未收到Google OAuth刷新令牌

refresh_token只在用户首次授权时提供。随后的授权（例如测试OAuth2集成时进行的授权）将不会再返回refresh_token。
操作步骤如下：

1. 进入显示已访问您的帐户的应用程序页面： https://myaccount.google.com/u/0/permissions 。
2. 在“第三方应用程序”菜单下，选择您的应用程序。
3. 点击“移除访问权限”，然后点击“确认”。
4. 下一次进行OAuth2请求时，将返回一个refresh_token（前提是它还包括“access_type=offline”查询参数）。

另外，您可以在OAuth重定向中添加查询参数prompt=consent&access_type=offline（请参阅Google的OAuth 2.0 for Web Server Applications页面）。
这将提示用户再次授权该应用程序，并始终返回一个refresh_token。

为了获取刷新令牌，您必须添加 approval_prompt=force 和 access_type="offline" 两个参数。如果您正在使用 Google 提供的 Java 客户端，则代码如下：

GoogleAuthorizationCodeFlow flow = new GoogleAuthorizationCodeFlow.Builder(
            HTTP_TRANSPORT, JSON_FACTORY, getClientSecrets(), scopes)
            .build();

AuthorizationCodeRequestUrl authorizationUrl =
            flow.newAuthorizationUrl().setRedirectUri(callBackUrl)
                    .setApprovalPrompt("force")
                    .setAccessType("offline");

对于那些遇到这个问题的心灵疲惫的人，我想为这个主题增加一些信息。获取离线应用程序的刷新令牌的关键是确保您正在呈现同意屏幕。只有在用户通过单击“允许”授权后，refresh_token才会立即返回。

这个问题对我（以及许多其他人）来说是在我在开发环境中进行了一些测试之后出现的，因此我已经在给定的帐户上授权了我的应用程序。然后，我转移到生产并尝试再次使用已经被授权的帐户进行身份验证。在这种情况下，同意屏幕将不会再次出现，api也不会返回新的刷新令牌。要使其正常工作，您必须通过以下方式之一强制显示同意屏幕：

prompt=consent

或者

approval_prompt=force

任何一个都可以使用，但是不应该同时使用。截至2021年，我建议使用prompt=consent，因为它替代了旧的参数approval_prompt，在某些 API 版本中，后者实际上已经失效 (https://github.com/googleapis/oauth2client/issues/453)。此外，prompt是一个以空格分隔的列表，所以如果你想要两个选项，可以将其设置为prompt=select_account%20consent。

当然，你还需要：

access_type=offline

更多阅读：

• 文档：https://developers.google.com/identity/protocols/oauth2/web-server#request-parameter-prompt
• 文档：https://developers.google.com/identity/protocols/oauth2/openid-connect#re-consent
• 关于此问题的讨论：https://github.com/googleapis/google-api-python-client/issues/213

我搜索了一个漫长的夜晚，这个可以解决问题：

从admin-sdk中修改了user-example.php文件

$client->setAccessType('offline');
$client->setApprovalPrompt('force');
$authUrl = $client->createAuthUrl();
echo "<a class='login' href='" . $authUrl . "'>Connect Me!</a>";

然后您将获得重定向网址处的代码，并使用该代码进行身份验证并获取刷新令牌

$client()->authenticate($_GET['code']);
echo $client()->getRefreshToken();

现在应该将它存储起来 ;)

当您的访问密钥超时时，只需执行以下操作

$client->refreshToken($theRefreshTokenYouHadStored);

这让我有些困惑，所以我想分享一下我通过艰苦学习得出的结论：
当您使用 access_type=offline 和 approval_prompt=force 参数请求访问权限时，您应该收到一个访问令牌和一个刷新令牌。访问令牌在您收到它后不久就会过期，您需要刷新它。
您正确地发出了请求以获取新的访问令牌，并收到了包含新访问令牌的响应。我也被事实困惑了：我没有得到新的刷新令牌。然而，这就是它的意思，因为您可以一遍又一遍地使用同一个刷新令牌。
我认为其他答案假设你想出于某种原因获取自己的新刷新令牌，并建议您重新授权用户，但实际上，您不需要这样做，因为您拥有的刷新令牌将一直有效，直到被用户撤销。

Rich Sutton的答案最终对我起作用了，在我意识到在前端客户端请求授权码时添加access_type=offline，而不是后端请求该代码以交换访问令牌时。我已在他的回答中添加了评论，并提供此链接以获取有关刷新令牌的更多信息。

P.S. 如果您使用Satellizer，在AngularJS中将该选项添加到$authProvider.google的方法可以参考这里。

为了获取refresh_token，您需要在OAuth请求URL中包含access_type=offline。当用户首次进行身份验证时，您将收到一个非空的refresh_token以及一个过期的access_token。
如果您有这样一种情况：用户可能会重新对您已经拥有认证令牌的帐户进行身份验证（就像@SsjCosty上面提到的那样），您需要从Google获取有关该令牌所属帐户的信息。要做到这一点，请将profile添加到您的范围中。使用OAuth2 Ruby gem，您的最终请求可能看起来像这样：

client = OAuth2::Client.new(
  ENV["GOOGLE_CLIENT_ID"],
  ENV["GOOGLE_CLIENT_SECRET"],
  authorize_url: "https://accounts.google.com/o/oauth2/auth",
  token_url: "https://accounts.google.com/o/oauth2/token"
)

# Configure authorization url
client.authorize_url(
  scope: "https://www.googleapis.com/auth/analytics.readonly profile",
  redirect_uri: callback_url,
  access_type: "offline",
  prompt: "select_account"
)

请注意，范围有两个用空格分隔的条目，一个是只读访问 Google Analytics，另一个是 profile，这是 OpenID Connect 标准。
这将导致 Google 在 get_token 响应中提供一个名为 id_token 的附加属性。要从 id_token 中获取信息，请参阅 Google 文档中的 此页面。有一些由 Google 提供的库可以验证和“解码”它（我使用 Ruby 的 google-id-token gem）。一旦解析它，sub 参数就是唯一的 Google 帐户 ID。
值得注意的是，如果您更改了范围，那么已经使用原始范围进行身份验证的用户将再次收到刷新令牌。如果您已经有很多用户，并且不想让他们全部取消 Google 应用的授权，则此功能非常有用。

哦，最后要注意的一点是：你不必须prompt=select_account，但如果你的用户可能想要使用多个Google账户进行身份验证（即，你不是用它进行登录/身份验证），那么这将非常有用。

1. 如何获取 'refresh_token'？

解决方案： 在生成authURL时应该使用access_type='offline'选项。 来源：使用OAuth 2.0进行Web服务器应用程序开发

2. 但即使使用'access_type=offline'，我也无法获得'refresh_token'?

解决方案：请注意，您只会在第一次请求时获得它。因此，如果您在某个地方存储它，并且在获取先前过期后的新访问令牌时有覆盖此值的代码，请确保不要覆盖此值。

来自Google Auth文档：（此值=access_type）

该值指示Google授权服务器在您的应用程序首次交换授权码以获取令牌时返回刷新令牌和访问令牌。

如果您需要再次获得'refresh_token'，则需要按照Rich Sutton的回答中的步骤删除您的应用程序的访问权限。

我正在使用Node.js客户端访问私人数据。
解决方案是在oAuth2Client.generateAuthUrl函数的设置对象中添加具有值“consent”的promp属性。 这是我的代码：

const getNewToken = (oAuth2Client, callback) => {
    const authUrl = oAuth2Client.generateAuthUrl({
        access_type: 'offline',
        prompt: 'consent',
        scope: SCOPES,
    })
    console.log('Authorize this app by visiting this url:', authUrl)
    const rl = readline.createInterface({
        input: process.stdin,
        output: process.stdout,
    })
    rl.question('Enter the code from that page here: ', (code) => {
        rl.close()
        oAuth2Client.getToken(code, (err, token) => {
            if (err) return console.error('Error while trying to retrieve access token', err)
            oAuth2Client.setCredentials(token)
            // Store the token to disk for later program executions
            fs.writeFile(TOKEN_PATH, JSON.stringify(token), (err) => {
                if (err) return console.error(err)
                console.log('Token stored to', TOKEN_PATH)
            })
            callback(oAuth2Client)
        })
    })
}

你可以使用在线参数提取器获取生成令牌的代码： 在线参数提取器 这是来自Google官方文档的完整代码：

https://developers.google.com/sheets/api/quickstart/nodejs

我希望这些信息有用。

使用Postman获取刷新令牌的示例配置如下：

预期回应