Narzędzie do testowania protokołu OAuth do łączenia kont Google testuje implementację protokołu OAuth, aby sprawdzić, czy Google ma dostęp do punktów końcowych i czy punkty końcowe zwracają odpowiedzi oczekiwane w przypadku prawidłowej implementacji łączenia kont Google.
Korzystanie z narzędzia testowego
- Jeśli nie zalogowano Cię jeszcze w tym narzędziu, zaloguj się na swoje konto Google za pomocą przycisku Zaloguj się.
Połącz konto za pomocą narzędzia do łączenia kont Google. Musisz połączyć konto, na którym uruchamiasz narzędzie testowania walidacji.
Wpisz identyfikator projektu i kliknij przycisk Uruchom. Powinien być taki sam jak identyfikator usługi użyty do połączenia konta w poprzednim kroku.
Przewodnik po narzędziu
Test weryfikacji tokena dostępu
Tokeny dostępu zwracane przez punkt końcowy wymiany tokenów są weryfikowane pod kątem prawidłowego formatu odpowiedzi i zwracania prawidłowego tokena odświeżania.
| Test | Wyjaśnienie |
|---|---|
| Weryfikacja, czy token dostępu nie jest w formacie JWT | Funkcja łączenia kont Google nie obsługuje tokenów dostępu JWT. Jeśli wykryto token JWT, wyświetla się to ostrzeżenie:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Sprawdź, czy token dostępu z datą ważności ma token odświeżania. | Gdy token dostępu wygasa, należy podać token odświeżania. Ten test zakończy się niepowodzeniem, jeśli nie zostanie znaleziony token odświeżania. |
Testowanie weryfikacji tokena odświeżania
Tokeny odświeżania są testowane, aby mieć pewność, że punkt końcowy wymiany tokenów prawidłowo wymienia je na nowe tokeny dostępu.
| Test | Wyjaśnienie |
|---|---|
| Sprawdzanie nieprawidłowej odpowiedzi na odświeżanie tokena. | Serwer powinien zwrócić błąd HTTP 400 Bad Request z {"error": "invalid_grant"} w odpowiedzi na nieprawidłowe żądanie tokena odświeżania. Jeśli odpowiedź nie pasuje do kodu błędu lub komunikatu, ten przypadek testowy zakończy się niepowodzeniem. Więcej informacji znajdziesz w artykule Wymiana tokenów odświeżania na tokeny dostępu. |
| Odświeżenie poprawności tokena dostępu. | W odpowiedzi na żądania odświeżania tokenów powinny być zwracane nowe tokeny dostępu. Jeśli serwer poda ten sam token dostępu, test się nie powiedzie. |
| Sprawdź, czy token dostępu, który nie wygasł, działa prawidłowo. | |
| Sprawdź, czy token odświeżania nie został zastąpiony podczas odświeżania. | Sprawdzamy, czy tokeny odświeżania uległy zmianie po wysłaniu żądania tokenu odświeżania. Jeśli token odświeżania się zmieni, serwer powinien unieważnić stary token odświeżania dopiero po użyciu nowego, aby zapobiec konfliktom, które mogą spowodować przerwanie łączenia konta użytkownika. Jeśli unieważnisz stary token odświeżania, zanim zostanie wydany nowy, test się nie powiedzie. |