Google 帐号关联 OAuth 验证测试工具会测试您的 OAuth 实现,以验证 Google 是否能够访问端点,以及端点是否返回有效 Google 帐号关联实现所需的响应。
使用测试工具
- 如果您尚未登录该工具,请使用登录按钮登录您的 Google 帐号。
使用 Google 帐号关联演示工具关联您的帐号。您应该使用运行验证测试工具的那个帐号进行关联。
输入您的 Project ID,然后点击 Run 按钮。此 ID 应与您在上一步中关联帐号时使用的服务 ID 相同。
工具指南
访问令牌验证测试
系统会验证从您的令牌交换端点返回的访问令牌,以确保响应采用正确的格式,并且能够返回有效的刷新令牌。
| 测试 | 说明 |
|---|---|
| 验证访问令牌不是 JWT 格式 | Google 帐号关联不支持 JWT 访问令牌。如果检测到 JWT,系统会显示以下警告:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| 验证可过期的访问令牌是否具有刷新令牌。 | 当访问令牌过期时,必须提供刷新令牌。如果找不到刷新令牌,此测试将失败。 |
刷新令牌验证测试
系统会测试刷新令牌,以确保您的令牌交换端点能以正确的令牌交换新的访问令牌。
| 测试 | 说明 |
|---|---|
| 验证无效的刷新令牌响应。 | 您的服务器应向无效刷新令牌请求返回包含 {"error": "invalid_grant"} 的 HTTP 400 Bad Request 错误。如果响应与错误代码或消息不匹配,此测试用例将会失败。如需了解详情,请参阅使用交换刷新令牌获取访问令牌。 |
| 验证访问令牌刷新。 | 应该返回新的访问令牌以响应刷新令牌请求。如果您的服务器提供相同的访问令牌,测试用例将会失败。 |
| 验证未过期的访问令牌是否有效。 | |
| 验证刷新令牌是否未在刷新期间轮替。 | 我们检查在刷新令牌请求之后是否更改了刷新令牌。如果刷新令牌发生变化,您的服务器应该只在使用新的刷新令牌后让旧的刷新令牌失效,以防出现破坏用户账户关联的竞态条件。如果您在系统发出新刷新令牌之前使旧的刷新令牌失效,则该测试将失败。 |