Обзор

Варианты авторизации

Для авторизации пользователей через Garpun Account в браузере используйте oauth2. Обычно oauth2 используется для реализации "Вход через Garpun". Минусы этого варианта при работе сервер-сервер в том, что при блокировке пользователя Garpun перестают работать refresh_token-ы, которые выпустил этот пользователь и надо опять проходить достаточно сложную процедуру получения refresh_token для другого пользователя. Также все логи взаимодействия с Garpun API будут записаны из-под этого пользователя.

Гораздо более удобный вариант для авторизации Сервер → Сервер - использование сервисного аккаунта

Передача access_token в api

Garpun выдает access_token в обмен на refresh токен, который получается при oauth2 авторизации или на jwt_assertion, который вы сможете сгенерировать с помощью ключа сервисного аккаунта.

Используйте готовые библиотеки от Google

Если вы используете сервисный аккаунт Garpun, то вы можете просто использовать библиотеки от Google, чтобы работать с Garpun API. Примеры есть на странице про сервисный аккаунт.

Authorization Header (предпочтительно)

Более безопасный вариант, так как авторизационные данные не сохраняются в логах прокси серверов, в отличие от передачи токена как параметр url.

Authorization: Bearer {access_token}

Параметр URL (не рекомендуется)

Вызов url api делается с передачей GET параметра запроса access_token. Не рекомендуется, так как это гораздо менее безопасный вариант авторизации, чем передача через заголовок http запроса.

https://......./?access_token={access_token}