Lo strumento di test di convalida OAuth per il collegamento dell'Account Google testa l'implementazione di OAuth per verificare che Google sia in grado di accedere agli endpoint e che questi restituiscano le risposte previste per un'implementazione valida del collegamento dell'Account Google.
Utilizzare lo strumento di test
- Se non hai ancora eseguito l'accesso allo strumento, accedi con il tuo Account Google utilizzando il pulsante Accedi.
Collega il tuo account utilizzando lo strumento demo di collegamento dell'Account Google. Devi collegare lo stesso account con cui esegui il test di convalida.
Inserisci l'ID progetto e fai clic sul pulsante Esegui. Deve essere lo stesso dell'ID servizio che hai utilizzato per collegare il tuo account nel passaggio precedente.
Guida allo strumento
Test di convalida del token di accesso
I token di accesso restituiti dall'endpoint di scambio dei token vengono convalidati per garantire che le risposte siano nel formato corretto e che venga restituito un token di aggiornamento valido.
| Test | Spiegazione |
|---|---|
| Verifica che il token di accesso non sia in formato JWT | Il collegamento degli account Google non supporta JWT per i token di accesso. Se viene rilevato JWT, viene visualizzato il seguente avviso:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Convalida che il token di accesso scadibile abbia un token di aggiornamento. | Un token di aggiornamento deve essere fornito quando il token di accesso è scaduto. Questo test non andrà a buon fine se non viene trovato alcun token di aggiornamento. |
Test di convalida del token di aggiornamento
I token di aggiornamento vengono testati per assicurarsi che l'endpoint di scambio dei token li scambi correttamente con nuovi token di accesso.
| Test | Spiegazione |
|---|---|
| Convalida la risposta del token di aggiornamento non valido. | Il server deve restituire un errore HTTP 400 Bad Request con {"error": "invalid_grant"} a una richiesta di token di aggiornamento non valido. Se la risposta non corrisponde al codice o al messaggio di errore, questo caso di test non andrà a buon fine. Per maggiori informazioni, visita la pagina Scambiare token di aggiornamento con token di accesso. |
| Convalida l'aggiornamento del token di accesso. | I nuovi token di accesso devono essere restituiti in risposta alle richieste di token di aggiornamento. Se il server fornisce lo stesso token di accesso, lo scenario di test non andrà a buon fine. |
| Verifica che il token di accesso non scaduto funzioni. | |
| Verifica che il token di aggiornamento non sia stato ruotato durante l'aggiornamento. | Controlliamo se i token di aggiornamento vengono modificati dopo una richiesta di token di aggiornamento. Se il token di aggiornamento cambia, il server deve invalidare un vecchio token di aggiornamento solo dopo che è stato utilizzato un nuovo token di aggiornamento, per evitare condizioni di competizione che potrebbero interrompere il collegamento dell'account di un utente. Il test non andrà a buon fine se invalidi il vecchio token di aggiornamento prima che venga emesso il nuovo. |