Обзор
Варианты авторизации
Для авторизации пользователей через Garpun Account в браузере используйте oauth2. Обычно oauth2 используется для реализации "Вход через Garpun". Минусы этого варианта при работе сервер-сервер в том, что при блокировке пользователя Garpun перестают работать refresh_token-ы, которые выпустил этот пользователь и надо опять проходить достаточно сложную процедуру получения refresh_token для другого пользователя. Также все логи взаимодействия с Garpun API будут записаны из-под этого пользователя.
Гораздо более удобный вариант для авторизации Сервер → Сервер - использование сервисного аккаунта
Передача access_token в api
Garpun выдает access_token в обмен на refresh токен, который получается при oauth2 авторизации или на jwt_assertion, который вы сможете сгенерировать с помощью ключа сервисного аккаунта.
Используйте готовые библиотеки от Google
Если вы используете сервисный аккаунт Garpun, то вы можете просто использовать библиотеки от Google, чтобы работать с Garpun API. Примеры есть на странице про сервисный аккаунт.
Authorization Header (предпочтительно)
Более безопасный вариант, так как авторизационные данные не сохраняются в логах прокси серверов, в отличие от передачи токена как параметр url.
Authorization: Bearer {access_token}
Параметр URL (не рекомендуется)
Вызов url api делается с передачей GET параметра запроса access_token
.
Не рекомендуется, так как это гораздо менее безопасный вариант авторизации, чем передача через заголовок http запроса.
https://......./?access_token={access_token}