我想重用Google Apps脚本项目的OAuth2客户端-秘密，以代表该脚本访问Google API（例如，通过Sheets API读取脚本具有访问权限的电子表格）。拥有Google帐户的用户被授予脚本所需的范围。现在我想用一个新的应用程序替换这个脚本，而不需要再次征求用户的同意。通常，当脚本（或应用程序）运行时，用户将处于脱机状态。

我的第一个问题是，如果这个场景是一个支持的带有Google API授权的OAuth2用例，如果是这样的话，实现它的最佳方法是什么，特别是防止安全问题？

1. OAuth2客户端-来自Google API控制台的脚本的秘密文件，在凭据下。另请参阅凭据、访问、安全和标识以及设置OAuth 2.0

client-secrets.json如下所示：

{"web":{
"client_id": "57...1t.apps.googleusercontent.com",
"project_id": "project-id-95...70",
"auth_uri": "https://accounts.google.com/o/oauth2/auth",
"token_uri": "https://accounts.google.com/o/oauth2/token",
"auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
"client_secret": "K2...y1",
"redirect_uris": ["https://script.google.com/oauthcallback"]
}}

该文件将与应用程序代码（应用程序引擎）一起部署。但另一个位置（如云存储）也是可能的。

在没有用户的情况下，我希望使用客户端ID和secret的作用域与最初授予脚本的作用域相同，以便从Google授权服务器获取访问令牌，如下所示：

HTTP 200 OK
Content-type: application/json
{
"access_token": "987tghjkiu6trfghjuytrghj",
"scope": "foo bar",
"token_type": "Bearer"
}

我希望使用HTTP承载头中的访问令牌来代表旧脚本对Sheets API进行请求。

我（有限）的理解是，我可以使用grant-typeclient_credentials从授权服务器获取访问令牌。请求如下所示：

POST /o/oauth2/token
Host: https://accounts.google.com
Content-Type: application/x-www-form-urlencoded
Accept: application/json
Authorization: Basic Base_64_string

grant_type=client_credentials&
scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fspreadsheets

其中，基本的HTTP授权是client_id:client_secret值，由冒号分隔，编码为base64。

如果我将grant_type或scope丢弃在正文中，就会得到相应的错误。

上述版本导致:{\n“error”：“invalid_request”\n}响应，未提供详细信息。我尝试在主体中使用client_id和client_secret，同时使用和不使用授权头，但都出现了相同的错误。