前提

GoogleOAuth2.0をある程度知っている

環境

フロント Next.js
バックエンド Go(gin)
OAuth2.0ライブラリ

	"golang.org/x/oauth2"
	googleOAuth "golang.org/x/oauth2/google"
	v2 "google.golang.org/api/oauth2/v2"

結論

フロントからGoogleの認証画面にリダイレクトする際に叩くURLのパラメータを確認する。
access_type=offlineとapproval_prompt=forceをクエリパラメータにつける。

https://accounts.google.com/o/oauth2/auth
?client_id=hogehogehoge
&redirect_uri=http://localhost:3000/login
&response_type=code
&scope=openid email profile
&access_type=offline
&approval_prompt=force

どういうことか

最後のaccess_type=offlineとapproval_prompt=forceがついていないと、Googleの同意画面が簡略化されたものになる。
→ 簡略化というと語弊があるが、ユーザー目線でいうと、アカウント選ぶだけ終わる。
しかし、これらのパラメータがつくと、アカウントを選んだ後にさらに同意画面が出てくる。
→ ユーザー目線では『このアプリを信用しますか？』はいorいいえ 的な選択が挟まる。

いずれの場合も完了後、自分のアプリへのリダイレクト時にcodeは発行される。
しかし、その後のフローとして自身のバックエンドでcodeを使って、認証を行った時のOAuthのレスポンスが異なる。
先述のGoogleの画面でユーザーが同意画面で同意した場合にのみ、リフレッシュトークンを得ることができる。

func (g *GoogleOAuthManager) GetAccessToken(code string) (oAuthInfo *OAuthInfo, err error) {
	utils.LogMessage(utils.Debug, "GetAccessToken")
	cxt := context.Background()

	tokenInfo, _ := g.Config.Exchange(cxt, code)
	if tokenInfo == nil {
		utils.LogMessage(utils.Error, "failed get google token")
		return nil, errors.New("failed get google token")
	}
println(tokenInfo.RefreshToken) // ここが空かどうかが変わる

使い道（ただ当たり前のこと書いてます。。。）

バックエンドでユーザーのトークンの期限の管理や認証情報のリフレッシュの制御に合わせて、
細かいカスタマイズが可能。

ユーザー登録の際には同意画面を表示させ、リフレッシュトークンを発行する。
それ以降は、ログイン画面として簡略バージョンの認証画面にしておく。
毎回同意画面を表示させることなく、ボタン一発のスムーズなログインを実現することでユーザビリティに貢献できる。

基本的にアクセストークンはリフレッシュトークンやログインのたびに頻繁に更新するが、
リフレッシュトークンは頻繁に更新するようなものではない。
しかし、セキュリティ上の理由で、ユーザーのリフレッシュトークンごと更新したいケースがあるかもしれない。
バックエンド側で判定ロジックを組めば、意図的にユーザーに同意を求めることができる。

つぶやき

久々に触ったら30分ほど溶かしたので、備忘録を残しておきました。
誰かの役に立てばと。。。
（ネットでいっぱい出てくるけど。）

approval_prompt=forceは古いという情報があるが、私の環境だとこれで動くんだよね。。。なんだろうか。