Google OAuth2 避免重复授权提示的正确实现方法

本文详解如何通过本地缓存与刷新令牌机制，避免 google oauth2 登录时每次触发 approval prompt，确保用户仅首次授权后即可静默登录。

google OAuth2 默认行为看似“每次登录都要求重新授权”，实则并非服务端强制限制，而是客户端未妥善复用已获取的访问令牌（access Token）和刷新令牌（Refresh Token）所致。与 gitHub OAuth 不同，google 的 approval_prompt=auto（默认值）仅表示：当用户已为当前 client_id 授予过对应 scope 权限，且 token 仍有效或可刷新时，不显示授权页面。若应用每次启动都忽略已有 token、直接发起全新授权请求，Google 就会视为“新授权流程”，从而反复弹出 approval prompt。

正确做法是：持久化存储 OAuth2 Token，并在每次启动时优先尝试复用与刷新。使用 golang/oauth2 库时，应结合 oauth2.TokenSource 实现智能凭证管理。以下为关键实践步骤：

1. 持久化 Token 到磁盘（如 jsON 文件）
   使用 token.Expiry 判断是否过期，用 token.Valid() 辅助校验：

   func tokenFromFile(file string) (*oauth2.Token, error) {     f, err := os.Open(file)     if err != nil {         return nil, err     }     defer f.Close()     t := &oauth2.Token{}     err = json.NewDecoder(f).Decode(t)     return t, err }  func saveToken(file string, token *oauth2.Token) error {     f, err := os.Create(file)     if err != nil {         return err     }     defer f.Close()     return json.NewEncoder(f).Encode(token) }

2. 构建支持自动刷新的 TokenSource
   利用 config.TokenSource(ctx, token) —— 它内部会自动检测过期并调用 refresh endpoint（需 offline access_type 获取 refresh_token）：

   // 初始化 config 时务必设置 AccessType="offline" config := &oauth2.Config{     ClientID:     "your-client-id",     ClientSecret: "your-client-secret",     RedirectURL:  "http://localhost:8080/callback",     Endpoint:     google.Endpoint,     Scopes:       []string{"email", "profile", "https://www.googleapis.com/auth/plus.login"},     // ? 关键：启用离线访问以获得 refresh_token     AccessType: "offline", }  // 复用已有 token 或触发授权 tok, err := tokenFromFile("token.json") if err != nil || !tok.Valid() {     // 启动 Web 流程获取新 token（仅首次或失效时）     url := config.AuthCodeURL("state", oauth2.AccessTypeOffline)     // ... 启动浏览器、处理回调、调用 config.Exchange(...)     // 保存新 token     saveToken("token.json", tok) }  // 创建可自动刷新的 HTTP client client := config.Client(context.Background(), tok) // ✅ 此 client 在 token 过期时将静默刷新，不再触发 approval prompt

⚠️ 重要注意事项：

• 必须在首次授权时显式指定 AccessType: “offline”（否则 Google 不返回 refresh_token，导致后续无法静默续期）；
• state 参数需严格校验防 csrf，但与 approval_prompt 无关；
• prompt 参数无需手动设为 “none”（那会跳过登录态检查，仅适用于已登录用户静默授权场景）；
• 确保 redirect_uri 与 Google Cloud console 中注册的完全一致（含末尾斜杠）；
• 若应用为测试状态（未发布），需确保测试用户已添加至 OAuth 同意屏幕的“测试用户”列表，否则权限可能受限。

总结：Google 不“强制”重复授权，它只是忠实地执行 OAuth2 协议——无有效 token 即视为新授权请求。通过可靠缓存 + offline 模式 + TokenSource 自动刷新，即可实现与 github 相同的平滑用户体验：一次授权，长期静默登录。