Mit dem OAuth-Validierungstesttool für die Google-Kontoverknüpfung wird Ihre OAuth-Implementierung geprüft, um sicherzustellen, dass Google auf die Endpunkte zugreifen und dass die Endpunkte die für eine gültige Implementierung der Google-Kontoverknüpfung erwarteten Antworten zurückgeben kann.
Testtool verwenden
- Wenn Sie sich noch nicht im Tool angemeldet haben, melden Sie sich über die Schaltfläche Anmelden mit Ihrem Google-Konto an.
Verknüpfen Sie Ihr Konto mit dem Demotool zur Google-Kontoverknüpfung. Sie sollten dasselbe Konto verknüpfen, mit dem Sie das Tool für den Validierungstest ausführen.
Geben Sie Ihre Projekt-ID ein und klicken Sie auf die Schaltfläche Ausführen. Diese sollte mit der Dienst-ID übereinstimmen, mit der Sie Ihr Konto im vorherigen Schritt verknüpft haben.
Tool-Leitfaden
Test zur Validierung von Zugriffstokens
Die von deinem Token-Austausch-Endpunkt zurückgegebenen Zugriffstokens werden geprüft, um sicherzustellen, dass die Antworten im richtigen Format sind und ein gültiges Aktualisierungstoken zurückgegeben wird.
| Test | Erklärung |
|---|---|
| Prüfen, ob das Zugriffstoken nicht im JWT-Format ist | Die Google-Kontoverknüpfung unterstützt keine JWTs für Zugriffstokens. Wenn ein JWT erkannt wird, wird die folgende Warnung angezeigt:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Prüfen, ob ein ablaufendes Zugriffstoken ein Aktualisierungstoken hat | Wenn das Zugriffstoken abläuft, muss ein Aktualisierungstoken angegeben werden. Dieser Test schlägt fehl, wenn kein Aktualisierungstoken gefunden wird. |
Validierungstest für Aktualisierungstoken
Aktualisierungstokens werden getestet, um sicherzustellen, dass Ihr Token-Austauschendpunkt sie ordnungsgemäß gegen neue Zugriffstokens austauscht.
| Test | Erklärung |
|---|---|
| Ungültige Antwort für das Aktualisierungstoken prüfen | Dein Server sollte den HTTP-Fehler 400 Bad Request mit {"error": "invalid_grant"} an eine ungültige Anfrage für ein Aktualisierungstoken zurückgeben. Wenn die Antwort nicht mit dem Fehlercode oder der Fehlermeldung übereinstimmt, schlägt dieser Test fehl. Weitere Informationen finden Sie unter Aktualisierungstokens gegen Zugriffstokens austauschen. |
| Aktualisierung des Zugriffstokens prüfen | Neue Zugriffstokens sollten als Antwort auf Aktualisierungstokenanfragen zurückgegeben werden. Wenn Ihr Server dasselbe Zugriffstoken bereitstellt, schlägt der Test fehl. |
| Prüfen Sie, ob ein nicht abgelaufenes Zugriffstoken funktioniert. | |
| Prüfen, ob das Aktualisierungstoken beim Aktualisieren nicht ersetzt wurde. | Wir prüfen, ob Aktualisierungstokens nach einer Aktualisierungstokenanfrage geändert werden. Wenn sich das Aktualisierungstoken ändert, sollte dein Server ein altes Aktualisierungstoken erst ungültig machen, nachdem ein neues verwendet wurde, um Race-Bedingungen zu vermeiden, die die Kontoverknüpfung eines Nutzers beeinträchtigen können. Der Test schlägt fehl, wenn Sie das alte Aktualisierungstoken entwerten, bevor das neue ausgegeben wird. |