Firebase 如何正确启动Gmail Watch的OAuth流？

我正试图代表我网站的用户启动Gmail Watch，并根据我在相应的PubSub主题上获得的historyId获取消息。 我有GCP+Firebase在后端，Angular 7在前端。 我在这里面临两个问题：

在前端执行此操作似乎是正确的方法，使用GrantofLeaceAccess，因为它在同意屏幕上很好地请求所需的修改范围。然而，我得到的是一个身份验证代码，我无法找到如何从中获取访问和刷新令牌，以及如何在后端云函数python部分中使用它

如果我在后端尝试这一点（这是可行的），我必须从python启动流，将重定向发送到Angular并在那里弹出同意url。这看起来已经很糟糕了，因为“同意”屏幕没有显示任何关于您授予的内容。然后我需要一个重定向url，它不能是一个云函数url，因为我不能将其列入白名单（可以验证域），所以它现在从角度处理并发送回。例如，MyOAuth重定向在前端处理，这似乎也不是正确的方法

你能告诉我怎么做吗

谢谢