Devo dire che la documentazione di Google sulla loro libreria Oauth2 per Google App Script non mi è affatto chiara. Con ogni probabilità è un problema mio e della mia scarsa dimestichezza con il tema da un lato e con Javascript dall’altro.
Alla fine sono dovuto andarmi a leggere il codice sorgente per capire nel dettaglio il comportamento di un paio di funzioni, service.isAuthorized() per dirne una. Non avevo realizzato che essa stessa provvede al refresh del token nel caso in cui questo sia necessario.
Per questa ragione alla fine ho duplicato del codice che non era necessario.
E’ altrettanto vero che implementare in maniera corretta un processo di autenticazione con oauth richiede una configurazione “pensata” da entrambi i lati della barricata. Scope, validità dei token, formato dei token, endpoint, eccetera eccetera.
Mi sa che devo scrivere qualche test in più per essere sicuro di avere fatto tutto nel modo corretto.