Narzędzie do weryfikacji protokołu OAuth służące do łączenia kont Google sprawdza implementację protokołu OAuth, aby zweryfikować, czy Google ma dostęp do punktów końcowych i czy punkty końcowe zwracają odpowiedzi oczekiwane podczas prawidłowej implementacji łączenia kont Google.
Używanie narzędzia testowego
- Zaloguj się na konto Google za pomocą przycisku Zaloguj się, jeśli nie jesteś jeszcze zalogowanym użytkownikiem tego narzędzia.
Połącz swoje konto, korzystając z narzędzia demonstracyjnego łączenia kont Google. Połącz konto z narzędziem do sprawdzania poprawności.
Wpisz identyfikator projektu i kliknij przycisk Uruchom. Powinien być taki sam jak identyfikator usługi użyty do połączenia konta w poprzednim kroku.
Przewodnik po narzędziach
Test weryfikacji tokena dostępu
Tokeny dostępu zwrócone z punktu końcowego wymiany tokenów są weryfikowane, aby upewnić się, że odpowiedzi są w odpowiednim formacie i że został zwrócony prawidłowy token odświeżania.
| Testowanie | Wyjaśnienie |
|---|---|
| Sprawdź, czy token dostępu nie ma formatu JWT | Łączenie kont Google nie obsługuje tokena JWT w tokenach dostępu. W przypadku wykrycia tokena JWT wyświetla się takie ostrzeżenie: The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| Sprawdź, czy token dostępu, który ma ważność, ma token odświeżania. | Token odświeżania należy podać, gdy token dostępu jest nieważny. Ten test się nie powiedzie, jeśli nie zostanie znaleziony token odświeżania. |
Odśwież test weryfikacji tokena
Tokeny odświeżania są testowane pod kątem poprawnej wymiany punktów końcowych nowego tokena dostępu przez token.
| Testowanie | Wyjaśnienie |
|---|---|
| Sprawdź nieprawidłową odpowiedź tokena odświeżania. | Twój serwer powinien zwrócić błąd HTTP 400 Bad Request z {"error": "invalid_grant"} do nieprawidłowego żądania tokena odświeżania. Jeśli odpowiedź nie będzie zgodna z kodem błędu lub komunikatem, ten przypadek się nie powiedzie. Więcej informacji znajdziesz w artykule o tokenach odświeżania giełdy dla tokenów dostępu. |
| Sprawdź odświeżenie tokena dostępu. | W odpowiedzi na żądania odświeżania tokenów należy zwrócić nowe tokeny dostępu. Jeśli serwer udostępnia ten sam token dostępu, przypadek testu się nie powiedzie. |
| Sprawdź, czy token dostępu, który nie wygasł, działa. | |
| Sprawdź, czy token odświeżania nie został obrócony podczas odświeżania. | Sprawdzimy, czy po odświeżeniu tokenu odświeżania zostaną zmienione tokeny odświeżania. W przypadku zmiany tokena odświeżania serwer powinien unieważnić stary token odświeżania dopiero po użyciu nowego, aby uniknąć warunków wyścigu, które mogą zakłócić łączenie kont użytkownika. Test się nie powiedzie, jeśli unieważnisz stary token odświeżania przed wydaniem nowego. |