本文详解 php 环境下 google oauth2 登录的令牌管理核心逻辑,重点纠正“全局令牌”误区,阐明用户级访问令牌(短期有效)与刷新令牌(长期存储)的职责分离,并提供安全、可复用的实现方案。
在基于 google OAuth2 的网站登录系统中,一个常见且关键的认知误区是:将访问令牌(access Token)误认为应用级凭证,进而将其持久化存储于数据库中供所有用户复用。实际上,每个用户的 OAuth2 访问令牌是严格独立、短期有效的身份凭证——它由 google 针对特定用户、特定授权范围(如 email 和 profile)动态签发,标准有效期仅为 3600 秒(1 小时),且不可跨用户使用。
因此,您原始代码中的问题根源在于:
- ✅ 正确调用了 $client->setAccessType(‘offline’) 和 $client->setPrompt(“consent”) 以获取刷新令牌(Refresh Token);
- ❌ 错误地将 access_token(而非 refresh_token)存入数据库($dbx->set_token($client->getAccessToken()));
- ❌ 登出时调用 $client->revokeToken($accessToken) 主动吊销令牌——这不仅使当前会话失效,更可能影响用户在其他已授权站点的登录状态(违反 OAuth 最佳实践);
- ❌ 登录流程未区分“首次授权”、“令牌过期刷新”与“无有效凭证重定向”三种状态,导致在刷新令牌仍有效时,却错误复用已失效的访问令牌。
✅ 正确实践:分离存储职责,按需刷新
应严格遵循以下原则:
| 数据类型 | 存储位置 | 生命周期 | 是否加密 | 用途说明 |
|---|---|---|---|---|
| Refresh Token | 数据库(用户关联) | 长期(除非用户撤回授权) | ✅ 强烈推荐 | 用于静默刷新过期的 Access Token |
| Access Token | 用户 session(如 $_SESSION[‘google_access_token’]) | 短期(≤3600s) | ✅ 推荐 | 用于调用 Google API,无需持久化 |
✅ 优化后的登录流程(php 示例)
setAuthConfig($_SERVER['DOCUMENT_ROOT'] . '/login/credentials.json'); $client->setAccessType('offline'); // 关键:启用离线访问获取 refresh_token $client->setPrompt('consent'); // 确保每次获取 refresh_token(开发期可选) $client->addScope(['email', 'profile']); $dbx = new db(); $user_id = $_SESSION['user_id'] ?? null; // 假设您已有用户会话标识 // 1. 检查 Session 中是否存在有效的 Access Token if (isset($_SESSION['google_access_token']) && !empty($_SESSION['google_access_token']) && !$client->isAccessTokenExpired()) { $client->setAccessToken($_SESSION['google_access_token']); } else { // 2. Session 无效 → 尝试用 Refresh Token 刷新 if ($user_id && $refreshToken = $dbx->get_refresh_token($user_id)) { $client->refreshToken($refreshToken); $_SESSION['google_access_token'] = $client->getAccessToken(); // (可选)更新数据库中的 access_token 字段仅作调试,非必需 } // 3. 无可用 Refresh Token 或授权码存在 → 触发 OAuth 流程 elseif (isset($_GET['code'])) { $token = $client->fetchAccessTokenWithAuthCode($_GET['code']); $client->setAccessToken($token); // ✅ 仅持久化 refresh_token(注意:首次授权才返回!) if (!empty($token['refresh_token'])) { $dbx->set_refresh_token($user_id, $token['refresh_token']); } $_SESSION['google_access_token'] = $token; } else { // 4. 完全无凭证 → 重定向至 Google 授权页 header('Location: ' . $client->createAuthUrl()); exit; } } // ✅ 此时 client 已持有有效 Access Token,可安全调用 API $service = new Google_Service_Oauth2($client); $userdata = $service->userinfo->get(); // 后续业务逻辑... ?>✅ 安全登出实现(不触达 Google)
delete_refresh_token($_SESSION['user_id']); // 实现为 DELETE 或 UPDATE NULL } // 3. 可选:前端跳转至首页或登录页 header('Location: /login.php'); exit; ?>⚠️ 关键注意事项总结
- 绝不共享 Access Token:它是用户级、临时性凭证,绝非应用全局密钥。
- Refresh Token 是唯一应持久化的令牌:它允许您的后端在用户离线时静默获取新 Access Token,是实现“记住我”体验的核心。
- 避免主动 revokeToken():Google 官方明确建议,登出应仅清理本地状态;用户如需全局退出,应引导其前往 Google 账户权限管理页 撤回授权。
- 始终验证 isAccessTokenExpired():在每次 API 调用前检查,过期则优先 refreshToken(),失败再走完整授权流。
- https 强制要求:OAuth2 敏感数据传输必须全程 HTTPS,否则令牌易被劫持。
通过以上重构,您的登录系统将符合 OAuth2 标准实践:既保障用户凭证安全,又提升体验连续性,同时规避因令牌误用导致的 401 UNAUTHENTICATED 等典型错误。