首先，你不需要直接把idToken传入OAuth2调用里——One Tap登录返回的SignInCredential已经包含了关联用户账户的关键信息，我们可以直接用它来衔接Google Drive API的授权流程，不用手动处理idToken。下面是具体的实现步骤和解释：

1. 从SignInCredential中提取用户账户 #

当你通过oneTapClient.getSignInCredentialFromIntent(result.data)拿到SignInCredential后，可以直接从中获取用户的Google账户对象：

val signInCredential = oneTapClient.getSignInCredentialFromIntent(result.data)
// 获取用户的Google账户
val googleAccount = signInCredential.account

2. 关联GoogleAccountCredential与该账户 #

接下来，初始化GoogleAccountCredential时，把上面拿到的googleAccount设置为selectedAccount即可——这一步会自动关联用户已通过One Tap验证的身份，无需额外传入idToken：

// 初始化Drive API所需的凭据，指定权限范围
val driveCredential = GoogleAccountCredential.usingOAuth2(
    this,
    Collections.singleton(Scopes.DRIVE_FILE)
).apply {
    // 关联One Tap登录得到的账户
    selectedAccount = googleAccount
}

3. 构建并使用Drive服务 #

现在你可以用这个driveCredential构建Drive服务实例，后续的API调用会自动处理OAuth令牌的获取、刷新逻辑：

val driveService = Drive.Builder(
    AndroidHttp.newCompatibleTransport(),
    GsonFactory.getDefaultInstance(),
    driveCredential
).setApplicationName(getString(R.string.app_name))
 .build()

// 示例：调用Drive API获取文件列表
val files = driveService.files().list().execute()

关于OAuth令牌的手动获取（如果需要） #

如果你的业务场景中确实需要直接拿到OAuth访问令牌，可以通过GoogleAccountCredential的相关方法获取：

try {
    val accessToken = driveCredential.token
    // 使用accessToken做自定义处理
} catch (e: GoogleAuthException) {
    // 处理授权异常
} catch (e: IOException) {
    // 处理IO异常
}

关键注意事项 #

• 确保你在One Tap登录的请求中，已经包含了Drive API所需的权限范围（比如Scopes.DRIVE_FILE），否则即使启用了API，后续调用也会提示权限不足。你可以在构建One Tap请求时通过setScopes()添加：

  val signInRequest = BeginSignInRequest.builder()
      // 其他配置...
      .setScopes(Scope(Scopes.DRIVE_FILE))
      .build()
  

• idToken主要用于后端验证用户身份（比如传给你的服务器做校验），而客户端调用Google API时，依赖的是GoogleAccountCredential管理的OAuth令牌，它会自动处理令牌的生命周期（包括过期刷新）。

内容的提问来源于stack exchange，提问作者VB Dane