ACCESS_TOKEN=replace_with_your_access_token
set PROJECT=development-123456
set ZONE=us-west-1a
set INSTANCE_NAME=dev-system

@REM - This endpoint will start the instance named INSTANCE_NAME in ZONE
set ENDPOINT=https://www.googleapis.com/compute/v1/projects/%PROJECT%/zones/%ZONE%/instances/%INSTANCE_NAM%/start

curl -H "Authorization: Bearer %ACCESS_TOKEN" "%ENDPOINT%"

提示：将访问令牌保存到文件

修改批处理脚本的最后一行以用于jq处理输出：

curl ^
--data client_id=%CLIENT_ID% ^
--data client_secret=%CLIENT_SECRET% ^
--data code=%AUTH_CODE% ^
--data redirect_uri=urn:ietf:wg:oauth:2.0:oob ^
--data grant_type=authorization_code ^
https://www.googleapis.com/oauth2/v4/token | jq -r ".access_token > token.save

set /p ACCESS_TOKEN=<token.save
echo %ACCESS_TOKEN%

最后两行显示如何读取保存到文件中的访问令牌，以在更多脚本中进一步使用。

请记住，令牌会在60分钟后失效，这是默认值。

我在博客上写了一篇文章，详细介绍了这一点：

Google OAuth 2.0 –使用Curl进行测试