Google 账号关联 OAuth 验证测试工具会测试您的 OAuth 实现,以验证 Google 是否能够访问端点,以及端点是否返回了有效 Google 账号关联实现所应有的响应。
使用测试工具
- 如果您尚未登录该工具,请使用登录按钮使用 Google 账号登录。
使用 Google 账号关联演示工具关联您的账号。您应使用运行验证测试工具时所用的账号进行关联。
输入您的项目 ID,然后点击运行按钮。此 ID 应与您在上一步中用于关联账号的服务 ID 相同。
工具指南
访问令牌验证测试
系统会验证从令牌交换端点返回的访问令牌,以确保响应采用正确的格式,并且返回有效的刷新令牌。
| 测试 | 说明 |
|---|---|
| 验证访问令牌不是 JWT 格式 | Google 账号关联不支持使用 JWT 作为访问令牌。如果检测到 JWT,系统会显示以下警告:
The access token seems to be a JWT which is not supported for token exchange endpoints.
|
| 验证限时访问令牌是否包含刷新令牌。 | 当访问令牌可过期时,必须提供刷新令牌。如果找不到刷新令牌,此测试将失败。 |
刷新令牌验证测试
系统会测试刷新令牌,以确保您的令牌交换端点能正确地用它们交换新的访问令牌。
| 测试 | 说明 |
|---|---|
| 验证无效的刷新令牌响应。 | 对于无效的刷新令牌请求,您的服务器应返回 HTTP 400 Bad Request 错误并附带 {"error": "invalid_grant"}。如果响应与错误代码或消息不匹配,此测试用例将失败。如需了解详情,请参阅将刷新令牌换成访问令牌。 |
| 验证访问令牌刷新。 | 应在响应刷新令牌请求时返回新的访问令牌。如果您的服务器提供相同的访问令牌,测试用例将失败。 |
| 验证未过期的访问令牌是否有效。 | |
| 验证刷新令牌在刷新期间未轮替。 | 我们会检查刷新令牌请求后刷新令牌是否发生了变化。如果刷新令牌发生变化,您的服务器应仅在使用新刷新令牌后才使旧刷新令牌失效,以防止出现可能会破坏用户账号关联的争用情况。如果您在发出新刷新令牌之前使旧刷新令牌失效,测试将会失败。 |