Narzędzie do testowania weryfikacji OAuth łączenia z kontem Google sprawdza implementację OAuth, aby potwierdzić, że Google ma dostęp do punktów końcowych i że punkty końcowe zwracają odpowiedzi oczekiwane w przypadku prawidłowej implementacji łączenia z kontem Google.
Korzystanie z narzędzia do testowania
- Jeśli nie masz jeszcze dostępu do narzędzia, zaloguj się na konto Google, klikając przycisk Zaloguj się.
Połącz konto za pomocą narzędzia demonstracyjnego do łączenia z kontem Google. Połącz konto, na którym uruchamiasz narzędzie do testowania weryfikacji.
Wpisz identyfikator projektu i kliknij przycisk Uruchom. Powinien to być ten sam identyfikator usługi, którego użyto do połączenia konta w poprzednim kroku.
Przewodnik po narzędziach
Test weryfikacji tokena dostępu
Tokeny dostępu zwracane z punktu końcowego wymiany tokenów są weryfikowane, aby mieć pewność, że odpowiedzi są w odpowiednim formacie i że zwracany jest prawidłowy token odświeżania.
| Test | Wyjaśnienie |
|---|---|
| Sprawdź, czy token dostępu nie jest w formacie JWT | Łączenie kont Google nie obsługuje JWT w przypadku tokenów dostępu. Jeśli zostanie wykryty token JWT, wyświetli się to ostrzeżenie:The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Sprawdź, czy token dostępu z datą ważności ma token odświeżania. | Gdy token dostępu może wygasnąć, należy podać token odświeżania. Jeśli nie znajdziemy tokena odświeżania, test zakończy się niepowodzeniem. |
Test weryfikacji tokena odświeżania
Tokeny odświeżania są testowane, aby mieć pewność, że punkt końcowy wymiany tokenów prawidłowo wymienia je na nowe tokeny dostępu.
| Test | Wyjaśnienie |
|---|---|
| Sprawdź nieprawidłową odpowiedź tokena odświeżania. | W przypadku nieprawidłowego żądania tokena odświeżania serwer powinien zwrócić błąd HTTP 400 Bad Request z kodem {"error": "invalid_grant"}. Jeśli odpowiedź nie pasuje do kodu lub komunikatu o błędzie, ten przypadek testowy zakończy się niepowodzeniem. Więcej informacji znajdziesz w artykule Wymiana tokenów odświeżania na tokeny dostępu. |
| Sprawdź odświeżanie tokena dostępu. | Nowe tokeny dostępu powinny być zwracane w odpowiedzi na prośby o token odświeżania. Jeśli serwer udostępni ten sam token dostępu, test zakończy się niepowodzeniem. |
| Sprawdź, czy niewygasły token dostępu działa. | |
| Sprawdź, czy token odświeżania nie został zmieniony podczas odświeżania. | Sprawdzamy, czy po wysłaniu prośby o token odświeżania tokeny odświeżania ulegają zmianie. Jeśli token odświeżania ulegnie zmianie, serwer powinien unieważnić stary token odświeżania dopiero po użyciu nowego tokena odświeżania, aby zapobiec sytuacjom wyścigu, które mogą spowodować przerwanie łączenia konta użytkownika. Test zakończy się niepowodzeniem, jeśli unieważnisz stary token odświeżania przed wydaniem nowego. |