Mit dem OAuth-Validierungstool für die Google-Kontoverknüpfung wird deine OAuth-Implementierung getestet, um zu prüfen, ob Google auf die Endpunkte zugreifen kann und ob die Endpunkte die Antworten zurückgeben, die für eine gültige Implementierung der Google-Kontoverknüpfung erforderlich sind.
Testtool verwenden
- Wenn du dich noch nicht im Tool angemeldet hast, melde dich über die Schaltfläche Anmelden mit deinem Google-Konto an.
Verknüpfen Sie Ihr Konto mit dem Google-Tool zur Kontoverknüpfung. Sie müssen das Konto verknüpfen, mit dem Sie das Validierungstesttool ausführen.
Geben Sie Ihre Projekt-ID ein und klicken Sie auf Ausführen. Sie sollte mit der Dienst-ID übereinstimmen, die Sie im vorherigen Schritt zum Verknüpfen Ihres Kontos verwendet haben.
Werkzeugübersicht
Validierungstest für Zugriffstokens
Von Ihrem Token-Exchange-Endpunkt zurückgegebene Zugriffstokens werden überprüft, um sicherzustellen, dass die Antworten das richtige Format haben und ein gültiges Aktualisierungstoken zurückgegeben wird.
| Test | Erklärung |
|---|---|
| Prüfen, ob das Zugriffstoken nicht im JWT-Format vorliegt | Google-Kontoverknüpfung unterstützt keine JWT für Zugriffstokens. Wenn JWT erkannt wird, wird die folgende Warnung angezeigt: The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Validieren Sie das Ablaufdatum des Zugriffstokens. | Wenn das Zugriffstoken abläuft, muss ein Aktualisierungstoken angegeben werden. Dieser Test schlägt fehl, wenn kein Aktualisierungstoken gefunden wird. |
Test für die Tokenvalidierung aktualisieren
Aktualisierungs-Tokens werden getestet, damit der Token-Austauschendpunkt sie richtig gegen neue Zugriffstokens eintauscht.
| Test | Erklärung |
|---|---|
| Überprüfen Sie die ungültige Antwort des Aktualisierungstokens. | Ihr Server sollte einen HTTP-400 Bad Request-Fehler mit {"error": "invalid_grant"} an eine ungültige Aktualisierungsanfrage zurückgeben. Wenn die Antwort nicht mit dem Fehlercode oder der Nachricht übereinstimmt, schlägt dieser Testfall fehl. Weitere Informationen finden Sie unter Exchange-Aktualisierungstokens für Zugriffstokens. |
| Aktualisieren Sie das Zugriffstoken. | Neue Zugriffstokens sollten als Reaktion auf Aktualisierungstoken-Anfragen zurückgegeben werden. Wenn der Server dasselbe Zugriffstoken bereitstellt, schlägt der Testfall fehl. |
| Validieren Sie nicht abgelaufene Zugriffstokens. | |
| Überprüfen, ob das Aktualisierungstoken während der Aktualisierung nicht rotiert wurde. | Wir prüfen, ob Aktualisierungstokens nach der Aktualisierung eines Tokens geändert werden. Wenn sich das Aktualisierungstoken ändert, sollte Ihr Server ein altes Aktualisierungstoken erst nach der Verwendung eines neuen Aktualisierungstokens entwerten, um Race-Bedingungen zu vermeiden, durch die die Kontoverknüpfung eines Nutzers eventuell nicht mehr funktioniert. Der Test schlägt fehl, wenn Sie das alte Aktualisierungstoken entwerten, bevor das neue ausgestellt wird. |