L'outil de test de validation OAuth de l'association de compte Google teste votre implémentation OAuth pour vérifier que Google peut accéder aux points de terminaison et que les points de terminaison renvoient les réponses attendues pour une implémentation valide de l'association de compte Google.
Utiliser l'outil de test
- Si vous n'êtes pas encore connecté à l'outil, connectez-vous avec votre compte Google à l'aide du bouton Se connecter.
Associez votre compte à l'aide de l'outil de démonstration d'association de comptes Google. Vous devez l'associer au compte avec lequel vous exécutez l'outil de test de validation.
Saisissez votre ID de projet, puis cliquez sur le bouton Run (Exécuter). Il doit s'agir de l'ID de service que vous avez utilisé pour associer votre compte à l'étape précédente.
Guide de l'outil
Test de validation du jeton d'accès
Les jetons d'accès renvoyés à partir de votre point de terminaison d'échange de jetons sont validés pour s'assurer que les réponses sont au bon format et qu'un jeton d'actualisation valide est renvoyé.
| Test | Explication |
|---|---|
| Vérifier que le jeton d'accès n'est pas au format JWT | L'association de comptes Google n'est pas compatible avec les jetons d'accès JWT. Si un jeton JWT est détecté, l'avertissement suivant s'affiche : The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Vérifiez que le jeton d'accès éligible à l'expiration dispose d'un jeton d'actualisation. | Un jeton d'actualisation doit être fourni lorsque le jeton d'accès expire. Ce test échouera si aucun jeton d'actualisation n'est trouvé. |
Test de validation du jeton d'actualisation
Les jetons d'actualisation sont testés pour vous assurer que votre point de terminaison d'échange de jetons les échange correctement contre de nouveaux jetons d'accès.
| Test | Explication |
|---|---|
| Valider la réponse du jeton d'actualisation non valide. | Votre serveur doit renvoyer une erreur HTTP 400 Bad Request avec {"error": "invalid_grant"} en réponse à une requête de jeton d'actualisation non valide. Si la réponse ne correspond pas au code ou au message d'erreur, ce scénario de test échouera. Pour en savoir plus, consultez la section Échanger des jetons d'actualisation contre des jetons d'accès. |
| Validez l'actualisation du jeton d'accès. | De nouveaux jetons d'accès doivent être renvoyés en réponse aux demandes de jetons d'actualisation. Si votre serveur fournit le même jeton d'accès, le cas de test échoue. |
| Vérifiez que le jeton d'accès non expiré fonctionne. | |
| Le jeton d'actualisation de validation n'a pas été remplacé lors de l'actualisation. | Nous vérifions si les jetons d'actualisation sont modifiés après une requête de jeton d'actualisation. Si le jeton d'actualisation change, votre serveur ne doit invalider un ancien jeton d'actualisation qu'après qu'un nouveau jeton d'actualisation a été utilisé, afin d'éviter les conditions de course qui peuvent endommager l'association de compte d'un utilisateur. Le test échouera si vous invalidez l'ancien jeton d'actualisation avant que le nouveau ne soit émis. |