1

在使用 Python Oauthlib 对 Google Server to Server Applications 进行身份验证失败后,我现在尝试使用 pyjwt 直接生成 jwt,然后按照Google 文档中的说明使用 curl 对其进行测试,但它也不起作用,因为我现在收到:Invalid JWT:代币必须是短暂的代币,并且在合理的时间范围内

安装pyjwt后Python 3中的代码:

>>> from datetime import datetime, timedelta

>>> import json
>>> import jwt

>>> json_file = json.load(open("google-project-credentials.json"))
>>> dt_now = datetime.datetime.utcnow()
>>> payload = { 'iss' : json_file['client_email'], 'scope' : 'https://www.googleapis.com/auth/tasks', 'aud' : 'https://www.googleapis.com/oauth2/v4/token', 'exp' : int((dt_now + datetime.timedelta(hours=1)).timestamp()), 'iat': int(dt_now.timestamp()) }
>>> jwt.encode(payload, json_file['private_key'], algorithm='RS256')
b'PYJWT_RESULT_HERE'

然后,如 Google 文档中所述,我在 bash 中运行 curl 并粘贴之前的结果:

$ curl -d 'grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=PYJWT_RESULT_HERE' https://www.googleapis.com/oauth2/v4/token

然后我收到以下错误:

{
  "error": "invalid_grant",
  "error_description": "Invalid JWT: Token must be a short-lived token and in a reasonable timeframe"
}

我究竟做错了什么?

谢谢!

4

1 回答 1

1

实际上,如错误消息中所述,问题出在错误生成的时代(我还不完全明白为什么):

>>> from datetime import datetime
>>> from calendar import timegm
>>> import json
>>> import jwt

>>> json_file = json.load(open("google-project-credentials.json"))
>>> payload = { 'iss' : json_file['client_email'], 'scope' : 'https://www.googleapis.com/auth/tasks', 'aud' : 'https://www.googleapis.com/oauth2/v4/token', 'exp' : timegm(datetime.utcnow().utctimetuple()) + 600, 'iat' : timegm(datetime.utcnow().utctimetuple()) }
>>> jwt.encode(payload, json_file['private_key'], algorithm='RS256')
b'PYJWT_RESULT_HERE'

然后在 Bash 控制台中:

$ curl -d 'grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&assertion=PYJWT_RESULT_HERE' https://www.googleapis.com/oauth2/v4/token
{
  "access_token": "GOOGLE_ACCESS_TOKEN_YEAH",
   "token_type": "Bearer",
   "expires_in": 3600
}

实际上,我很惊讶在这件事上没有得到更多帮助,因为我认为 Google 会参与其中;-( 在开源项目上,支持实际上更好!

于 2016-07-28T09:26:19.107 回答