6

我有一个 Google 接受的有效 OAuth2 令牌,但 GoogleIdTokenVerifier 甚至无法解析它。

令牌是ya29.1.AADtN_XcjzHgauKetBvrbgHImGFg1pjiHRQAKHyTglBDjEZsTPUMQJ5p-xAKtk955_4r6MdnTe3HZ08(不用担心,它已经过期了)。

它是在 Android 上使用

accountManager.blockingGetAuthToken(account, "oauth2:https://www.googleapis.com/auth/userinfo.email", true);

当我打电话时,https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=... 我会得到理智的结果

{
  "issued_to": "34951113407.apps.googleusercontent.com",
  "audience": "34951113407.apps.googleusercontent.com",
  "scope": "https://www.googleapis.com/auth/userinfo.email",
  "expires_in": 3175,
  "email": "me@gmail.com",
  "verified_email": true,
  "access_type": "offline"
}

所以它必须是一个有效的令牌。但是当我打电话

new GoogleIdTokenVerifier(new UrlFetchTransport(), JacksonFactory.getDefaultInstance())
    .verify(authToken)

它给了我

com.fasterxml.jackson.core.JsonParseException: Unexpected character ('É' (code 201)): expected a valid value (number, String, array, object, 'true', 'false' or 'null')
 at [Source: java.io.ByteArrayInputStream@69886979; line: 1, column: 2]
    at com.fasterxml.jackson.core.JsonParser._constructError(JsonParser.java:1378)
    at com.fasterxml.jackson.core.base.ParserMinimalBase._reportError(ParserMinimalBase.java:599)
    at com.fasterxml.jackson.core.base.ParserMinimalBase._reportUnexpectedChar(ParserMinimalBase.java:520)
    at com.fasterxml.jackson.core.json.UTF8StreamJsonParser._handleUnexpectedValue(UTF8StreamJsonParser.java:2275)
    at com.fasterxml.jackson.core.json.UTF8StreamJsonParser._nextTokenNotInObject(UTF8StreamJsonParser.java:788)
    at com.fasterxml.jackson.core.json.UTF8StreamJsonParser.nextToken(UTF8StreamJsonParser.java:674)
    at com.google.api.client.json.jackson2.JacksonParser.nextToken(JacksonParser.java:55)
    at com.google.api.client.json.JsonParser.startParsing(JsonParser.java:213)
    at com.google.api.client.json.JsonParser.parse(JsonParser.java:372)
    at com.google.api.client.json.JsonParser.parse(JsonParser.java:328)
    at com.google.api.client.json.JsonParser.parseAndClose(JsonParser.java:158)
    at com.google.api.client.json.JsonParser.parseAndClose(JsonParser.java:140)
    at com.google.api.client.json.JsonFactory.fromInputStream(JsonFactory.java:206)
    at com.google.api.client.json.webtoken.JsonWebSignature$Parser.parse(JsonWebSignature.java:480)
    at com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.parse(GoogleIdToken.java:57)
    at com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier.verify(GoogleIdTokenVerifier.java:190)

通过调试 JsonWebSignature 似乎令牌有效负载只是1.

  • 安卓 4.4.2
  • com.google.http-client:google-http-client-jackson2:1.17.0-rc
  • com.fasterxml.jackson.core:jackson-core:2.3.0 (也尝试过从 google-http-client-jackson 的瞬时依赖项中包含 2.1.3)也尝试过 GsonFactory,异常不同,但也显然无法被 JsonWebSignature 解析.parse()。

我做错了什么?那里有不同的令牌格式吗?

4

1 回答 1

6

确实有不同的令牌格式。

您拥有的 OAuth2 令牌是access_token- 它表示您的软件已在您请求的范围内获得授权,但它没有说明实际发出请求的用户。

还有另一种类型的令牌GoogleIdTokenVerifier需要验证: OpenID Connect id_token。许多服务都使用该服务,因为这意味着某些第三方正在验证您正在查看的流量来自那个人(或多或少!)。

这里有更多背景知识,但简短的版本是您应该考虑使用 [GoogleAuthUtil#getToken(android.content.Context, java.lang.String, java.lang.String)]( https://developers.google。 com/android/reference/com/google/android/gms/auth/GoogleAuthUtil#getToken(android.content.Context , java.lang.String, java.lang.String))——它将id_token作为字符串返回——或者准确考虑您需要哪些范围,并考虑请求openid范围而不是当前的oauth2:https://www.googleapis.com/auth/userinfo.email.

我知道这个答案可能为时已晚,无法帮助您:)

于 2016-02-05T19:55:12.387 回答