Google Apps ScriptからTwitter APIをOAuth2.0認証で使う【GAS】

イーロン・マスクに買収されてしまったTwitter。其の結果、Twitter APIもいくつか大きな変更があり、前回の記事のコードだと動かないというケースが出てきました。それがOAuth2.0認証とツイートする部分。

前回のコードはOAuth1.0認証で、Twitter API v2を動かしていたのですが、今回はOAuth2.0認証をしてTwitter API v2を動かしています。前回の記事もできれば参照してみてください。

Google Apps ScriptからTwitter API v2を使ってツイートする【GAS】

今回使用するスプレッドシート

今回のファイルはOAuth1.0の処理は入っていません。また、OAuth2.0認証を行う仕組みとなっているため、前回とは異なる部分がいくつかあります。また、認証用のライブラリとしてOAuth2 library for Google Apps Scriptを利用しています。

前回のコードは以下のようなエラーメッセージが出てしまっており、Botも止まってしまっていました。故にOAuth1.0をやめて、OAuth2.0の認証に乗り換えてトライするのが目的です。

図:こんな感じでエラーが出てたのでこれをクリアする

サードパーティ締め出しの件について

概要

2023年1月13日付近から、Twitterクライアントのいくつかで接続出来なかったり、認証がそもそも出来ないなどの不具合がいくつも報告されている。有名どころのクライアントですら繋がらない状況。再認証が必要ですと出たまま認証も出来ずに使えないというのが主な現象。ただ、このページにあるようなWebAppの場合そのような報告が無いので、Standalone Appに関して起きてる様子。

このBAN祭り?とも言える現象についてまとめたスプレッドシートが有志から公開されている。

この件の続報として、どうやら広告収入に貢献しないので意図的に遮断してるという内部情報があるとかないとか。その理屈で行くと、将来的にTwitter API v2自体、使い続ける為には何らかの大きな制限が課せられるのではないかという憶測もある。

図:こんな感じで認証自体出来ない

買収後の履歴

※2023/1/20 - 続報として公式で明確にTwitterクライアントの禁止が明示されました。一斉にAppストアやPlayストアからもクライアントが消えてなくなりました。API自体はまだ廃止ということではないので、ウェブで使う分には問題なさそうです。

※2023/2/2 - Twitterから正式にTwitter APIの有料化が宣言されました。また、サードパーティクライアントの完全終了も宣言されています。よって、今後Twitter APIで手軽にBotを作成したり、ツイート内容を取得するといったことは課金しなければ出来ません。

※2023/2/14 - TwitterからAPIの有償化が再延期が発表。迷走しています。

※2023/2/18 - Twitterの2段階認証に於いてSMS認証が有償化しました。Twitter BlueでなければAuthenticatorアプリやGoogle Titan Keyなどを使っての二段階認証が必要になりました。

※2023/3/10 - Twitter APIの無償プランを廃止し、非常に高額なプランが策定中との情報。事実上のTwitter APIの終焉ではないかと思います。

※2023/3/30 - 公式発表で新APIが発表されて、Free, Basic($100/月), Enterprise(価格不明)で落ち着いたようです。Freeは残りましたが、既存のプランは全廃で移行が必須のようです。

※2023/4/6 - 今回のスクリプト再認証を実行してツイートを読み取ってみましたが、手直し無しで今は稼働中。

※2023/4/11 - Twitterという社名が消え、x.corpという社名に変更。旧無償プランが完全廃止。Standaloneが影響受けていて、OAuth2.0認証は影響受けていない様子(このスクリプトもReadでは動いています)

新APIの仕様について

3/30発表の新Twitter APIですが、以下のような仕様になっている模様。

  • 旧APIは30日後に廃止される(現在のStandard, Essential, Elevated, Premiumというプランがコレ)
  • Freeプランで利用できるのは1ID1アプリのみ。また書き込みは1500回/月と制限される(読み取りは出来ない模様)
  • Basicプランで利用できるのは1ID2アプリまで。書き込みは1ユーザ3000回/月、1アプリ50000回/月まで。読み取り上限は10000回/月まで。
  • この回数はリツイートやDM、ブックマーク登録の動作も1回とカウントされてしまう。
  • API経由での投稿は過去に全く同じ投稿をしてる場合エラーとなり投稿出来ない(You are not allowed to create a tweet with duplicate contentとなる。マスクがこの手の宣伝目的Botを嫌った為でしょう。)。何か投稿内容にちょっとした工夫が必要です。
  • 認証〜ツイートまでのコードはこのページで紹介してるOAuth2.0認証でV2 APIを叩くのと同じコードで行けるので修正は不要。

1アプリ1IDとなると、複数のGASから投稿したい場合コールバックURLで引っかかってしまうので投稿用のGASのライブラリを作り、Access Tokenなどは1箇所で管理するようにプロジェクトに工夫が必要。もしくは複数アカウント作成してそれぞれでClient IDを取るなどが必要になります。

図:Bot運用は出来なくなります

事前準備

GAS側の事前準備

ライブラリの追加

以下の手順でOAuth2 library for Google Apps Scriptライブラリを追加しましょう。

  1. スクリプトエディタを開きます。
  2. サイドバーよりより「ライブラリ」の+ボタンをクリック
  3. ライブラリを追加欄に「1B7FSrk5Zi6L1rSxxTDgDEUsPzlukDsi4KGuTMorsTQHhGBzBkMun4iDF」を追加します。
  4. 今回はバージョンは43を選択してみます。
  5. 保存ボタンを押して完了

これで、OAuth2.0認証にまつわる様々な関数を手軽に利用できるようになります。

図:ライブラリを追加した様子

コールバックURLを取得する

コールバックURLとは、認証を完了しAccess Tokenを取得したら戻るべきURLを指定するものです。これは、スクリプトIDをもとに作られているので、スクリプトIDを取得して組み立てます。

  1. スクリプトエディタのサイドバーより「プロジェクトの設定」を開く
  2. 情報の中にある「スクリプトID」を控えておく。
  3. https://script.google.com/macros/d/スクリプトID/usercallback として組み立てる。これがコールバックURLとなる。

図:スクリプトIDはファイル毎に異なるのです。

Twitter側の事前準備

アプリの作成

  1. Twitter DevelopersのDashboardにアクセスする
  2. 下のほうにある「Create App」をクリックする
  3. AppNameを指定します。今回は「tweetgasdata2」と命名しました。同じ名前は利用出来ないので、誰かが取ってると使えません。
  4. 作成が完了したら一旦dashboardに戻ると生成されてるのでクリックする
  5. User authentication settingsのところのeditをクリックする
  6. App permissionsはRead and Writeを選択
  7. Type of AppはWeb App, Automated App or Botを選択する
  8. Callback URI / Redirect URLには、前述のコールバックURLを入れる
  9. 自身のwebsite urlを入れる
  10. Saveをクリックする

元の画面に戻って、tweetgasdata2のプロジェクトページにある「Keys and tokens」を開き、OAuth 2.0 Client ID and Client Secretという項目を見ましょう。Client IDはすでに生成されてるのでこれを控えておきます。Client SecretはRegenerateをクリックすると生成されるので控えておきます。

注意点として、最初の1個目はstandardアプリとして作れますが、2個目以降はstand aloneアプリとなり、こちらではGASからはツイートは出来ません(403エラーになります)

図:設定画面が結構変わっていた

図:ClientIDとSecret

利用制限

※この項目は3/30の新API登場により変更されています。前述の新APIの仕様をご覧ください。

Twitter API v2のQuotaを調べて見ると、以下のような制限があります。

  • ツイートは15分、1アプリ当たり300件(ユーザ単位だと900件まで) - v1エンドポイントの場合
  • ツイートは15分、1アプリ当たり200件 - v2エンドポイントの場合
  • また、v2エンドポイントでの投稿の場合、3時間以内にユーザ・アプリ毎に300リクエストまでという追加規制があります。
  • いいねは、24時間当たり1000リクエストまで
  • ツイートの取得は1リクエスト100件まで(100件を超える部分は、next tokenでの取得が必要)

他にも細かな項目ごとにリミットが掛けられているので、利用する場合には意識する必要があります。特に同じアプリを複数で共有する場合、あっという間にリミットに達してしまうので要注意。応答ヘッダーにその内容がx-rate-limitとして含まれているので、エラー処理を加えたい場合には考慮すると良いでしょう。超過すると429エラー(Too Many Request)が返ってきます。

また、API KeyはPermissionを変更すると使えなくなるので、再度生成する必要性があります。

同じようなキーワードでの検索の場合、リアルタイムでなければスプレッドシートにキャッシュしておいて、それを返すようにしておくと、リクエスト数を減らす事が可能(キャッシュはトリガー使用で1時間ごとに1回取得などにしておくと良いでしょう)。また、連続して大量のツイートを取得するようなケースでは、リミットに抵触しないように、Utilities.sleepでスリープ処理を入れるべきでしょう。

申請不要で使えるようになりました

※この項目は3/30の新API登場により変更されています。前述の新APIの仕様をご覧ください。

2021年11月15日、Twitter API v2が正式なAPIとしてv1から移行され、同時にこれまで煩雑な申請が必要であったAPI利用申請ですが、「Essensial」というレベルであれば、申請不要で利用可能になりました。その上位の「Elevated」というレベルでは申請が必要です。既にAPI利用申請を出して取得済みの人は、自動的にElevatedレベルになります(Elevated+やAcademic Researchという研究用レベルも用意されています。)

  • Essential : 1アプリケーション、50万ツイート/月の取得まで
  • Elevated : 3アプリケーション、200万ツイート/月の取得まで

となっています。詳細はこちらのURLより

図:自動的にElevatedになってた

OAuth2.0認証を行う処理を作る

ここまでで事前準備が完了し、あとは認証を実行してAccess Tokenを取得すればツイートの実行準備はすべて完了になります。認証部分のコードを作成しましょう。なお、Access Tokenの寿命は2時間ですが、ライブラリが自動的にRefresh Tokenで更新してくれるのでRefresh Tokenで更新するようなコードは不要です。

GAS側コード

大きく変更されたのは、Scopeという項目が増えた点。ここで明示的に利用するScopeを指定しておく必要があります。ツイートを投稿する場合でもtweet.writeとtweet.readの2つが必要になるので注意。また、OAuth2.0ではoffline.accessも必要となります。

さらに大きな変更として、code_challenge_methodとcode_challenge、setTokenHeaderの部分。

code_challengeはRFC7636の既定に基づき、48〜128文字のランダムな文字列を指定したcode_verifier(コード中のpossibleという変数の部分)というものをcode_challenge_methodで算出した値を入れる必要がある。この計算用の関数をこちらのサイトの方が作っていらっしゃったので利用いたしました(pkceChallengeVerifierという関数がそれになります。)。

code_challenge_methodはS256を指定します。

setTokenHeaderでは、client_idとclient_secretをbase64encodeしたBasic認証を作ってヘッダに加える必要があります。この辺りの下りはここのドキュメントに記載されています。

  • 取得したAPI Key、API Secretをそれぞれコード内に記述します。
  • 今回利用するv2用のエンドポイントは、https://api.twitter.com/2/tweetsとなっています
  • startoauthを実行して認証を実行すれば、スクリプトプロパティにAccess Tokenが格納されます。
  • 認証時に次項のTemplate.htmlが呼び出され、認証完了するとCallback URLに指定したURLにアクセスされて、authCallBackが実行されます。
  • reset関数はログアウトされて、再度認証ができるようになります。

HTML側コード

template.htmlというダイアログ用のファイルを用意します。ここでアクセス承認を実行し、ログインをすると、アクセストークンその他が取得可能になります。

  • 実際にこれらのコードで、startoauthを実行すると、スプレッドシート上で認証用のダイアログが出ます。
  • 認証でtwitterにログインします
  • 取得したAccess Tokenほかはスクリプトプロパティのtwitterという項目にガッツリ値が格納されます。

図:認証実行のダイアログがこちら

ツイート関係の処理

エンドポイントの情報は以下の通りです

認証の実行

スプレッドシートを開き直して、メニューより「OAuth認証」を開くと、「認証の実行」があるので、クリックして実行します。ダイアログが出てくるので、ちょっと待つとアクセス認証の文字が出てくるのでクリックし、Twitterの認証画面が出てくるので、アプリにアクセスを許可をクリックします

実行するとAccess Tokenが取得されてスクリプトプロパティに格納され、認証が完了します。

図:認証を実行してみた

取得したTokenを確認

スクリプトエディタのスクリプトプロパティには取得すたAccess Token等の情報が格納されているのでそれで確認が可能です。

図:無事取得出来てるのを確認する

ツイートの実行

エンドポイントに対してPOSTでリクエストをする必要があります。メッセージはJSON.stringifyでくくってpayloadとして送り込むことになります。注意点として同じツイートを連続して送ることが出来ません。エラーとなります(スパム対策と思われる)。

図:GASから実行した結果

ツイートを取得してみる

エンドポイントURLに対して、GETメソッドで投げる必要性があります。リクエストパラメータが変更されていて、しかも公式ドキュメントが非常に読みにくい物になっています。今回はクエリの指定にて最新の40件だけ取得するようにしています。

キーワード検索で「Google Apps Script」に関するものに対して、リツイートを除外し日本語だけのものをkeywordに指定しています。1度に20件ずつ取得が可能で、next_tokenを使って次の20件を取得する事が可能です。

図:Tweetを取得することが出来ました。

実装事例サンプル

今回のOAuth2.0認証を装備し直したTwitter API v2を叩くGoogle Apps Scriptのコードで、GAS最新情報にて利用してるRSSリーダーを実装し直しました。現在Version 5.0としてスプレッドシートも公開しています。

GAS最新情報

関連リンク

Google Apps ScriptからTwitter APIをOAuth2.0認証で使う【GAS】” に対して2件のコメントがあります。

  1. YANMMER より:

    はじめまして
    すいませんが教えていただきたいことがありコメントします。
    BOTではなくシート上の内容を手動でツイートしたいのですが
    その場合の記述はどうなりますでしょうか
    よろしくお願いいたします。

    1. officeの杜 より:

      YANMMERさん

      officeの杜管理人です。
      結局のところ、testtweet2関数にテキストの引数を渡し、messageの部分に入れてツイートすることになるので、予めスプレッドシートの塊を取得し、ループで回して、必要なものだけtesttweet2関数に渡して上げれば良いです。

コメントを残す

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください。