Inhoudsopgave

Grondbeginselen

01 Wat het is 02 Vervaldatum

Belangrijke scenario's

03 7-daagse val 04 Levenslang

Code & Fouten

05 Hoe te verversen 06 ongeldige_verlening

Beheerde Oplossing

07 Beheerd (Unipile)Beste FAQ FAQ

Google OAuth - Ontwikkelaarsgids

Google OAuth Vernieuw TokenVervaldatum, 7-dagenlimiet & levensduur uitgelegd (2026)

Q: Verlopen Google OAuth refresh tokens?

Ja, Google OAuth vernieuwingstokens kunnen onder 6 specifieke omstandigheden verlopen: (1) de app bevindt zich in de testmodus - tokens verlopen na 7 dagen; (2) het token is 6 maanden niet gebruikt (inactiviteit); (3) de gebruiker wijzigt zijn Google-wachtwoord en de app heeft Gmail- of gevoelige e-mailbereiken; (4) de limiet van 50 vernieuwingstokens per client-gebruiker wordt overschreden en het oudste token wordt stilzwijgend ingetrokken; (5) de gebruiker trekt expliciet de toegang in via de instellingen van het Google-account; (6) de app vraagt gevoelige of beperkte bereiken aan zonder de Google-verificatie te voltooien. In productie met een geverifieerde app zijn tokens effectief permanent, tenzij een van deze omstandigheden wordt geactiveerd.

Q: Hoe lang is een Google OAuth-vervaltokens geldig?

De levensduur van een Google OAuth refresh token is afhankelijk van de verificatiestatus van de app. Voor niet-geverifieerde apps in testmodus verlopen tokens na 7 dagen. Voor gepubliceerde, geverifieerde apps is er geen vaste vervaldatum; tokens blijven onbeperkt geldig, tenzij de gebruiker de toegang intrekt, het wachtwoord wijzigt (voor Gmail-bereiken), het token 6 maanden ongebruikt blijft, of de limiet van 50 tokens per client-gebruiker wordt overschreden.

Q: Waarom verloopt mijn Google OAuth-vernieuwingstoken na 7 dagen?

De vervaltermijn van 7 dagen geldt wanneer de status van het OAuth-toestemmingsscherm van uw app is ingesteld op Testen in de Google Cloud Console en de app niet door Google is geverifieerd. Google handhaaft deze limiet om gebruikers te beschermen tegen niet-geverifieerde applicaties. De oplossing is om uw app te publiceren (status wijzigen naar In Productie) en het verificatieproces voor Google OAuth te voltooien, of om een interne Google Workspace-app te gebruiken die niet onder deze beperking valt.

Q: Hoe houd ik een Google OAuth refresh token in leven?

Om te voorkomen dat een Google OAuth-vernieuwings-token verloopt vanwege inactiviteit, gebruik het ten minste één keer per 6 maanden om een nieuwe toegangstoken te verkrijgen. Een maandelijks geplande aanroep naar het Google-token-eindpunt (https://oauth2.googleapis.com/token) met grant_type=refresh_token is voldoende om de inactiviteitstimer te resetten. Sla vernieuwingstokens veilig op aan de serverzijde en vraag gebruikers nooit opnieuw om toestemming, tenzij de token daadwerkelijk ongeldig is, om de limiet van 50 tokens per client-gebruiker niet te overschrijden.

Q: Uitzonderingen op de `invalid_grant` fout bij het vernieuwen van een Google OAuth-token: * **Onjuist of verlopen refresh token:** Dit is de meest voorkomende oorzaak. Het refresh token dat wordt gebruikt om een nieuw access token te verkrijgen, is ongeldig, verlopen, ingetrokken of is niet correct gegenereerd. * **Scope-wijziging:** Als de gebruiker de scopes heeft ingetrokken of gewijzigd voor de oorspronkelijke autorisatie, kan het refresh token ongeldig worden. * **Gebruiker heeft de autorisatie ingetrokken:** Als de gebruiker de toegang tot uw toepassing heeft ingetrokken via de Google-accountinstellingen, wordt het refresh token ongeldig. * **Token al gebruikt:** Een refresh token is bedoeld om één keer te worden gebruikt om een nieuw access token te verkrijgen. Als het wordt hergebruikt, wordt het ongeldig. * **Foutieve aanvraagparameters:** Zorg ervoor dat de aanvraag voor het vernieuwen van het token de juiste parameters bevat, zoals `client_id`, `client_secret`, `refresh_token` en het juiste endpoint (`https://oauth2.googleapis.com/token`). * **Oude beveiligingsinstellingen:** Als de gebruiker beveiligingsinstellingen in zijn Google-account heeft gewijzigd, zoals het inschakelen van tweefactorauthenticatie nadat de oorspronkelijke autorisatie heeft plaatsgevonden, kan dit soms problemen veroorzaken. * **Tijd synchronisatie problemen:** Hoewel zeldzaam, kunnen problemen met tijdssynchronisatie tussen de client en de server leiden tot problemen met tokenvalidatie. **Hoe dit op te lossen:** Om dit probleem op te lossen, is de meest effectieve aanpak meestal om de gebruiker opnieuw te laten autoriseren. Dit betekent dat de gebruiker de autorisatiestroom opnieuw moet doorlopen om een nieuw, geldig refresh token te verkrijgen. Vervolgens kunt u dit nieuwe refresh token gebruiken om access tokens te verkrijgen.

De invalid_grant-fout bij een refresh token-uitwisseling wordt veroorzaakt door: het verlopen token (7 dagen testlimiet of 6 maanden inactiviteit), de gebruiker heeft de toegang ingetrokken, het token is verdrongen door de limiet van 50 tokens per client-gebruiker, de gebruiker heeft het Google-wachtwoord gewijzigd met actieve gevoelige scopes, of overeenkomende clientgegevens ontbreken. Het foutantwoord is: {"error": "invalid_grant", "error_description": "Token has been expired or revoked."}. Wanneer u deze fout ontvangt, verwijder het opgeslagen token en vraag de gebruiker om opnieuw te autoriseren.

Q: Hoe krijg ik een nieuwe Google OAuth refresh token zonder opnieuw om gebruikersgoedkeuring te vragen?

Je kunt niet zomaar een nieuwe Google OAuth refresh token krijgen zonder toestemming van de gebruiker – dat is zo ontworpen. Refresh tokens worden alleen uitgegeven tijdens de OAuth autorisatieflow wanneer de gebruiker expliciet toegang verleent. Als je token is verlopen of ingetrokken, moet je de gebruiker opnieuw naar Google's autorisatie-endpoint leiden. Om herautorisatieverzoeken te minimaliseren, bewaar tokens aan de serverzijde, implementeer keep-alive refreshes en vraag nooit onnodig opnieuw om toestemming. Door `prompt=consent` toe te voegen, wordt een nieuw toestemmingsscherm afgedwongen en wordt een nieuwe token uitgegeven, maar dit telt ook mee voor de limiet van 50 tokens per client-gebruiker.

Q: Hoe ververs ik programmatisch een Google OAuth-toegangstoken?

Om een Google OAuth access token te vernieuwen, stuur een POST-verzoek naar https://oauth2.googleapis.com/token met de volgende body parameters: client_id (de client-id van je Google Cloud-app), client_secret (je clientgeheim), refresh_token (de opgeslagen Google OAuth2-vernieuwingstoken) en grant_type ingesteld op refresh_token. De respons bevat een nieuwe access_token die 3600 seconden geldig is. Als de respons een foutveld met invalid_grant bevat, is de vernieuwingstoken niet langer geldig en moet de gebruiker opnieuw autoriseren.

Google OAuth-vernieuwingstokens gaan niet eeuwig mee. Begrijp elke vervalvoorwaarde - van de 7-daagse testvalkuil tot de 6-maanden inactiviteitsregel - en leer hoe u uw Gmail API-integratie in productie levend kunt houden.

Bouw het met Unipile Documenten bekijken

ververs_token.py

importeer verzoekt

#: vervang het vernieuwingstoken door een nieuw toegangstoken

response = requests.post(

    "https://oauth2.googleapis.com/token",

    data={

        "client_id":     "UW_KLANT_ID",

        "client_geheim": "UW_GEHEIM",

        "vernieuwings_token": "1//0g...",

        "grant_type":    "vernieuwings_token"
    }

)

token = respons.json()["toegangstoken"]

200 OK - toegangstoken geldig voor 3600s

Gegevensverwerking Opmerking

Hoe Unipile omgaat met OAuth-tokens en gebruikersgegevens

Unipile slaat OAuth-tokens niet op in een parallel archief of maakt onafhankelijke gegevenskopieën buiten de geauthenticeerde sessie. Tokenopslag- en vernieuwingsbewerkingen zijn uitsluitend gekoppeld aan de sessie van elke gebruiker. geverifieerde gebruiker die expliciet toegang heeft verleend. Geen tokendata wordt gedeeld tussen accounts of bewaard buiten het door de gebruiker gedefinieerde autorisatiebereik.

Hoe Unipile Werkt

Unipile als onafhankelijke technische tussenpersoon

Unipile fungeert als een onafhankelijke technische tussenpersoon, Gmail API en OAuth-tokenbewerkingen uitvoeren namens iedere geauthenticeerde gebruiker die afzonderlijk toegang heeft verleend. Unipile is niet verbonden met, goedgekeurd door of gesponsord door Google. Er worden geen gedeelde inloggegevens gebruikt. Elke integratie is afhankelijk van de eigen Google OAuth-toestemming van de gebruiker, uitgegeven via hun eigen Google Cloud-project of via Unipile's CASA Tier 2 gecertificeerde OAuth-flow.

Platformlimieten en verantwoord gebruik

Limieten en quotabeheer

Unipile fungeert als tussenpersoon voor de API-limieten en quota-beperkingen van Google, zoals gedefinieerd door het beleid van Google. De frequentie van verzoeken, volumebeslissingen en gebruikspatronen blijven beslissing aan klantzijde. . Ontwikkelaars zijn verantwoordelijk voor het waarborgen dat hun integratie voldoet aan de Servicevoorwaarden van Google, inclusief beleid voor het afhandelen van OAuth-tokens en bereiken voor gegevens toegang. Unipile biedt infrastructuur - beleidsnaleving is de verantwoordelijkheid van elke ontwikkelaar.

Definitie

Wat is een Google OAuth vernieuwingstoken?

Voordat we ingaan op vervalregels, is het nuttig om precies te begrijpen wat een Google OAuth vernieuwingstoken is, wat het doet en hoe het verschilt van een toegangstoken in de Google OAuth2-stroom.

Snelle definitie

A Google OAuth vernieuwingstoken is een langdurig credential dat is uitgegeven door de autorisatieserver van Google en waarmee uw toepassing nieuwe toegangstokens kan verkrijgen zonder dat de gebruiker opnieuw hoeft te authenticeren. In tegenstelling tot toegangstokens (die na 3.600 seconden verlopen), blijft een Google OAuth-vernieuwingstoken bestaan gedurende meerdere sessies - onderhevig aan specifieke vervalvoorwaarden - en wordt het pas uitgegeven wanneer de access_type=offline parameter is opgenomen in het autorisatieverzoek.

01

Gebruiker geeft toestemming

De geauthenticeerde gebruiker keurt de door uw app aangevraagde scopes goed op het toestemmingsscherm van Google. Met access_type=offline, Google geeft zowel een toegangstoken als een vernieuwingstoken uit.

02

Toegangstoken verloopt (1u)

Toegangstokens hebben een vaste TTL van 3.600 seconden. Zodra deze verlopen zijn, retourneert elke API-aanroep een 401 Unauthorized-fout. Je app moet de vernieuwingstoken inwisselen voor een nieuwe toegangstoken.

03

Vernieuwingstokenuitwisseling

een POST naar https://oauth2.googleapis.com/token met grant_type=refresh_token geeft een nieuwe toegangstoken terug. De Google OAuth-verversingstoken zelf blijft geldig (tenzij een van de 6 vervoorwaarden voor verlopen optreedt).

Toegangstoken versus Google OAuth2-vernieuwingstoken in één oogopslag

Token type Toegangstoken kortstondig bearer-token

Token type Vernieuwingssleutel - langdurig inloggegevens

Levenslang 3.600 seconden (1 uur), altijd

Levenslang Onbepaald in productie (zie 6 voorwaarden)

Vereiste parameter Automatisch afgegeven bij elke toestemming

Vereiste parameter access_type=offline moet ingesteld worden

Opmaak voorvoegsel Korte JWT beginnend met ya29.

Opmaak voorvoegsel Lange ondoorzichtige tekenreeks beginnend met 1//

Vervalsperioden

Verlopen Google refresh tokens? De 6 voorwaarden

Ja, een Google OAuth-vernieuwingstoken kan verlopen - maar alleen onder specifieke omstandigheden. Het begrijpen van elk geval is cruciaal voor elke Gmail API integratie die onbeheerd moet draaien. Hier zijn alle zes scenario's voor het verlopen van Google OAuth-vernieuwings tokens die u in productie moet afhandelen.

#	Conditie	Wanneer het afgaat	Ernst	Repareer
1	App in testmodus - 7 dagen limiet	OAuth-instelscherm is "Testen" en app is niet geverifieerd door Google	Kritiek	Publiceer de app of gebruik een interne Workspace-app
2	6 maanden inactiviteit	Token is al 6 maanden niet gebruikt om een toegangstoken te verkrijgen	Medium	Implementeer keep-alive pings; gebruik token ten minste elke 6 maanden
3	Gebruiker wijzigt Google-wachtwoord	Wordt alleen toegepast op tokens met Gmail- of gevoelige mail scopes	Medium	OAuth-stroom opnieuw initialiseren; autorisatie opnieuw vragen
4	50 vernieuwingstokens per client-gebruiker paar	Gebruiker autoriseert uw app meer dan 50 keer; oudste tokens stilzwijgend ingetrokken	Medium	Sla tokens server-side op; vraag nooit opnieuw tenzij het token ongeldig is
5	Gebruiker trekt expliciet toegang in	Gebruiker bezoekt Google Accountinstellingen en verwijdert uw app	Verwacht	Vangen `ongeldige_verlening`; opgeslagen token verwijderen; geef opnieuw toestemming
6	Gevoelig/beperkt bereik - app niet geverifieerd	App-verzoeken hebben beperkte bereiken zonder Google-verificatie te doorlopen	Kritiek	Voltooi Google OAuth-verificatie of verkleinen tot niet-gevoelige bereiken

Kerninzicht: De limiet van 7 dagen (voorwaarde 1) is de meest voorkomende oorzaak van verbroken integraties tijdens de ontwikkeling. Dit geldt alleen wanneer de status van het OAuth-toestemmingsscherm van uw app "Testen" is en de app NIET is ingediend voor Google-verificatie. De Google OAuth verificatieproces is de permanente oplossing - maar het kost tijd. Zie sectie 3 voor snellere oplossingen.

Kritieke situatie

De 7-dagen-testval: waarom het gebeurt, hoe je eruit komt

De 7-daagse vervaldatum van de Google OAuth refresh token is het meest storende probleem dat ontwikkelaars tegenkomen tijdens integratie. Het verrast teams: alles werkt tijdens de ontwikkeling, tokens stoppen met verversen precies 7 dagen later, en de foutmelding komt vaak dagen nadat de gebruiker de app heeft geautoriseerd.

Waarom verloopt de Google OAuth-vernieuwingstoken na 7 dagen?

Wanneer de status van het OAuth-toestemmingsscherm van een app is ingesteld op "Testen" in de Google Cloud Console, behandelt Google het als een niet-geverifieerde toepassing. Om gebruikers te beschermen, verloopt Google automatisch alle verlooftokens die zijn uitgegeven door niet-geverifieerde apps na precies 7 dagen. Dit beleid wordt gedocumenteerd in de OAuth 2.0-documentatie van Google en is van toepassing, ongeacht hoe vaak de gebruiker de app heeft geautoriseerd. De limiet is ook van toepassing op de 100 proefgebruikerslimiet voor apps in testmodus. Zodra een Google OAuth-vernieuwingstoken onder deze regel verloopt, retourneert elke poging om het te gebruiken ongeldige_verlening.

3 oplossingen: verplaatsen van testen naar productie

01

Permanente Oplossing

Publiceer je app en voltooi de Google-verificatie

Wijzig de status van het OAuth-instemmingsscherm van uw app van "Testen" naar "Productie" in de Google Cloud Console. Voor apps die gevoelige of beperkte Gmail-scopes, je moet de volledige voltooien Google OAuth app-verificatieproces, inclusief een beveiligingsaudit. Eenmaal gepubliceerd, Het Google OAuth-verificatietoken heeft een levensduur van onbepaalde duur. (onder voorbehoud van de overige 5 voorwaarden).

02

Dev/Intern

Gebruik een interne Google Workspace-app

Als uw app alleen wordt gebruikt binnen een Google Workspace organisatie, stel het OAuth-scherm voor toestemming in op gebruikerstype "Intern". Interne apps zijn niet onderworpen aan de 7-daagse vervaldatum of de limiet van 100 testgebruikers. Tokens die worden uitgegeven aan Workspace-gebruikers onder interne apps, verlopen niet op basis van de testmodusregel. Dit is de snelste route voor B2B SaaS-producten met Google Workspace-klanten.

03

Snelste route

Gebruik Unipile's gecertificeerde OAuth-stroom

Unipile opereert als een onafhankelijke technische tussenpersoon namens iedere geauthenticeerde gebruiker. Onze OAuth-flow is CASA Tier 2-gecertificeerd. U kunt direct testen met niet-verlopende tokens, terwijl uw eigen Google OAuth-verificatie is in behandeling, ga daarna over op Bring-Your-Own-Credentials (BYOC) zodra deze is goedgekeurd. Geen 7-daagse limiet tijdens je POC-fase.

Vermijd de 7-daagse valkuil tijdens uw POC

Bouw vandaag nog uw Gmail-integratie met tokens die niet na 7 dagen verlopen. Unipile beheert de vernieuwing van tokens aan de serverzijde.

Beginnen met bouwen

Productie

Google OAuth vernieuwingstoken levensduur in productie

Zodra je app is gepubliceerd en geverifieerd, wordt de levensduur van de Google OAuth refresh token effectief onbeperkt - maar met belangrijke kanttekeningen. De twee belangrijkste productieregels zijn de limiet van 50 tokens per client-gebruiker en de vervaldatum van 6 maanden inactiviteit.

6-maanden inactiviteitsregel

Een Google OAuth refresh token verloopt als het niet is gebruikt om een nieuwe access token te verkrijgen gedurende 6 opeenvolgende maanden. "Gebruikt" betekent een succesvolle token refresh-oproep - geen API-oproep die is gemaakt met de resulterende access token. Sla refresh tokens op en plan periodieke stille refreshes om ze in leven te houden. Een maandelijks pingje om /token is voldoende.

Google OAuth-verloop van vernieuwingstokens in Google Workspace

Voor Google Workspace-apps met gebruikerstype "Intern" geldt geen 7-daagse vervaltermijn en geen verificatievereiste. Tokens blijven de 6 maanden inactiviteitsregel naleven en de 50-token limiet per client-gebruiker paar. Workspace-beheerders kunnen tokens ook organisatiebreed intrekken via de Admin Console, wat applicatie-level tokenbeheer overschrijft.

De limiet van 50 vernieuwingstokens per client-gebruiker

Google staat maximaal 50 vernieuwingstokens per OAuth-client-id + Google-gebruikersaccountcombinatie. Als uw app een nieuwe refresh token genereert (door de gebruiker opnieuw te vragen met toestemming) buiten deze limiet, ongeldig maakt Google in stilte het oudste token. Dit is een veelvoorkomende oorzaak van ongeldige_verlening fouten in productie wanneer teams gebruikers herhaaldelijk opnieuw autoriseren tijdens test- of opnieuw-onboardings-workflows. De oplossing is simpel: sla de refresh token aan de serverzijde op en vraag er nooit opnieuw om, tenzij de token daadwerkelijk ongeldig is.

Wat telt als het "gebruiken" van een Google OAuth2-vernieuwingstoken:

Telt als gebruik: POST naar https://oauth2.googleapis.com/token met grant_type=refresh_token dat retourneert een nieuwe toegangstoken

Telt NIET mee als gebruik: Gmail API-aanroepen maken met de huidige toegangstoken, zelfs miljoenen ervan

Telt NIET mee als gebruik: bellen tokeninfo of introspectie-eindpunten - alleen het tokenuitwisselings-eindpunt reset de inactiviteitstimer

Codevoorbeelden

Hoe vernieuw je een toegangstoken: curl, Node.js, Python

Wanneer je toegangstoken verloopt, moet je je Google OAuth-vernieuwingstoken inwisselen voor een nieuwe. Hier zijn productierijpe codevoorbeelden voor drie gangbare omgevingen. Alle drie maken gebruik van dezelfde Google OAuth-token-eindpunt.

ververs.sh

# Een Google OAuth-toegangstoken vernieuwen met curl

krul -s -X POST \

  "https://oauth2.googleapis.com/token" \

  -H "Content-Type: application/x-www-form-urlencoded" \

  -d "client_id=JOUW_CLIENT_ID" \

  -d "client_secret=JOUW_CLIENT_GEHEIM" \

  -d "ververs_token=JOUW_VERVERSING_TOKEN" \

  -d "grant_type=refresh_token"

#-antwoord: { "access_token": "ya29.XXX", "expires_in": 3600, "token_type": "Bearer" }

Geeft nieuwe access_token terug die 3600 seconden geldig is

ververs_token.py

importeer verzoekt

importeer json


def ververs_google_toegangstokenverversings_token: straal) -> straal:

    "Ruil een Google OAuth refresh token in voor een nieuwe access token."

    response = requests.post(

        "https://oauth2.googleapis.com/token",

        data={

            "client_id":     "UW_KLANT_ID",

            "client_geheim": "JE_CLIENTGEHEIM",

            "vernieuwings_token"vervangende_token,

            "grant_type":    "vernieuwings_token",

        },

    )

    data = antwoord.json()

    als "fout" in gegevens

        verhogen WaardeError(f"Tokenvernieuwing mislukt: {data['error']} - {data.get('error_description')}")

    return gegevens["toegangstoken"]

Verhoogt ValueError bij ongeldige_grant - berechting en herautoriseren gebruiker

refreshToken.js

// Vernieuw een Google OAuth toegangstoken - Node.js (fetch)

async function verversGoogleToegangstoken(vernieuwenToken) {

  const param = nieuw URLSearchParams({

    client_id:     "UW_KLANT_ID",

    client_geheim: "JE_CLIENTGEHEIM",

    verversingstoken: verversingstoken,

    grant_type:    "vernieuwings_token",

  });


  const resultaat = wacht op fetch("https://oauth2.googleapis.com/token", {

    method: "POST",

    headers: { "Content-Type": "application/x-www-form-urlencoded" },

    body: params.toString(),

  });


  const gegevens = wacht op res.json();

  als (fout.gegevens) gooi nieuw Fout(`${data.error}: ${data.error_description}`);

  return data.toegangstoken; // geldig voor 3600s

}

Fout treedt op.error === "invalid_grant" - trigger opnieuw authenticeren

Interactief testen: Gebruik de Google OAuth Playground om de refresh token flow te testen zonder code te schrijven. Hiermee kun je tokens verkrijgen, antwoorden inspecteren en de volledige Google OAuth2 refresh token levenscyclus debuggen in een browser UI.

Foutafhandeling

ongeldige_toekenning: snelle handleiding

Wanneer een Google OAuth-vernieuwingstoken verlopen, ingetrokken of ongeldig is, retourneert het token-eindpunt een ongeldige_verlening Fout. Dit is het canonieke teken dat uw Google OAuth vernieuwingstoken niet langer bruikbaar is. Hier zijn de meest voorkomende oorzaken en hun directe oplossingen.

{ "fout": "invalid_grant", "fout_omschrijving": "Token is verlopen of ingetrokken." }

01

7 dagen houdbaar (testmodus)

App is in de status "Testen". Token is na 7 dagen verlopen. Oplossing: app publiceren of overschakelen naar interne Workspace.

02

6 maanden inactiviteit

Token 6 maanden niet gebruikt. Oplossing: implementeer keep-alive vernieuwing; plan maandelijkse tokenwissel.

03

50-tokenlimiet overschreden

Gebruiker heeft te vaak toestemming gegeven; oudste token stilzwijgend ingetrokken. Oplossing: tokens aan serverzijde opslaan, nooit onnodig opnieuw vragen.

04

Gebruiker heeft de toegang ingetrokken

Gebruiker heeft je app verwijderd uit de instellingen van het Google-account. Oplossing: verwijder opgeslagen token; toon gebruiker opnieuw een autorisatieprompt.

05

Wachtwoord wijzigen (Gmail-scopes)

Gebruiker heeft Google-wachtwoord gewijzigd terwijl uw app gevoelige Gmail-scopes heeft. Oplossing: vang fout af, vraag om herautorisatie.

06

Onjuiste gegevens of kopieerfout

client_id/geheim is ongeldig, of het token is uitgegeven door een andere app. Oplossing: controleer de gegevens; test met de OAuth Speeltuin.

Voor een volledige uitsplitsing van elke Google OAuth-foutcode met HTTP-status, oorzaaktabel en code-niveau oplossingen, zie de volledige Google OAuth fouten referentiegids.

Bouw je vernieuwingsflow met Unipile

Beheerde Oplossing

Beheerde vernieuwingstokens met Unipile

Het bouwen en onderhouden van een robuuste Google OAuth refresh token levenscyclus is non-triviaal technisch werk. Unipile fungeert als een onafhankelijke technische tussenpersoon namens elke geauthenticeerde gebruiker, het afhandelen van tokenopslag, vernieuwingsplanning en foutherstel aan de serverzijde - zodat uw team functies levert in plaats van te debuggen ongeldige_verlening om 2 uur 's nachts.

Tokenopslag & automatische vernieuwing

Unipile slaat de refresh tokens van uw gebruikers versleuteld op aan de serverzijde en vernieuwt proactief access tokens voordat ze verlopen. Geen 401-fouten bereiken uw applicatie.

CASA Tier 2 gecertificeerde OAuth-stroom

Unipile's eigen OAuth-applicatie heeft de CASA Tier 2 beveiligingsbeoordeling doorstaan. Tijdens uw PoC autoriseren uw gebruikers via de geverifieerde flow van Unipile – er geldt geen testlimiet van 7 dagen.

Breng-uw-eigen-inloggegevens (BYOC)

Wanneer uw eigen Google OAuth-verificatie is goedgekeurd, schakelt u over naar de BYOC-modus: uw gebruikers autoriseren via uw eigen geverifieerde Google-app, terwijl Unipile de infrastructuur voor het vernieuwen van tokens blijft beheren.

Verenigde API voor Gmail, Outlook en IMAP

Unipile biedt een enkele Gmail API abstractielaag die ook Outlook (Microsoft 365 + Exchange Online) en IMAP dekt - elk met zijn eigen beheerde tokenlevenscyclus, zodat u nooit provider-specifieke vernieuwingslogica hoeft te implementeren.

Proof of concept naar productie in 3 stappen

01

POC met Unipile sleutel: Verbind uw eerste geauthenticeerde gebruikers onmiddellijk via Unipile's CASA Tier 2 flow. Geen 7-daagse vervaldatum. Volledige Gmail API-toegang via Unipile's uniforme endpoint.

02

Gelijktijdig certificeren: Dien je eigen Google-app in voor OAuth-verificatie terwijl je integratie in productie draait. Unipile ondersteunt dit parallelle traject.

03

Overstap naar BYOC: Zodra Google uw app heeft goedgekeurd, activeert u de Bring-Your-Own-Credentials-modus. De levensduur van uw Google OAuth-vernieuwingstoken wordt onbeperkt in productie. Unipile blijft de infrastructuur voor vernieuwingen beheren.

Unipile E-mail API - Berichten weergeven (Gmail, beheerde tokens) Geen tokenbeheer nodig

# E-mails weergeven via Unipile – vernieuwingstoken wordt serverzijde afgehandeld

importeer verzoekt


headers = {

    "X-API-SLEUTEL": "UW_UNIPILE_API_SLEUTEL",

    "accepteren":    "application/json",

}


# account_id = ID van het gekoppelde account van de geauthenticeerde gebruiker

response = requests.get(

    "https://api7.unipile.com:13046/api/v1/emails",

    params={"account_id": "acc_XXXXXXXX"},

    headers=headers,

)


Het # Google OAuth-vernieuwingstoken wordt automatisch vernieuwd door Unipile

emails = antwoord.json()["items"]

Bouw uw Gmail-integratie Lees de documentatie

Google OAuth Vernieuwingstoken - Veelgestelde Vragen

Veelgestelde vragen over de Google OAuth refresh token verval, levensduur en de Google OAuth2 refresh token levenscyclus.

01 Verlopen Google OAuth refresh tokens?

Ja, onder 6 specifieke voorwaarden. De meest voorkomende is de 7-daagse testlimiet: als uw app de status "Testen" heeft in Google Cloud Console, vervallen alle vernieuwingstokens na 7 dagen. In productie met een geverifieerde app zijn tokens effectief permanent, tenzij: (1) 6 maanden niet gebruikt, (2) gebruiker de toegang intrekt, (3) wachtwoordwijziging met Gmail-scopes, (4) limiet van 50 tokens wordt overschreden, of (5) app verificatie verliest voor gevoelige scopes. Begrijpen Google OAuth-verificatie is de sleutel om onverwachte vervaldatum te vermijden.

02 Hoe lang is een Google OAuth-vervaltokens geldig?

Google OAuth-verstellingstokenlevensduur hangt af van de status van je app. In testmodus: 7 dagen maximum, ongeacht gebruik. In productie (geverifieerde app)geen vaste vervaldatum - tokens blijven onbeperkt geldig zolang ze minstens één keer per 6 maanden worden gebruikt, de limiet van 50 tokens niet wordt overschreden en de gebruiker de toegang niet heeft ingetrokken. Interne Google Workspace-apps hebben ook geen 7-daagse limiet.

03 Waarom verloopt mijn Google OAuth-vernieuwingstoken na 7 dagen?

De Google OAuth-vernieuwings token 7 dagen vervaltijd is van toepassing wanneer de status van uw OAuth-toestemmingsscherm in de Google Cloud Console "Testen" is. Google legt deze limiet op aan alle niet-geverifieerde applicaties als veiligheidsmaatregel. Het valt ook samen met de 100 testgebruikerslimiet. De oplossing is om je app te publiceren en de Google OAuth-verificatie te voltooien (voor productie) of de app naar "Intern" te zetten als deze alleen voor Workspace is.

04 Hoe houd ik een Google OAuth refresh token in leven?

Om te voorkomen dat de google oauth2 vernieuwingstoken vervalt wegens 6 maanden inactiviteit: plan een maandelijkse POST naar https://oauth2.googleapis.com/token met grant_type=refresh_token. Dit reset de inactiviteitsteller. Merk op dat het doen van Gmail API-aanroepen met de bestaande toegangstoken niet telt als "gebruik" van de refresh token - alleen de endpoint voor tokenuitwisseling reset de timer. Sla tokens aan de serverzijde op en vraag gebruikers nooit onnodig opnieuw om binnen de limiet van 50 tokens te blijven.

05 Uitzonderingen op de `invalid_grant` fout bij het vernieuwen van een Google OAuth-token: * **Onjuist of verlopen refresh token:** Dit is de meest voorkomende oorzaak. Het refresh token dat wordt gebruikt om een nieuw access token te verkrijgen, is ongeldig, verlopen, ingetrokken of is niet correct gegenereerd. * **Scope-wijziging:** Als de gebruiker de scopes heeft ingetrokken of gewijzigd voor de oorspronkelijke autorisatie, kan het refresh token ongeldig worden. * **Gebruiker heeft de autorisatie ingetrokken:** Als de gebruiker de toegang tot uw toepassing heeft ingetrokken via de Google-accountinstellingen, wordt het refresh token ongeldig. * **Token al gebruikt:** Een refresh token is bedoeld om één keer te worden gebruikt om een nieuw access token te verkrijgen. Als het wordt hergebruikt, wordt het ongeldig. * **Foutieve aanvraagparameters:** Zorg ervoor dat de aanvraag voor het vernieuwen van het token de juiste parameters bevat, zoals `client_id`, `client_secret`, `refresh_token` en het juiste endpoint (`https://oauth2.googleapis.com/token`). * **Oude beveiligingsinstellingen:** Als de gebruiker beveiligingsinstellingen in zijn Google-account heeft gewijzigd, zoals het inschakelen van tweefactorauthenticatie nadat de oorspronkelijke autorisatie heeft plaatsgevonden, kan dit soms problemen veroorzaken. * **Tijd synchronisatie problemen:** Hoewel zeldzaam, kunnen problemen met tijdssynchronisatie tussen de client en de server leiden tot problemen met tokenvalidatie. **Hoe dit op te lossen:** Om dit probleem op te lossen, is de meest effectieve aanpak meestal om de gebruiker opnieuw te laten autoriseren. Dit betekent dat de gebruiker de autorisatiestroom opnieuw moet doorlopen om een nieuw, geldig refresh token te verkrijgen. Vervolgens kunt u dit nieuwe refresh token gebruiken om access tokens te verkrijgen.

ongeldige_verlening betekent je google oauth vernieuwingstoken verlopen is getriggerd of de token is ongeldig. Hoofdoorzaken: token verlopen (7-daagse testlimiet of 6 maanden inactiviteit), gebruiker heeft de toegang ingetrokken in de instellingen van het Google-account, de limiet van 50 tokens per clientgebruiker is overschreden en deze token is vervangen, wachtwoordwijziging met Gmail-scopes, of niet-overeenkomende clientgegevens. Zie het volledige Google OAuth foutenhandleiding voor gedetailleerde herstelstappen per oorzaak.

06 Hoe krijg ik een nieuwe Google OAuth refresh token zonder opnieuw om gebruikersgoedkeuring te vragen?

Je kunt geen nieuwe Google OAuth-vernieuwingssleutel verkrijgen zonder tussenkomst van de gebruiker - dat is zo ontworpen. Vernieuwingssleutels worden alleen uitgegeven tijdens het autorisatieproces met toestemming van de gebruiker. Als je sleutel is verlopen of is ingetrokken, moet je de gebruiker opnieuw door het OAuth-proces leiden. Toevoegen toestemming forceren een nieuw toestemmingsscherm en geven een nieuwe token uit, maar tellen mee voor de limiet van 50 tokens. De beste aanpak is om verlenging in de eerste plaats te voorkomen: tokens veilig opslaan, keep-alive ververssingen implementeren en omgaan met ongeldige_verlening fouten gracieus af door herautorisatie alleen te vragen wanneer dat nodig is.

07 Hoe ververs ik programmatisch een Google OAuth-toegangstoken?

POST naar https://oauth2.googleapis.com/token met Content-Type: application/x-www-form-urlencoded en body-parameters: klant_id, cliënt_geheim, vernieuwingstokenen grant_type=refresh_token. De respons retourneert een nieuwe toegangstoken geldig voor 3.600 seconden. Als het antwoord bevat "fout": "invalid_grant", de Google API vernieuwingstoken is niet langer geldig en herautorisatie van de gebruiker is vereist. Zie de codevoorbeelden in sectie 5 voor implementaties in curl, Python en Node.js.

Nog steeds vragen over Google OAuth refresh tokens? Ons team staat klaar om te helpen.

Praat met een expert

Google OAuth Vernieuwingstoken: Vervaldatum, Limiet van 7 dagen & Levensduur Uitgelegd (2026)

Google OAuth Vernieuw TokenVervaldatum, 7-dagenlimiet & levensduur uitgelegd (2026)

Wat is een Google OAuth vernieuwingstoken?

Verlopen Google refresh tokens? De 6 voorwaarden

De 7-dagen-testval: waarom het gebeurt, hoe je eruit komt

Google OAuth vernieuwingstoken levensduur in productie

Hoe vernieuw je een toegangstoken: curl, Node.js, Python

ongeldige_toekenning: snelle handleiding

Beheerde vernieuwingstokens met Unipile

Google OAuth Vernieuwingstoken - Veelgestelde Vragen

Laten we integreren
in 2 dagen

Video snel aan de slag

Unipile's Gidsen

Word lid van onze gemeenschap

Bedrijf

Producten

Gebruikscases

Oplossingen

Ontwikkelaars

Bronnen

Google OAuth Vernieuwingstoken: Vervaldatum, Limiet van 7 dagen & Levensduur Uitgelegd (2026)

Google OAuth Vernieuw TokenVervaldatum, 7-dagenlimiet & levensduur uitgelegd (2026)

Wat is een Google OAuth vernieuwingstoken?

Verlopen Google refresh tokens? De 6 voorwaarden

De 7-dagen-testval: waarom het gebeurt, hoe je eruit komt

Google OAuth vernieuwingstoken levensduur in productie

Hoe vernieuw je een toegangstoken: curl, Node.js, Python

ongeldige_toekenning: snelle handleiding

Beheerde vernieuwingstokens met Unipile

Meer bronnen in de Google OAuth-serie

Google OAuth Vernieuwingstoken - Veelgestelde Vragen

Laten we integrerenin 2 dagen

Video snel aan de slag

Unipile's Gidsen

Word lid van onze gemeenschap

Bedrijf

Producten

Gebruikscases

Oplossingen

Ontwikkelaars

Bronnen

Laten we integreren
in 2 dagen