第二次尝试刷新令牌时如何修复 "Malformed auth code"?
How to fix the "Malformed auth code" when trying to refreshToken on the second attempt?
我正在开发带有 Angular 和 Cordova 插件的 Android 应用程序,我想将其与 Google 身份验证集成。
我已经安装了 cordova-plugin-googleplus 并且我已经成功地集成到应用程序中。
当用户登录时,我得到一个响应,我可以在其中获取 accessToken、配置文件用户信息和 refreshToken。
现在我想实现一个功能来刷新令牌,而不用每小时用一个新的提示屏幕打扰用户。
我已经成功续订了 accessToken,但它只在第一次有效
我用过这两种方式:
- 正在发送包含以下数据的 curl 请求
curl -X POST \
'https://oauth2.googleapis.com/token?code=XXXXXXXXXXXXXXXX&client_id=XXXXXXXXXXXXXXXX.apps.googleusercontent.com&client_secret=YYYYYYYYYYYY&grant_type=authorization_code' \
-H 'Cache-Control: no-cache' \
-H 'Content-Type: application/x-www-form-urlencoded'
- 使用 Google API Client Library for Java 在服务器端实现它,主要遵循这些 code
关键是当用户第一次登录时(使用cordova-plugin-googleplus),我收到一个格式为
的refreshToken
4/rgFU-hxw9QSbfdj3ppQ4sqDjK2Dr3m_YU_UMCqcveUgjIa3voawbN9TD6SVLShedTPveQeZWDdR-Sf1nFrss1hc
如果一段时间后我尝试以上述任何方式刷新令牌,我会得到一个成功的响应,其中包含一个新的 accessToken 和一个新的 refreshToken。那个新的 refreshToken 有这种其他格式
1/FTSUyYTgU2AG8K-ZsgjVi6pExdmpZejXfoYIchp9KuhtdknEMd6uYCfqMOoX2f85J
在第二次尝试更新令牌时,我将令牌替换为第一次请求中返回的令牌
curl -X POST \
'https://oauth2.googleapis.com/token?code=1/FTSUyYTgU2AG8K-ZsgjVi6pExdmpZejXfoYIchp9KuhtdknEMd6uYCfqMOoX2f85J&client_id=XXXXXXXXXXXXXXXX.apps.googleusercontent.com&client_secret=YYYYYYYYYYYY&grant_type=authorization_code' \
-H 'Cache-Control: no-cache' \
-H 'Content-Type: application/x-www-form-urlencoded'
但是这一次,两种方式(Curl 和 Java)我都遇到了同样的错误。
{
"error" : "invalid_grant",
"error_description" : "Malformed auth code."
}
我读到这个 thread 将 clientId 指定为电子邮件是一个问题,但我还没有发现如何解决它,因为第一次登录是使用客户端 ID 'XXXXXXX.apps.googleusercontent.com' 如果我设置来自 google 帐户的电子邮件,它说这是一个 "Unknown Oauth Client"
我被困了好几天了,希望有人能帮我解决这个问题
这是授权授予流程。为了简单起见,以下是它遵循的步骤。
- 第一个请求得到 authorizatio_code(这个带有参数 authorization_code)
- 收到代码后,使用它获取 access_token 和 refresh_token
- 访问令牌过期一段时间后,使用步骤 2 中的 refresh_token 获取新的访问令牌和新的刷新令牌。 (当您使用步骤 1 中的代码时,您会看到错误。)
希望对您有所帮助,请更改您的代码并重试。
您的代码都以“/”作为第二个字符。在将其放入查询字符串之前,您可能应该对其进行 url 编码。
终于实现了按需刷新访问令牌。问题是对 Google Api 工作原理的误解。
第一次更新令牌,需要使用这些参数调用此端点并将从同意屏幕调用 (serverAuthCode) 的响应中获得的值设置为 {{refreshToken}}
https://oauth2.googleapis.com/token?code={{refreshToken}}&client_id={{googleClientId}}&client_secret={{googleClientSecret}}&grant_type=authorization_code
第一次刷新后,对令牌的任何更新都需要通过设置为 {{tokenUpdated}} 从第一次调用的响应中获得的属性 {{refresh_token}} 来调用此另一个端点.
https://oauth2.googleapis.com/token?refresh_token={{tokenUpdated}}&client_id={{googleClientId}}&client_secret={{googleClientSecret}}&grant_type=refresh_token
在这里,我向您展示我的 AuthenticationService 的示例
import { Injectable} from '@angular/core';
import { Router } from '@angular/router';
import { GooglePlus } from '@ionic-native/google-plus/ngx';
@Injectable({
providedIn: 'root'
})
export class AuthenticationService {
static AUTH_INFO_GOOGLE = 'auth-info-google';
static CLIENT_ID = 'XXXXX-XXXX.apps.googleusercontent.com';
static CLIENT_SECRET = 'SecretPasswordClientId';
public authenticationState = new BehaviorSubject(false);
constructor(
private router: Router,
private googlePlus: GooglePlus) {
}
public isAuthenticated() {
return this.authenticationState.value;
}
public logout(): Promise<void> {
this.authenticationState.next(false);
return this.googlePlus.disconnect()
.then(msg => {
console.log('User logged out: ' + msg);
}, err => {
console.log('User already disconected');
});
}
/**
* Performs the login
*/
public async login(): Promise<any> {
return this.openGoogleConsentScreen().then(async (user) => {
console.log(' ServerAuth Code: ' + user.serverAuthCode);
user.updated = false;
await this.setData(AuthenticationService.AUTH_INFO_GOOGLE, JSON.stringify(user));
this.authenticationState.next(true);
// Do more staff after successfully login
}, err => {
this.authenticationState.next(false);
console.log('An error ocurred in the login process: ' + err);
console.log(err);
});
}
/**
* Gets the Authentication Token
*/
public async getAuthenticationToken(): Promise<string> {
return this.getAuthInfoGoogle()
.then(auth => {
if (this.isTokenExpired(auth)) {
return this.refreshToken(auth);
} else {
return 'Bearer ' + auth.accessToken;
}
});
}
private async openGoogleConsentScreen(): Promise<any> {
return this.googlePlus.login({
// optional, space-separated list of scopes, If not included or empty, defaults to `profile` and `email`.
'scopes': 'profile email openid',
'webClientId': AuthenticationService.CLIENT_ID,
'offline': true
});
}
private isTokenExpired(auth: any): Boolean {
const expiresIn = auth.expires - (Date.now() / 1000);
const extraSeconds = 60 * 59 + 1;
// const extraSeconds = 0;
const newExpiration = expiresIn - extraSeconds;
console.log('Token expires in ' + newExpiration + ' seconds. Added ' + extraSeconds + ' seconds for debugging purpouses');
return newExpiration < 0;
}
private async refreshToken(auth: any): Promise<any> {
console.log('The authentication token has expired. Calling for renewing');
if (auth.updated) {
auth = await this.requestGoogleRefreshToken(auth.serverAuthCode, auth.userId, auth.email);
} else {
auth = await this.requestGoogleAuthorizationCode(auth.serverAuthCode, auth.userId, auth.email);
}
await this.setData(AuthenticationService.AUTH_INFO_GOOGLE, JSON.stringify(auth));
return 'Bearer ' + auth.accessToken;
}
private getAuthInfoGoogle(): Promise<any> {
return this.getData(AuthenticationService.AUTH_INFO_GOOGLE)
.then(oauthInfo => {
return JSON.parse(oauthInfo);
}, err => {
this.clearStorage();
throw err;
});
}
private async requestGoogleAuthorizationCode(serverAuthCode: string, userId: string, email: string): Promise<any> {
let headers = new HttpHeaders();
headers = headers.set('Content-Type', 'application/x-www-form-urlencoded');
let params: HttpParams = new HttpParams();
params = params.set('code', serverAuthCode);
params = params.set('client_id', AuthenticationService.CLIENT_ID);
params = params.set('client_secret', AuthenticationService.CLIENT_SECRET);
params = params.set('grant_type', 'authorization_code');
const options = {
headers: headers,
params: params
};
const url = 'https://oauth2.googleapis.com/token';
const renewalTokenRequestPromise: Promise<any> = this.http.post(url, {}, options).toPromise()
.then((response: any) => {
const auth: any = {};
auth.accessToken = response.access_token;
console.log('RefreshToken: ' + response.refresh_token);
auth.serverAuthCode = response.refresh_token;
auth.expires = Date.now() / 1000 + response.expires_in;
auth.userId = userId;
auth.email = email;
auth.updated = true;
return auth;
}, (error) => {
console.error('Error renewing the authorization code: ' + JSON.stringify(error));
return {};
});
return await renewalTokenRequestPromise;
}
private async requestGoogleRefreshToken(serverAuthCode: string, userId: string, email: string): Promise<any> {
let headers = new HttpHeaders();
headers = headers.set('Content-Type', 'application/x-www-form-urlencoded');
let params: HttpParams = new HttpParams();
params = params.set('refresh_token', serverAuthCode);
params = params.set('client_id', AuthenticationService.CLIENT_ID);
params = params.set('client_secret', AuthenticationService.CLIENT_SECRET);
params = params.set('grant_type', 'refresh_token');
const options = {
headers: headers,
params: params
};
const url = 'https://oauth2.googleapis.com/token';
const renewalTokenRequestPromise: Promise<any> = this.http.post(url, {}, options).toPromise()
.then((response: any) => {
const auth: any = {};
auth.accessToken = response.access_token;
console.log('RefreshToken: ' + serverAuthCode);
auth.serverAuthCode = serverAuthCode;
auth.expires = Date.now() / 1000 + response.expires_in;
auth.userId = userId;
auth.email = email;
auth.updated = true;
return auth;
}, (error) => {
console.error('Error renewing refresh token: ' + JSON.stringify(error));
return {};
});
return await renewalTokenRequestPromise;
}
private setData(key: string, value: any): Promise<any> {
console.log('Store the value at key entry in the DDBB, Cookies, LocalStorage, etc')
}
private getData(key: string): Promise<string> {
console.log('Retrieve the value from the key entry from DDBB, Cookies, LocalStorage, etc')
}
private clearStorage(): Promise<string> {
console.log('Remove entries from DDBB, Cookies, LocalStorage, etc related to authentication')
}
}
在我的例子中,它非常愚蠢:google api 更改请求之间的授权代码编码。
第一步-第一次请求获取token时googlereturns很正常,没有像编码那样编码字符串。
第 2 步 - 在第二次和第 N 次请求获取令牌期间(如果它们未被撤销)google returns 授权代码为 url 编码。在我的例子中,致命的变化是 '/' -> '%2F'。
解决方法:
始终 URL- 在将授权码交换为访问令牌之前解码授权码!
你需要像这样解码你的代码
String code = "4%2F0AX************...";
String decodedCode = "";
try {
decodedCode = java.net.URLDecoder.decode(code, StandardCharsets.UTF_8.name());
} catch (UnsupportedEncodingException e) {
//do nothing
}
然后使用 decodedCode 作为参数
添加 URLDecode 即可。但是现在已经不行了。
必须添加 prompt=consent 然后只有 return 使用授权码领取刷新令牌。
这是授权授予流程。为简单起见,它 follows.I 请求网络应用程序的访问令牌。
在我的例子中,致命的变化是“%2F”到“/”。这应该有效
我正在开发带有 Angular 和 Cordova 插件的 Android 应用程序,我想将其与 Google 身份验证集成。 我已经安装了 cordova-plugin-googleplus 并且我已经成功地集成到应用程序中。 当用户登录时,我得到一个响应,我可以在其中获取 accessToken、配置文件用户信息和 refreshToken。
现在我想实现一个功能来刷新令牌,而不用每小时用一个新的提示屏幕打扰用户。
我已经成功续订了 accessToken,但它只在第一次有效
我用过这两种方式:
- 正在发送包含以下数据的 curl 请求
curl -X POST \
'https://oauth2.googleapis.com/token?code=XXXXXXXXXXXXXXXX&client_id=XXXXXXXXXXXXXXXX.apps.googleusercontent.com&client_secret=YYYYYYYYYYYY&grant_type=authorization_code' \
-H 'Cache-Control: no-cache' \
-H 'Content-Type: application/x-www-form-urlencoded'
- 使用 Google API Client Library for Java 在服务器端实现它,主要遵循这些 code
关键是当用户第一次登录时(使用cordova-plugin-googleplus),我收到一个格式为
的refreshToken4/rgFU-hxw9QSbfdj3ppQ4sqDjK2Dr3m_YU_UMCqcveUgjIa3voawbN9TD6SVLShedTPveQeZWDdR-Sf1nFrss1hc
如果一段时间后我尝试以上述任何方式刷新令牌,我会得到一个成功的响应,其中包含一个新的 accessToken 和一个新的 refreshToken。那个新的 refreshToken 有这种其他格式
1/FTSUyYTgU2AG8K-ZsgjVi6pExdmpZejXfoYIchp9KuhtdknEMd6uYCfqMOoX2f85J
在第二次尝试更新令牌时,我将令牌替换为第一次请求中返回的令牌
curl -X POST \
'https://oauth2.googleapis.com/token?code=1/FTSUyYTgU2AG8K-ZsgjVi6pExdmpZejXfoYIchp9KuhtdknEMd6uYCfqMOoX2f85J&client_id=XXXXXXXXXXXXXXXX.apps.googleusercontent.com&client_secret=YYYYYYYYYYYY&grant_type=authorization_code' \
-H 'Cache-Control: no-cache' \
-H 'Content-Type: application/x-www-form-urlencoded'
但是这一次,两种方式(Curl 和 Java)我都遇到了同样的错误。
{
"error" : "invalid_grant",
"error_description" : "Malformed auth code."
}
我读到这个 thread 将 clientId 指定为电子邮件是一个问题,但我还没有发现如何解决它,因为第一次登录是使用客户端 ID 'XXXXXXX.apps.googleusercontent.com' 如果我设置来自 google 帐户的电子邮件,它说这是一个 "Unknown Oauth Client"
我被困了好几天了,希望有人能帮我解决这个问题
这是授权授予流程。为了简单起见,以下是它遵循的步骤。
- 第一个请求得到 authorizatio_code(这个带有参数 authorization_code)
- 收到代码后,使用它获取 access_token 和 refresh_token
- 访问令牌过期一段时间后,使用步骤 2 中的 refresh_token 获取新的访问令牌和新的刷新令牌。 (当您使用步骤 1 中的代码时,您会看到错误。)
希望对您有所帮助,请更改您的代码并重试。
您的代码都以“/”作为第二个字符。在将其放入查询字符串之前,您可能应该对其进行 url 编码。
终于实现了按需刷新访问令牌。问题是对 Google Api 工作原理的误解。
第一次更新令牌,需要使用这些参数调用此端点并将从同意屏幕调用 (serverAuthCode) 的响应中获得的值设置为 {{refreshToken}}
https://oauth2.googleapis.com/token?code={{refreshToken}}&client_id={{googleClientId}}&client_secret={{googleClientSecret}}&grant_type=authorization_code
第一次刷新后,对令牌的任何更新都需要通过设置为 {{tokenUpdated}} 从第一次调用的响应中获得的属性 {{refresh_token}} 来调用此另一个端点.
https://oauth2.googleapis.com/token?refresh_token={{tokenUpdated}}&client_id={{googleClientId}}&client_secret={{googleClientSecret}}&grant_type=refresh_token
在这里,我向您展示我的 AuthenticationService 的示例
import { Injectable} from '@angular/core';
import { Router } from '@angular/router';
import { GooglePlus } from '@ionic-native/google-plus/ngx';
@Injectable({
providedIn: 'root'
})
export class AuthenticationService {
static AUTH_INFO_GOOGLE = 'auth-info-google';
static CLIENT_ID = 'XXXXX-XXXX.apps.googleusercontent.com';
static CLIENT_SECRET = 'SecretPasswordClientId';
public authenticationState = new BehaviorSubject(false);
constructor(
private router: Router,
private googlePlus: GooglePlus) {
}
public isAuthenticated() {
return this.authenticationState.value;
}
public logout(): Promise<void> {
this.authenticationState.next(false);
return this.googlePlus.disconnect()
.then(msg => {
console.log('User logged out: ' + msg);
}, err => {
console.log('User already disconected');
});
}
/**
* Performs the login
*/
public async login(): Promise<any> {
return this.openGoogleConsentScreen().then(async (user) => {
console.log(' ServerAuth Code: ' + user.serverAuthCode);
user.updated = false;
await this.setData(AuthenticationService.AUTH_INFO_GOOGLE, JSON.stringify(user));
this.authenticationState.next(true);
// Do more staff after successfully login
}, err => {
this.authenticationState.next(false);
console.log('An error ocurred in the login process: ' + err);
console.log(err);
});
}
/**
* Gets the Authentication Token
*/
public async getAuthenticationToken(): Promise<string> {
return this.getAuthInfoGoogle()
.then(auth => {
if (this.isTokenExpired(auth)) {
return this.refreshToken(auth);
} else {
return 'Bearer ' + auth.accessToken;
}
});
}
private async openGoogleConsentScreen(): Promise<any> {
return this.googlePlus.login({
// optional, space-separated list of scopes, If not included or empty, defaults to `profile` and `email`.
'scopes': 'profile email openid',
'webClientId': AuthenticationService.CLIENT_ID,
'offline': true
});
}
private isTokenExpired(auth: any): Boolean {
const expiresIn = auth.expires - (Date.now() / 1000);
const extraSeconds = 60 * 59 + 1;
// const extraSeconds = 0;
const newExpiration = expiresIn - extraSeconds;
console.log('Token expires in ' + newExpiration + ' seconds. Added ' + extraSeconds + ' seconds for debugging purpouses');
return newExpiration < 0;
}
private async refreshToken(auth: any): Promise<any> {
console.log('The authentication token has expired. Calling for renewing');
if (auth.updated) {
auth = await this.requestGoogleRefreshToken(auth.serverAuthCode, auth.userId, auth.email);
} else {
auth = await this.requestGoogleAuthorizationCode(auth.serverAuthCode, auth.userId, auth.email);
}
await this.setData(AuthenticationService.AUTH_INFO_GOOGLE, JSON.stringify(auth));
return 'Bearer ' + auth.accessToken;
}
private getAuthInfoGoogle(): Promise<any> {
return this.getData(AuthenticationService.AUTH_INFO_GOOGLE)
.then(oauthInfo => {
return JSON.parse(oauthInfo);
}, err => {
this.clearStorage();
throw err;
});
}
private async requestGoogleAuthorizationCode(serverAuthCode: string, userId: string, email: string): Promise<any> {
let headers = new HttpHeaders();
headers = headers.set('Content-Type', 'application/x-www-form-urlencoded');
let params: HttpParams = new HttpParams();
params = params.set('code', serverAuthCode);
params = params.set('client_id', AuthenticationService.CLIENT_ID);
params = params.set('client_secret', AuthenticationService.CLIENT_SECRET);
params = params.set('grant_type', 'authorization_code');
const options = {
headers: headers,
params: params
};
const url = 'https://oauth2.googleapis.com/token';
const renewalTokenRequestPromise: Promise<any> = this.http.post(url, {}, options).toPromise()
.then((response: any) => {
const auth: any = {};
auth.accessToken = response.access_token;
console.log('RefreshToken: ' + response.refresh_token);
auth.serverAuthCode = response.refresh_token;
auth.expires = Date.now() / 1000 + response.expires_in;
auth.userId = userId;
auth.email = email;
auth.updated = true;
return auth;
}, (error) => {
console.error('Error renewing the authorization code: ' + JSON.stringify(error));
return {};
});
return await renewalTokenRequestPromise;
}
private async requestGoogleRefreshToken(serverAuthCode: string, userId: string, email: string): Promise<any> {
let headers = new HttpHeaders();
headers = headers.set('Content-Type', 'application/x-www-form-urlencoded');
let params: HttpParams = new HttpParams();
params = params.set('refresh_token', serverAuthCode);
params = params.set('client_id', AuthenticationService.CLIENT_ID);
params = params.set('client_secret', AuthenticationService.CLIENT_SECRET);
params = params.set('grant_type', 'refresh_token');
const options = {
headers: headers,
params: params
};
const url = 'https://oauth2.googleapis.com/token';
const renewalTokenRequestPromise: Promise<any> = this.http.post(url, {}, options).toPromise()
.then((response: any) => {
const auth: any = {};
auth.accessToken = response.access_token;
console.log('RefreshToken: ' + serverAuthCode);
auth.serverAuthCode = serverAuthCode;
auth.expires = Date.now() / 1000 + response.expires_in;
auth.userId = userId;
auth.email = email;
auth.updated = true;
return auth;
}, (error) => {
console.error('Error renewing refresh token: ' + JSON.stringify(error));
return {};
});
return await renewalTokenRequestPromise;
}
private setData(key: string, value: any): Promise<any> {
console.log('Store the value at key entry in the DDBB, Cookies, LocalStorage, etc')
}
private getData(key: string): Promise<string> {
console.log('Retrieve the value from the key entry from DDBB, Cookies, LocalStorage, etc')
}
private clearStorage(): Promise<string> {
console.log('Remove entries from DDBB, Cookies, LocalStorage, etc related to authentication')
}
}
在我的例子中,它非常愚蠢:google api 更改请求之间的授权代码编码。
第一步-第一次请求获取token时googlereturns很正常,没有像编码那样编码字符串。
第 2 步 - 在第二次和第 N 次请求获取令牌期间(如果它们未被撤销)google returns 授权代码为 url 编码。在我的例子中,致命的变化是 '/' -> '%2F'。
解决方法: 始终 URL- 在将授权码交换为访问令牌之前解码授权码!
你需要像这样解码你的代码
String code = "4%2F0AX************...";
String decodedCode = "";
try {
decodedCode = java.net.URLDecoder.decode(code, StandardCharsets.UTF_8.name());
} catch (UnsupportedEncodingException e) {
//do nothing
}
然后使用 decodedCode 作为参数
添加 URLDecode 即可。但是现在已经不行了。
必须添加 prompt=consent 然后只有 return 使用授权码领取刷新令牌。
这是授权授予流程。为简单起见,它 follows.I 请求网络应用程序的访问令牌。 在我的例子中,致命的变化是“%2F”到“/”。这应该有效