L'outil de test de validation OAuth pour l'association de compte Google teste votre implémentation OAuth pour vérifier que Google peut accéder aux points de terminaison et que ceux-ci renvoient les réponses attendues pour une implémentation valide de l'association de compte Google.
Utiliser l'outil de test
- Si vous ne l'avez pas encore fait, connectez-vous à l'outil avec votre compte Google à l'aide du bouton Se connecter.
Associez votre compte à l'aide de l'outil de démonstration d'association de compte Google. Vous devez l'associer au compte avec lequel vous exécutez l'outil de test de validation.
Saisissez votre ID de projet, puis cliquez sur le bouton Exécuter. Il doit s'agir du même ID de service que celui que vous avez utilisé pour associer votre compte à l'étape précédente.
Guide des outils
Test de validation du jeton d'accès
Les jetons d'accès renvoyés par votre point de terminaison d'échange de jetons sont validés pour s'assurer que les réponses sont au bon format et qu'un jeton d'actualisation valide est renvoyé.
| Test | Explication |
|---|---|
| Le jeton d'accès à valider n'est pas au format JWT | L'association de compte Google n'est pas compatible avec les jetons JWT pour les jetons d'accès. Si un jeton JWT est détecté, l'avertissement suivant s'affiche :
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Validez que le jeton d'accès expirant possède un jeton d'actualisation. | Un jeton d'actualisation doit être fourni lorsque le jeton d'accès est expirables. Ce test échouera si aucun jeton d'actualisation n'est trouvé. |
Test de validation du jeton d'actualisation
Les jetons d'actualisation sont testés pour s'assurer que votre point de terminaison d'échange de jetons les échange correctement contre de nouveaux jetons d'accès.
| Test | Explication |
|---|---|
| Validez la réponse du jeton d'actualisation non valide. | Votre serveur doit renvoyer une erreur HTTP 400 Bad Request avec {"error": "invalid_grant"} pour une demande de jeton d'actualisation non valide. Si la réponse ne correspond pas au code ou au message d'erreur, ce cas de test échouera. Pour en savoir plus, consultez Échanger des jetons d'actualisation contre des jetons d'accès. |
| Validez l'actualisation du jeton d'accès. | De nouveaux jetons d'accès doivent être renvoyés en réponse aux demandes de jetons d'actualisation. Si votre serveur fournit le même jeton d'accès, le cas de test échouera. |
| Validez le jeton d'accès non expiré. | |
| Le jeton d'actualisation n'a pas été renouvelé lors de l'actualisation. | Nous vérifions si les jetons d'actualisation sont modifiés après une demande de jeton d'actualisation. Si le jeton d'actualisation change, votre serveur ne doit invalider un ancien jeton d'actualisation qu'après l'utilisation d'un nouveau jeton d'actualisation. Cela permet d'éviter les conditions de concurrence qui peuvent interrompre l'association du compte d'un utilisateur. Le test échouera si vous invalidez l'ancien jeton d'actualisation avant l'émission du nouveau. |