Lo strumento di test di convalida OAuth per il collegamento dell'Account Google testa l'implementazione OAuth per verificare che Google sia in grado di accedere agli endpoint e che questi restituiscano le risposte previste per un'implementazione valida del collegamento dell'Account Google.
Utilizzo dello strumento di test
- Se non l'hai ancora fatto, accedi allo strumento con il tuo Account Google utilizzando il pulsante Accedi.
Collega il tuo account utilizzando lo strumento demo di collegamento dell'Account Google. Devi eseguire il collegamento con lo stesso account con cui esegui lo strumento di test di convalida.
Inserisci l'ID progetto e fai clic sul pulsante Esegui. Deve essere lo stesso dell'ID servizio utilizzato per collegare il tuo account nel passaggio precedente.
Guida agli strumenti
Test di convalida del token di accesso
I token di accesso restituiti dall'endpoint di scambio token vengono convalidati per garantire che le risposte siano nel formato corretto e che venga restituito un token di aggiornamento valido.
| Test | Spiegazione |
|---|---|
| Verifica che il token di accesso non sia in formato JWT | Il collegamento dell'Account Google non supporta JWT per i token di accesso. Se viene rilevato il JWT, viene visualizzato il seguente avviso:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Verifica che il token di accesso con scadenza abbia un token di aggiornamento. | Deve essere fornito un token di aggiornamento quando il token di accesso è scaduto. Questo test non andrà a buon fine se non viene trovato alcun token di aggiornamento. |
Test di convalida del token di aggiornamento
I token di aggiornamento vengono testati per verificare che l'endpoint di scambio dei token li scambi correttamente con nuovi token di accesso.
| Test | Spiegazione |
|---|---|
| Convalida la risposta del token di aggiornamento non valido. | Il server deve restituire un errore HTTP 400 Bad Request con {"error": "invalid_grant"} a una richiesta di token di aggiornamento non valido. Se la risposta non corrisponde al codice o al messaggio di errore, questo caso di test non andrà a buon fine. Per ulteriori informazioni, consulta la sezione Scambiare i token di aggiornamento con i token di accesso. |
| Convalida l'aggiornamento del token di accesso. | I nuovi token di accesso devono essere restituiti in risposta alle richieste di token di aggiornamento. Se il server fornisce lo stesso token di accesso, il test case non andrà a buon fine. |
| Verifica che il token di accesso non scaduto funzioni. | |
| Il token di aggiornamento convalidato non è stato ruotato durante l'aggiornamento. | Controlliamo se i token di aggiornamento vengono modificati dopo una richiesta di token di aggiornamento. Se il token di aggiornamento cambia, il server deve invalidare un vecchio token di aggiornamento solo dopo che è stato utilizzato un nuovo token di aggiornamento, per evitare condizioni di gara che potrebbero interrompere il collegamento dell'account di un utente. Il test non avrà esito positivo se invalidi il vecchio token di aggiornamento prima che venga emesso quello nuovo. |