JavaScript ওয়েব অ্যাপ্লিকেশনের জন্য OAuth 2.0 ব্যবহার করা

OAuth 2.0 এন্ডপয়েন্ট

https://accounts.google.com/o/oauth2/v2/auth এ Google এর OAuth 2.0 এন্ডপয়েন্ট থেকে অ্যাক্সেসের অনুরোধ করার জন্য একটি URL তৈরি করুন। এই এন্ডপয়েন্টটি HTTPS এর মাধ্যমে অ্যাক্সেসযোগ্য; সাধারণ HTTP সংযোগগুলি প্রত্যাখ্যান করা হয়।

গুগল অথোরাইজেশন সার্ভার ওয়েব সার্ভার অ্যাপ্লিকেশনের জন্য নিম্নলিখিত কোয়েরি স্ট্রিং প্যারামিটারগুলিকে সমর্থন করে:

Google এর অনুমোদন সার্ভারে নমুনা পুনর্নির্দেশনা

নিচের নমুনা URLটি এমন একটি স্কোপে অফলাইন অ্যাক্সেস ( access_type=offline ) অনুরোধ করে যা ব্যবহারকারীর YouTube অ্যাকাউন্ট দেখার অ্যাক্সেসের অনুমতি দেয়। এটি ক্রমবর্ধমান অনুমোদন ব্যবহার করে নিশ্চিত করে যে নতুন অ্যাক্সেস টোকেন ব্যবহারকারী পূর্বে অ্যাপ্লিকেশন অ্যাক্সেস মঞ্জুর করেছেন এমন যেকোনো স্কোপকে কভার করে। URLটি প্রয়োজনীয় redirect_uri , response_type , এবং client_id প্যারামিটারের পাশাপাশি state প্যারামিটারের জন্য মানও সেট করে। URLটিতে পঠনযোগ্যতার জন্য লাইন ব্রেক এবং স্পেস রয়েছে।

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.readonly&
 include_granted_scopes=true&
 state=state_parameter_passthrough_value&
 redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback&
 response_type=token&
 client_id=client_id

অনুরোধের URL তৈরি করার পরে, ব্যবহারকারীকে এতে পুনঃনির্দেশিত করুন।

জাভাস্ক্রিপ্ট নমুনা কোড

নিম্নলিখিত জাভাস্ক্রিপ্ট স্নিপেটটি জাভাস্ক্রিপ্টের জন্য Google APIs ক্লায়েন্ট লাইব্রেরি ব্যবহার না করেই জাভাস্ক্রিপ্টে অনুমোদন প্রবাহ কীভাবে শুরু করবেন তা দেখায়। যেহেতু এই OAuth 2.0 এন্ডপয়েন্টটি ক্রস-অরিজিন রিসোর্স শেয়ারিং (CORS) সমর্থন করে না, তাই স্নিপেটটি একটি ফর্ম তৈরি করে যা সেই এন্ডপয়েন্টে অনুরোধটি খোলে।

/*
 * Create form to request access token from Google's OAuth 2.0 server.
 */
function oauthSignIn() {
  // Google's OAuth 2.0 endpoint for requesting an access token
  var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

  // Create <form> element to submit parameters to OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'GET'); // Send as a GET request.
  form.setAttribute('action', oauth2Endpoint);

  // Parameters to pass to OAuth 2.0 endpoint.
  var params = {'client_id': 'YOUR_CLIENT_ID',
                'redirect_uri': 'YOUR_REDIRECT_URI',
                'response_type': 'token',
                'scope': 'https://www.googleapis.com/auth/youtube.force-ssl',
                'include_granted_scopes': 'true',
                'state': 'pass-through value'};

  // Add form parameters as hidden input values.
  for (var p in params) {
    var input = document.createElement('input');
    input.setAttribute('type', 'hidden');
    input.setAttribute('name', p);
    input.setAttribute('value', params[p]);
    form.appendChild(input);
  }

  // Add form to page and submit it to open the OAuth 2.0 endpoint.
  document.body.appendChild(form);
  form.submit();
}

OAuth 2.0 এন্ডপয়েন্ট

OAuth 2.0 সার্ভার আপনার অ্যাক্সেস টোকেন অনুরোধে উল্লেখিত redirect_uri তে একটি প্রতিক্রিয়া পাঠায়।

যদি ব্যবহারকারী অনুরোধটি অনুমোদন করে, তাহলে প্রতিক্রিয়াটিতে একটি অ্যাক্সেস টোকেন থাকে। যদি ব্যবহারকারী অনুরোধটি অনুমোদন না করে, তাহলে প্রতিক্রিয়াটিতে একটি ত্রুটি বার্তা থাকে। অ্যাক্সেস টোকেন বা ত্রুটি বার্তাটি পুনঃনির্দেশ URI-এর হ্যাশ খণ্ডে ফেরত পাঠানো হয়, যেমনটি নীচে দেখানো হয়েছে:

• একটি অ্যাক্সেস টোকেন প্রতিক্রিয়া:

  https://oauth2.example.com/callback#access_token=4/P7q7W91&token_type=Bearer&expires_in=3600

  access_token প্যারামিটার ছাড়াও, ফ্র্যাগমেন্ট স্ট্রিং-এ token_type প্যারামিটারও থাকে, যা সর্বদা Bearer তে সেট করা থাকে, এবং expires_in প্যারামিটার, যা টোকেনের জীবনকাল সেকেন্ডে নির্দিষ্ট করে। যদি অ্যাক্সেস টোকেন অনুরোধে state প্যারামিটার নির্দিষ্ট করা থাকে, তাহলে এর মানও প্রতিক্রিয়ায় অন্তর্ভুক্ত করা হয়।

• একটি ত্রুটির প্রতিক্রিয়া:

  https://oauth2.example.com/callback#error=access_denied

নমুনা OAuth 2.0 সার্ভার প্রতিক্রিয়া

আপনি নিম্নলিখিত নমুনা URL-এ ক্লিক করে এই প্রবাহটি পরীক্ষা করতে পারেন, যা আপনার Google ড্রাইভের ফাইলগুলির মেটাডেটা দেখার জন্য কেবল পঠনযোগ্য অ্যাক্সেস এবং আপনার Google ক্যালেন্ডার ইভেন্টগুলি দেখার জন্য কেবল পঠনযোগ্য অ্যাক্সেসের অনুরোধ করে:

https://accounts.google.com/o/oauth2/v2/auth?
 scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fyoutube.readonly&
 include_granted_scopes=true&
 state=state_parameter_passthrough_value&
 redirect_uri=http%3A%2F%2Flocalhost%2Foauth2callback&
 response_type=token&
 client_id=client_id

OAuth 2.0 ফ্লো সম্পন্ন করার পর, আপনাকে http://localhost/oauth2callback এ পুনঃনির্দেশিত করা হবে। আপনার স্থানীয় মেশিন যদি সেই ঠিকানায় কোনও ফাইল পরিবেশন না করে, তাহলে সেই URL টি 404 NOT FOUND ত্রুটি দেখাবে। পরবর্তী ধাপে ব্যবহারকারীকে আপনার অ্যাপ্লিকেশনে পুনঃনির্দেশিত করা হলে URI-তে ফেরত পাঠানো তথ্য সম্পর্কে আরও বিশদ বিবরণ দেওয়া হবে।

OAuth 2.0 এন্ডপয়েন্ট

ব্যবহারকারী আপনার অ্যাপ্লিকেশনটিকে একটি নির্দিষ্ট স্কোপে অ্যাক্সেস দিয়েছে কিনা তা পরীক্ষা করতে, অ্যাক্সেস টোকেন প্রতিক্রিয়ার scope ক্ষেত্রটি পরীক্ষা করুন। অ্যাক্সেস_টোকেন দ্বারা প্রদত্ত অ্যাক্সেসের স্কোপগুলি স্থান-বিভাজিত, কেস-সংবেদনশীল স্ট্রিংগুলির তালিকা হিসাবে প্রকাশ করা হয়।

উদাহরণস্বরূপ, নিম্নলিখিত নমুনা অ্যাক্সেস টোকেন প্রতিক্রিয়া ইঙ্গিত দেয় যে ব্যবহারকারী আপনার অ্যাপ্লিকেশনটিকে ব্যবহারকারীর YouTube ভিডিও, রেটিং, মন্তব্য এবং ক্যাপশন দেখার, সম্পাদনা করার এবং স্থায়ীভাবে মুছে ফেলার অনুমতি দিয়েছেন:

  {
    "access_token": "1/fFAGRNJru1FTz70BzhT3Zg",
    "expires_in": 3920,
    "token_type": "Bearer",
    "scope": "https://www.googleapis.com/auth/youtube.force-ssl",
    "refresh_token": "1//xEoDL4iW3cxlI7yDbSRFYNG01kVKM2C-259HOF2aQbI"
  }

OAuth 2.0 এন্ডপয়েন্ট

আপনার অ্যাপ্লিকেশনটি একটি অ্যাক্সেস টোকেন পাওয়ার পর, যদি API দ্বারা প্রয়োজনীয় অ্যাক্সেসের সুযোগ(গুলি) মঞ্জুর করা হয়ে থাকে, তাহলে আপনি একটি নির্দিষ্ট ব্যবহারকারী অ্যাকাউন্টের পক্ষ থেকে একটি Google API-তে কল করার জন্য টোকেনটি ব্যবহার করতে পারেন। এটি করার জন্য, একটি access_token ক্যোয়ারী প্যারামিটার অথবা একটি Authorization HTTP হেডার Bearer মান অন্তর্ভুক্ত করে API-এর অনুরোধে অ্যাক্সেস টোকেনটি অন্তর্ভুক্ত করুন। যখন সম্ভব হয়, HTTP হেডারটি পছন্দনীয়, কারণ সার্ভার লগে কোয়েরি স্ট্রিংগুলি দৃশ্যমান থাকে। বেশিরভাগ ক্ষেত্রেই আপনি Google API-তে আপনার কল সেট আপ করার জন্য একটি ক্লায়েন্ট লাইব্রেরি ব্যবহার করতে পারেন (উদাহরণস্বরূপ, YouTube Data API কল করার সময়)।

মনে রাখবেন যে YouTube ডেটা API শুধুমাত্র সেইসব YouTube কন্টেন্ট মালিকদের জন্য পরিষেবা অ্যাকাউন্ট সমর্থন করে যারা রেকর্ড লেবেল এবং মুভি স্টুডিওর মতো একাধিক YouTube চ্যানেলের মালিক এবং পরিচালনা করেন।

আপনি OAuth 2.0 Playground- এ সমস্ত Google API ব্যবহার করে দেখতে পারেন এবং তাদের স্কোপ দেখতে পারেন।

HTTP GET উদাহরণ

Authorization: Bearer HTTP হেডার ব্যবহার করে youtube.channels এন্ডপয়েন্টে (YouTube Data API) কল করলে এটি দেখতে নিচের মতো হতে পারে। মনে রাখবেন, আপনাকে নিজের অ্যাক্সেস টোকেন নির্দিষ্ট করতে হবে:

GET /youtube/v3/channels?part=snippet&mine=true HTTP/1.1
Host: www.googleapis.com
Authorization: Bearer access_token

access_token কোয়েরি স্ট্রিং প্যারামিটার ব্যবহার করে প্রমাণিত ব্যবহারকারীর জন্য একই API-তে একটি কল এখানে দেওয়া হল:

GET https://www.googleapis.com/youtube/v3/channels?access_token=access_token&part=snippet&mine=true

curl উদাহরণ

আপনি curl কমান্ড-লাইন অ্যাপ্লিকেশনের মাধ্যমে এই কমান্ডগুলি পরীক্ষা করতে পারেন। এখানে একটি উদাহরণ দেওয়া হল যা HTTP হেডার বিকল্প ব্যবহার করে (পছন্দের):

curl -H "Authorization: Bearer access_token" https://www.googleapis.com/youtube/v3/channels?part=snippet&mine=true

অথবা, বিকল্পভাবে, কোয়েরি স্ট্রিং প্যারামিটার বিকল্প:

curl https://www.googleapis.com/youtube/v3/channels?access_token=access_token&part=snippet&mine=true

জাভাস্ক্রিপ্ট নমুনা কোড

নিচের কোড স্নিপেটটি দেখায় কিভাবে CORS (ক্রস-অরিজিন রিসোর্স শেয়ারিং) ব্যবহার করে Google API-তে একটি অনুরোধ পাঠাতে হয়। এই উদাহরণে জাভাস্ক্রিপ্টের জন্য Google APIs ক্লায়েন্ট লাইব্রেরি ব্যবহার করা হয় না। তবে, আপনি যদি ক্লায়েন্ট লাইব্রেরি ব্যবহার নাও করেন, তবুও সেই লাইব্রেরির ডকুমেন্টেশনে থাকা CORS সহায়তা নির্দেশিকা সম্ভবত আপনাকে এই অনুরোধগুলি আরও ভালভাবে বুঝতে সাহায্য করবে।

এই কোড স্নিপেটে, access_token ভেরিয়েবলটি অনুমোদিত ব্যবহারকারীর পক্ষ থেকে API অনুরোধ করার জন্য আপনি যে টোকেনটি পেয়েছেন তা উপস্থাপন করে। সম্পূর্ণ উদাহরণটি দেখায় যে কীভাবে ব্রাউজারের স্থানীয় স্টোরেজে সেই টোকেনটি সংরক্ষণ করতে হয় এবং API অনুরোধ করার সময় এটি পুনরুদ্ধার করতে হয়।

var xhr = new XMLHttpRequest();
xhr.open('GET',
    'https://www.googleapis.com/youtube/v3/channels?part=snippet&mine=true&' +
    'access_token=' + params['access_token']);
xhr.onreadystatechange = function (e) {
  console.log(xhr.response);
};
xhr.send(null);

OAuth 2.0 এন্ডপয়েন্ট

এই কোড নমুনাটি জাভাস্ক্রিপ্টের জন্য Google APIs ক্লায়েন্ট লাইব্রেরি ব্যবহার না করেই জাভাস্ক্রিপ্টে OAuth 2.0 প্রবাহ কীভাবে সম্পূর্ণ করবেন তা দেখায়। কোডটি এমন একটি HTML পৃষ্ঠার জন্য যা একটি API অনুরোধ চেষ্টা করার জন্য একটি বোতাম প্রদর্শন করে। আপনি যদি বোতামটিতে ক্লিক করেন, তাহলে কোডটি পরীক্ষা করে দেখে যে পৃষ্ঠাটি আপনার ব্রাউজারের স্থানীয় স্টোরেজে একটি API অ্যাক্সেস টোকেন সংরক্ষণ করেছে কিনা। যদি তাই হয়, তাহলে এটি API অনুরোধটি কার্যকর করে। অন্যথায়, এটি OAuth 2.0 প্রবাহ শুরু করে।

OAuth 2.0 প্রবাহের জন্য, পৃষ্ঠাটি এই পদক্ষেপগুলি অনুসরণ করে:

1. এটি ব্যবহারকারীকে Google এর OAuth 2.0 সার্ভারের দিকে পরিচালিত করে, যা https://www.googleapis.com/auth/youtube.force-ssl স্কোপে অ্যাক্সেসের অনুরোধ করে।
2. এক বা একাধিক অনুরোধকৃত স্কোপে অ্যাক্সেস মঞ্জুর (বা অস্বীকার) করার পরে, ব্যবহারকারীকে মূল পৃষ্ঠায় পুনঃনির্দেশিত করা হয়, যা ফ্র্যাগমেন্ট আইডেন্টিফায়ার স্ট্রিং থেকে অ্যাক্সেস টোকেনটি পার্স করে।
3. কোন স্কোপ ব্যবহারকারী অ্যাপ্লিকেশনটিতে অ্যাক্সেস দিয়েছেন তা পৃষ্ঠাটি পরীক্ষা করে।

4. যদি ব্যবহারকারী অনুরোধকৃত scope(s) গুলিতে অ্যাক্সেস মঞ্জুর করে থাকেন, তাহলে পৃষ্ঠাটি নমুনা API অনুরোধ করার জন্য অ্যাক্সেস টোকেন ব্যবহার করে।

   এই API অনুরোধটি অনুমোদিত ব্যবহারকারীর YouTube চ্যানেল সম্পর্কে ডেটা পুনরুদ্ধার করার জন্য YouTube Data API এর channels.list পদ্ধতিকে কল করে।

5. যদি অনুরোধটি সফলভাবে কার্যকর হয়, তাহলে API প্রতিক্রিয়াটি ব্রাউজারের ডিবাগিং কনসোলে লগ করা হবে।

আপনার Google অ্যাকাউন্টের অনুমতি পৃষ্ঠার মাধ্যমে আপনি অ্যাপটিতে অ্যাক্সেস প্রত্যাহার করতে পারেন। ক্লায়েন্ট আইডি তৈরির সময় OAuth সম্মতি স্ক্রিনের মধ্যে ব্র্যান্ডিং পৃষ্ঠায় প্রদত্ত অ্যাপ্লিকেশনের নাম হিসাবে অ্যাপটি তালিকাভুক্ত করা হয়।

এই কোডটি স্থানীয়ভাবে চালানোর জন্য, আপনাকে YOUR_CLIENT_ID এবং YOUR_REDIRECT_URI ভেরিয়েবলের জন্য মান সেট করতে হবে যা আপনার অনুমোদন শংসাপত্রের সাথে সঙ্গতিপূর্ণ। YOUR_REDIRECT_URI ভেরিয়েবলটি একই URL এ সেট করা উচিত যেখানে পৃষ্ঠাটি পরিবেশন করা হচ্ছে। মানটি OAuth 2.0 ক্লায়েন্টের জন্য অনুমোদিত পুনর্নির্দেশ URI গুলির মধ্যে একটির সাথে হুবহু মিলতে হবে, যা আপনি Cloud ConsoleClients page। যদি এই মানটি কোনও অনুমোদিত URI-এর সাথে না মেলে, তাহলে আপনি একটি redirect_uri_mismatch ত্রুটি পাবেন। আপনার প্রকল্পে অবশ্যই এই অনুরোধের জন্য উপযুক্ত API সক্রিয় থাকতে হবে।

<html><head></head><body>
<script>
  var YOUR_CLIENT_ID = 'REPLACE_THIS_VALUE';
  var YOUR_REDIRECT_URI = 'REPLACE_THIS_VALUE';

  // Parse query string to see if page request is coming from OAuth 2.0 server.
  var fragmentString = location.hash.substring(1);
  var params = {};
  var regex = /([^&=]+)=([^&]*)/g, m;
  while (m = regex.exec(fragmentString)) {
    params[decodeURIComponent(m[1])] = decodeURIComponent(m[2]);
  }
  if (Object.keys(params).length > 0 && params['state']) {
    if (params['state'] == localStorage.getItem('state')) {
      localStorage.setItem('oauth2-test-params', JSON.stringify(params) );

      trySampleRequest();
    } else {
      console.log('State mismatch. Possible CSRF attack');
    }
  }

  // Function to generate a random state value
  function generateCryptoRandomState() {
    const randomValues = new Uint32Array(2);
    window.crypto.getRandomValues(randomValues);

    // Encode as UTF-8
    const utf8Encoder = new TextEncoder();
    const utf8Array = utf8Encoder.encode(
      String.fromCharCode.apply(null, randomValues)
    );

    // Base64 encode the UTF-8 data
    return btoa(String.fromCharCode.apply(null, utf8Array))
      .replace(/\+/g, '-')
      .replace(/\//g, '_')
      .replace(/=+$/, '');
  }

  // If there's an access token, try an API request.
  // Otherwise, start OAuth 2.0 flow.
  function trySampleRequest() {
    var params = JSON.parse(localStorage.getItem('oauth2-test-params'));
    if (params && params['access_token']) { 
      var xhr = new XMLHttpRequest();
      xhr.open('GET',
          'https://www.googleapis.com/youtube/v3/channels?part=snippet&mine=true&' +
          'access_token=' + params['access_token']);
      xhr.onreadystatechange = function (e) {
        if (xhr.readyState === 4 && xhr.status === 200) {
          console.log(xhr.response);
        } else if (xhr.readyState === 4 && xhr.status === 401) {
          // Token invalid, so prompt for user permission.
          oauth2SignIn();
        }
      };
      xhr.send(null); 
    } else {
      oauth2SignIn();
    }
  }

  /*
   * Create form to request access token from Google's OAuth 2.0 server.
   */
  function oauth2SignIn() {
    // create random state value and store in local storage
    var state = generateCryptoRandomState();
    localStorage.setItem('state', state);

    // Google's OAuth 2.0 endpoint for requesting an access token
    var oauth2Endpoint = 'https://accounts.google.com/o/oauth2/v2/auth';

    // Create element to open OAuth 2.0 endpoint in new window.
    var form = document.createElement('form');
    form.setAttribute('method', 'GET'); // Send as a GET request.
    form.setAttribute('action', oauth2Endpoint);

    // Parameters to pass to OAuth 2.0 endpoint.
    var params = {'client_id': YOUR_CLIENT_ID,
                  'redirect_uri': YOUR_REDIRECT_URI,
                  'scope': 'https://www.googleapis.com/auth/youtube.force-ssl',
                  'state': state,
                  'include_granted_scopes': 'true',
                  'response_type': 'token'};

    // Add form parameters as hidden input values.
    for (var p in params) {
      var input = document.createElement('input');
      input.setAttribute('type', 'hidden');
      input.setAttribute('name', p);
      input.setAttribute('value', params[p]);
      form.appendChild(input);
    }

    // Add form to page and submit it to open the OAuth 2.0 endpoint.
    document.body.appendChild(form);
    form.submit();
  }
</script>

<button onclick="trySampleRequest();">Try sample request</button>
</body></html>

OAuth 2.0 এন্ডপয়েন্ট

এই উদাহরণে, কলিং অ্যাপ্লিকেশনটি ব্যবহারকারীর YouTube Analytics ডেটা পুনরুদ্ধারের জন্য অ্যাক্সেসের অনুরোধ করে, পাশাপাশি ব্যবহারকারী ইতিমধ্যে অ্যাপ্লিকেশনটিকে যে অন্যান্য অ্যাক্সেস দিয়েছেন তাও অনুরোধ করে।

বিদ্যমান অ্যাক্সেস টোকেনে স্কোপ যোগ করতে, Google এর OAuth 2.0 সার্ভারে আপনার অনুরোধে include_granted_scopes প্যারামিটারটি অন্তর্ভুক্ত করুন।

নিচের কোড স্নিপেটটি কীভাবে এটি করতে হয় তা দেখায়। স্নিপেটটি ধরে নেয় যে আপনি ব্রাউজারের স্থানীয় স্টোরেজে আপনার অ্যাক্সেস টোকেন বৈধ এমন স্কোপগুলি সংরক্ষণ করেছেন। ( সম্পূর্ণ উদাহরণ কোডটি ব্রাউজারের স্থানীয় স্টোরেজে oauth2-test-params.scope সম্পত্তি সেট করে এমন স্কোপগুলির একটি তালিকা সংরক্ষণ করে।)

স্নিপেটটি সেই স্কোপগুলির তুলনা করে যেগুলির জন্য অ্যাক্সেস টোকেনটি বৈধ, আপনি একটি নির্দিষ্ট কোয়েরির জন্য যে স্কোপটি ব্যবহার করতে চান তার সাথে। যদি অ্যাক্সেস টোকেনটি সেই স্কোপটি কভার না করে, তাহলে OAuth 2.0 ফ্লো শুরু হয়। এখানে, oauth2SignIn ফাংশনটি ধাপ 2- এ প্রদত্ত ফাংশনের মতোই (এবং এটি পরে সম্পূর্ণ উদাহরণে প্রদান করা হয়েছে)।

var SCOPE = 'https://www.googleapis.com/auth/youtube.force-ssl';
var params = JSON.parse(localStorage.getItem('oauth2-test-params'));

var current_scope_granted = false;
if (params.hasOwnProperty('scope')) {
  var scopes = params['scope'].split(' ');
  for (var s = 0; s < scopes.length; s++) {
    if (SCOPE == scopes[s]) {
      current_scope_granted = true;
    }
  }
}

if (!current_scope_granted) {
  oauth2SignIn(); // This function is defined elsewhere in this document.
} else {
  // Since you already have access, you can proceed with the API request.
}

OAuth 2.0 এন্ডপয়েন্ট

প্রোগ্রাম্যাটিকভাবে একটি টোকেন প্রত্যাহার করতে, আপনার অ্যাপ্লিকেশনটি https://oauth2.googleapis.com/revoke এ একটি অনুরোধ করে এবং টোকেনটিকে একটি প্যারামিটার হিসাবে অন্তর্ভুক্ত করে:

curl -d -X -POST --header "Content-type:application/x-www-form-urlencoded" \
        https://oauth2.googleapis.com/revoke?token={token}

টোকেনটি একটি অ্যাক্সেস টোকেন অথবা একটি রিফ্রেশ টোকেন হতে পারে। যদি টোকেনটি একটি অ্যাক্সেস টোকেন হয় এবং এর সাথে সম্পর্কিত একটি রিফ্রেশ টোকেন থাকে, তাহলে রিফ্রেশ টোকেনটিও প্রত্যাহার করা হবে।

যদি প্রত্যাহার সফলভাবে প্রক্রিয়া করা হয়, তাহলে প্রতিক্রিয়ার HTTP স্থিতি কোড 200 হবে। ত্রুটির অবস্থার জন্য, একটি HTTP স্থিতি কোড 400 একটি ত্রুটি কোড সহ ফেরত পাঠানো হয়।

নিম্নলিখিত জাভাস্ক্রিপ্ট স্নিপেটটি জাভাস্ক্রিপ্টের জন্য Google APIs ক্লায়েন্ট লাইব্রেরি ব্যবহার না করে জাভাস্ক্রিপ্টে একটি টোকেন কীভাবে প্রত্যাহার করতে হয় তা দেখায়। যেহেতু টোকেন প্রত্যাহারের জন্য Google এর OAuth 2.0 এন্ডপয়েন্ট ক্রস-অরিজিন রিসোর্স শেয়ারিং (CORS) সমর্থন করে না, তাই কোডটি একটি ফর্ম তৈরি করে এবং অনুরোধ পোস্ট করার জন্য XMLHttpRequest() পদ্ধতি ব্যবহার না করে ফর্মটিকে এন্ডপয়েন্টে জমা দেয়।

function revokeAccess(accessToken) {
  // Google's OAuth 2.0 endpoint for revoking access tokens.
  var revokeTokenEndpoint = 'https://oauth2.googleapis.com/revoke';

  // Create <form> element to use to POST data to the OAuth 2.0 endpoint.
  var form = document.createElement('form');
  form.setAttribute('method', 'post');
  form.setAttribute('action', revokeTokenEndpoint);

  // Add access token to the form so it is set as value of 'token' parameter.
  // This corresponds to the sample curl request, where the URL is:
  //      https://oauth2.googleapis.com/revoke?token={token}
  var tokenField = document.createElement('input');
  tokenField.setAttribute('type', 'hidden');
  tokenField.setAttribute('name', 'token');
  tokenField.setAttribute('value', accessToken);
  form.appendChild(tokenField);

  // Add form to page and submit it to actually revoke the token.
  document.body.appendChild(form);
  form.submit();
}