SerpBear项目中Google Ads刷新令牌保存错误的解决方案

问题背景

在使用SerpBear v2.0.2版本时，用户遇到了Google Ads集成失败的问题，具体表现为系统报错"Error Saving the Google Ads Refresh Token"，并显示"redirect_uri_mismatch"的错误详情。这个问题出现在用户通过DuckDNS配置的域名和端口转发环境中。

环境配置情况

用户已经完成了以下配置：

1. 通过DuckDNS设置了域名解析
2. 在路由器上配置了端口转发（将外部端口13000映射到内部3000端口）
3. 在Portainer中设置了NEXT_PUBLIC_APP_URL环境变量为http://XXXXX.duckdns.org:13000
4. 配置了API URL为http://XXXXX.duckdns.org:13000/api/adwords

问题分析

虽然Google Search Console集成和网页抓取功能工作正常，但Google Ads集成失败。错误信息"redirect_uri_mismatch"表明OAuth认证流程中的重定向URI不匹配。这通常发生在：

1. Google Cloud控制台中配置的授权重定向URI与应用实际使用的URI不一致
2. 使用了不安全的HTTP协议而非HTTPS
3. 端口号配置不正确

解决方案

经过验证，解决此问题的关键在于使用HTTPS证书。以下是具体解决方案：

1. 获取SSL证书：为DuckDNS域名配置有效的SSL证书
2. 启用HTTPS：将NEXT_PUBLIC_APP_URL环境变量从HTTP改为HTTPS
3. 更新API URL：同样将API URL改为HTTPS协议
4. 确保Google Cloud控制台配置：确认Google Cloud项目中OAuth同意屏幕和凭据页面配置的重定向URI与应用实际使用的HTTPS URI完全一致

技术原理

Google OAuth 2.0认证对安全性有严格要求，特别是在生产环境中：

1. HTTPS要求：Google OAuth要求所有回调URL必须使用HTTPS协议（localhost测试环境除外）
2. 精确匹配：重定向URI必须与Google Cloud控制台中配置的URI完全一致，包括协议、域名、端口和路径
3. 刷新令牌安全：刷新令牌的存储和传输需要安全连接，以防止中间人攻击

实施建议

1. 使用Let's Encrypt等免费证书服务为DuckDNS域名获取SSL证书
2. 配置反向代理（如Nginx）处理SSL终止和端口转发
3. 在Google Cloud控制台中更新所有相关的OAuth重定向URI
4. 测试时清除浏览器缓存和Cookie，确保使用最新的配置

总结

通过为外部访问URL配置HTTPS证书，成功解决了SerpBear中Google Ads集成时的刷新令牌保存错误。这验证了Google OAuth 2.0对生产环境安全性的严格要求，也提醒开发者在配置外部访问时需要注意协议安全性。