Mit dem OAuth-Validierungstesttool für die Google-Kontoverknüpfung wird Ihre OAuth-Implementierung getestet, um zu prüfen, ob Google auf die Endpunkte zugreifen kann und ob die Endpunkte die erwarteten Antworten für eine gültige Google-Kontoverknüpfung zurückgeben.
Testtool verwenden
- Wenn Sie sich noch nicht im Tool angemeldet haben, melden Sie sich mit Ihrem Google-Konto an. Klicken Sie dazu auf die Schaltfläche Anmelden.
Verknüpfen Sie Ihr Konto mit dem Demotool für die Google-Kontoverknüpfung. Sie sollten das Konto verwenden, mit dem Sie auch das Validierungstesttool ausführen.
Geben Sie Ihre Projekt-ID ein und klicken Sie auf die Schaltfläche Ausführen. Sie sollte mit der Dienst-ID übereinstimmen, die Sie im vorherigen Schritt zum Verknüpfen Ihres Kontos verwendet haben.
Toolanleitung
Test zur Validierung von Zugriffstokens
Die von Ihrem Tokenaustausch-Endpunkt zurückgegebenen Zugriffstokens werden validiert, um sicherzustellen, dass die Antworten das richtige Format haben und ein gültiges Aktualisierungstoken zurückgegeben wird.
| Test | Erklärung |
|---|---|
| Validieren, dass das Zugriffstoken nicht im JWT-Format vorliegt | Die Google-Kontoverknüpfung unterstützt JWT nicht für Zugriffstokens. Wenn JWT erkannt wird, wird die folgende Warnung angezeigt:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Validieren, dass ein ablaufendes Zugriffstoken ein Aktualisierungstoken hat | Wenn das Zugriffstoken abläuft, muss ein Aktualisierungstoken angegeben werden. Dieser Test schlägt fehl, wenn kein Aktualisierungstoken gefunden wird. |
Test zur Validierung von Aktualisierungstokens
Aktualisierungstokens werden getestet, um sicherzustellen, dass sie von Ihrem Tokenaustausch-Endpunkt ordnungsgemäß gegen neue Zugriffstokens ausgetauscht werden.
| Test | Erklärung |
|---|---|
| Antwort auf ungültiges Aktualisierungstoken validieren | Ihr Server sollte bei einer Anfrage für ein ungültiges Aktualisierungstoken den HTTP-Fehler 400 Bad Request mit {"error": "invalid_grant"} zurückgeben. Wenn die Antwort nicht mit dem Fehlercode oder der Fehlermeldung übereinstimmt, schlägt dieser Testfall fehl. Weitere Informationen finden Sie unter Aktualisierungstokens gegen Zugriffstokens austauschen. |
| Aktualisierung des Zugriffstokens validieren | Als Antwort auf Anfragen für Aktualisierungstokens sollten neue Zugriffstokens zurückgegeben werden. Wenn Ihr Server dasselbe Zugriffstoken bereitstellt, schlägt der Testfall fehl. |
| Validieren, dass ein nicht abgelaufenes Zugriffstoken funktioniert | |
| Validieren, dass das Aktualisierungstoken während der Aktualisierung nicht rotiert wurde | Wir prüfen, ob sich Aktualisierungstokens nach einer Anfrage für ein Aktualisierungstoken ändern. Wenn sich das Aktualisierungstoken ändert, sollte Ihr Server ein altes Aktualisierungstoken erst ungültig machen, nachdem ein neues verwendet wurde. So lassen sich Race-Bedingungen vermeiden, die die Kontoverknüpfung eines Nutzers unterbrechen können. Der Test schlägt fehl, wenn Sie das alte Aktualisierungstoken ungültig machen, bevor das neue ausgestellt wurde. |