cordova 如何修复第二次尝试刷新令牌时出现的“格式错误的身份验证代码”?

oipij1gg  于 2022-11-15  发布在  其他
关注(0)|答案(7)|浏览(174)

我正在开发一个带有Angular和Cordova插件的Android应用程序,我想将其与Google身份验证集成。我已经安装了cordova-plugin-googleplus,并成功集成到应用程序中。当用户登录时,我会收到一个响应,其中可以获取accessToken、配置文件用户信息和refreshToken。
现在,我希望实现一个功能,在不打扰用户的情况下刷新令牌,每小时显示一个新的提示屏幕。
我已成功续订accessToken,但仅在第一次时有效
我曾用过这两种方法:
1.发送包含以下数据的curl请求

curl -X POST \
  'https://oauth2.googleapis.com/token?code=XXXXXXXXXXXXXXXX&client_id=XXXXXXXXXXXXXXXX.apps.googleusercontent.com&client_secret=YYYYYYYYYYYY&grant_type=authorization_code' \
  -H 'Cache-Control: no-cache' \
  -H 'Content-Type: application/x-www-form-urlencoded'

1.在服务器端使用GoogleAPIClientLibraryforJava实现它,主要遵循以下code
重点是,当用户第一次登录(使用cordova-plugin-googleplus)时,我会收到一个如下格式的refreshToken

4/rgFU-hxw9QSbfdj3ppQ4sqDjK2Dr3m_YU_UMCqcveUgjIa3voawbN9TD6SVLShedTPveQeZWDdR-Sf1nFrss1hc

如果过了一段时间,我尝试以上述任何一种方式刷新令牌,我会得到一个成功的响应,其中包含一个新的accessToken和一个新的refreshToken。

1/FTSUyYTgU2AG8K-ZsgjVi6pExdmpZejXfoYIchp9KuhtdknEMd6uYCfqMOoX2f85J

在第二次尝试更新令牌时,我将令牌替换为第一次请求中返回的令牌

curl -X POST \
  'https://oauth2.googleapis.com/token?code=1/FTSUyYTgU2AG8K-ZsgjVi6pExdmpZejXfoYIchp9KuhtdknEMd6uYCfqMOoX2f85J&client_id=XXXXXXXXXXXXXXXX.apps.googleusercontent.com&client_secret=YYYYYYYYYYYY&grant_type=authorization_code' \
  -H 'Cache-Control: no-cache' \
  -H 'Content-Type: application/x-www-form-urlencoded'

但是这一次,两种方式(Curl和Java)我都得到了相同的错误。

{
  "error" : "invalid_grant",
  "error_description" : "Malformed auth code."
}

我在这个thread上看到,将clientId指定为电子邮件是一个问题,但我还没有发现如何解决它,因为第一次登录时,它是用客户端ID“XXXXXXX.apps.googleusercontent.com”完成的,如果我从谷歌帐户设置电子邮件,它会说这是一个“未知的Oauth客户端”
我希望任何人都能帮助我,因为我被困了好几天

6qqygrtg

6qqygrtg1#

在我的情况下,这是相当愚蠢的:GoogleAPI改变请求之间的AUTH代码编码。
第1步-在第一次请求获得令牌谷歌返回相当正常,而不是编码字符串作为代码。
第二步-在第二次和第N次请求获取令牌时(如果它们没有被撤销的话),google返回的验证码是url编码的。在我的例子中,致命的更改是'/' -〉'%2F'。
解决方案:在交换访问令牌之前,始终对授权码进行URL解码!

pkmbmrz7

pkmbmrz72#

最后,我实现了根据需要刷新访问令牌。问题是对它如何工作的谷歌Api的误解。
首次更新令牌时,需要使用这些参数调用此端点,并将从同意屏幕调用(serverAuthCode)的响应中获得的值设置为{{refreshToken}}

https://oauth2.googleapis.com/token?code={{refreshToken}}&client_id={{googleClientId}}&client_secret={{googleClientSecret}}&grant_type=authorization_code

在第一次刷新之后,需要通过将从第一次调用的响应中获得的属性{{refresh_token}}设置为{{tokenUpdated}}来调用此另一个端点对令牌的任何更新。

https://oauth2.googleapis.com/token?refresh_token={{tokenUpdated}}&client_id={{googleClientId}}&client_secret={{googleClientSecret}}&grant_type=refresh_token

下面我将向您展示一个AuthenticationService的示例

import { Injectable} from '@angular/core';
import { Router } from '@angular/router';
import { GooglePlus } from '@ionic-native/google-plus/ngx';

@Injectable({
  providedIn: 'root'
})
export class AuthenticationService {

static AUTH_INFO_GOOGLE = 'auth-info-google';
static CLIENT_ID = 'XXXXX-XXXX.apps.googleusercontent.com';
static CLIENT_SECRET = 'SecretPasswordClientId';

public authenticationState = new BehaviorSubject(false);

  constructor(
    private router: Router,
    private googlePlus: GooglePlus) {

  }

public isAuthenticated() {
    return this.authenticationState.value;
}

public logout(): Promise<void> {
    this.authenticationState.next(false);   
    return this.googlePlus.disconnect()
    .then(msg => {
      console.log('User logged out: ' + msg);
    }, err => {
      console.log('User already disconected');
    }); 
}

/**
* Performs the login
*/
public async login(): Promise<any> {
    return this.openGoogleConsentScreen().then(async (user) => {
      console.log(' ServerAuth Code: ' + user.serverAuthCode);
      user.updated = false;
      await this.setData(AuthenticationService.AUTH_INFO_GOOGLE, JSON.stringify(user));
      this.authenticationState.next(true);
      // Do more staff after successfully login
    }, err => {
        this.authenticationState.next(false);
        console.log('An error ocurred in the login process: ' + err);
        console.log(err);
    });

}

  /**
   * Gets the Authentication Token
   */
public async getAuthenticationToken(): Promise<string> {
      return this.getAuthInfoGoogle()
        .then(auth => {
          if (this.isTokenExpired(auth)) {
            return this.refreshToken(auth);
          } else {
            return 'Bearer ' + auth.accessToken;
          }
        });
}


private async openGoogleConsentScreen(): Promise<any> {
  return this.googlePlus.login({
    // optional, space-separated list of scopes, If not included or empty, defaults to `profile` and `email`.
    'scopes': 'profile email openid',
    'webClientId': AuthenticationService.CLIENT_ID,
    'offline': true
  });
}

private isTokenExpired(auth: any): Boolean {
    const expiresIn = auth.expires - (Date.now() / 1000);
     const extraSeconds = 60 * 59 + 1;
    // const extraSeconds = 0;
    const newExpiration = expiresIn - extraSeconds;
     console.log('Token expires in ' + newExpiration + ' seconds. Added ' + extraSeconds + ' seconds for debugging purpouses');
    return newExpiration < 0;
}

private async refreshToken(auth: any): Promise<any> {
      console.log('The authentication token has expired. Calling for renewing');
      if (auth.updated) {
        auth = await this.requestGoogleRefreshToken(auth.serverAuthCode, auth.userId, auth.email);
      } else {
        auth = await this.requestGoogleAuthorizationCode(auth.serverAuthCode, auth.userId, auth.email);
      }
      await this.setData(AuthenticationService.AUTH_INFO_GOOGLE, JSON.stringify(auth));
      return 'Bearer ' + auth.accessToken;
}

private getAuthInfoGoogle(): Promise<any> {
    return this.getData(AuthenticationService.AUTH_INFO_GOOGLE)
    .then(oauthInfo => {
      return JSON.parse(oauthInfo);
    }, err => {
      this.clearStorage();
      throw err;
    });
}

private async requestGoogleAuthorizationCode(serverAuthCode: string, userId: string, email: string): Promise<any> {
    let headers = new HttpHeaders();
    headers = headers.set('Content-Type', 'application/x-www-form-urlencoded');
    let params: HttpParams = new HttpParams();
    params = params.set('code', serverAuthCode);
    params = params.set('client_id', AuthenticationService.CLIENT_ID);
    params = params.set('client_secret', AuthenticationService.CLIENT_SECRET);
    params = params.set('grant_type', 'authorization_code');
    const options = {
      headers: headers,
      params: params
    };
    const url = 'https://oauth2.googleapis.com/token';
    const renewalTokenRequestPromise: Promise<any> = this.http.post(url, {}, options).toPromise()
      .then((response: any) => {
        const auth: any = {};
        auth.accessToken = response.access_token;
        console.log('RefreshToken: ' + response.refresh_token);
        auth.serverAuthCode = response.refresh_token;
        auth.expires = Date.now() / 1000 + response.expires_in;
        auth.userId = userId;
        auth.email = email;
        auth.updated = true;
        return auth;
      }, (error) => {
        console.error('Error renewing the authorization code: ' + JSON.stringify(error));
        return {};
      });
    return await renewalTokenRequestPromise;
}

private async requestGoogleRefreshToken(serverAuthCode: string, userId: string, email: string): Promise<any> {
    let headers = new HttpHeaders();
    headers = headers.set('Content-Type', 'application/x-www-form-urlencoded');
    let params: HttpParams = new HttpParams();
    params = params.set('refresh_token', serverAuthCode);
    params = params.set('client_id', AuthenticationService.CLIENT_ID);
    params = params.set('client_secret', AuthenticationService.CLIENT_SECRET);
    params = params.set('grant_type', 'refresh_token');
    const options = {
      headers: headers,
      params: params
    };
    const url = 'https://oauth2.googleapis.com/token';
    const renewalTokenRequestPromise: Promise<any> = this.http.post(url, {}, options).toPromise()
      .then((response: any) => {
        const auth: any = {};
        auth.accessToken = response.access_token;
        console.log('RefreshToken: ' + serverAuthCode);
        auth.serverAuthCode = serverAuthCode;
        auth.expires = Date.now() / 1000 + response.expires_in;
        auth.userId = userId;
        auth.email = email;
        auth.updated = true;
        return auth;
      }, (error) => {
        console.error('Error renewing refresh token: ' + JSON.stringify(error));
        return {};
      });
    return await renewalTokenRequestPromise;
}

private setData(key: string, value: any): Promise<any> {
    console.log('Store the value at key entry in the DDBB, Cookies, LocalStorage, etc')
}

private getData(key: string): Promise<string> {
    console.log('Retrieve the value from the key entry from DDBB, Cookies, LocalStorage, etc')
}

private clearStorage(): Promise<string> {
    console.log('Remove entries from DDBB, Cookies, LocalStorage, etc related to authentication')
}


}
o3imoua4

o3imoua43#

这是一个授权授予流程。为了简单起见,请遵循以下步骤。我请求Web应用的访问令牌。在我的示例中,终止更改是从“%2F”更改为“/”。这应该可以工作

oxiaedzo

oxiaedzo4#

你需要像这样解码你的代码

String code = "4%2F0AX************...";
    String decodedCode = "";
    try {
      decodedCode = java.net.URLDecoder.decode(code, StandardCharsets.UTF_8.name());
    } catch (UnsupportedEncodingException e) {
      //do nothing
    }

则使用decodedCode作为参数

2guxujil

2guxujil5#

这是一个授权授权流程。为了简单起见,以下是它遵循的步骤。
1.第一个请求获取authorizatio_code(此请求具有参数authorization_code)
1.收到代码后,使用它获取access_token和refresh_token
1.过一段时间,当访问令牌过期时,使用步骤2中的refresh_token获取新的访问令牌和新的刷新令牌。(使用步骤1中的代码时,您将看到错误。)
希望这对您有所帮助,请更改您的代码,然后重试。

ttp71kqs

ttp71kqs6#

两个代码的第二个字符都是“/”。在将其放入查询字符串之前,您可能应该对其进行url编码。

zvokhttg

zvokhttg7#

通过添加URLDecode将工作。但现在它不再工作了。
必须添加prompt=consent,然后在使用授权代码声明它时仅返回刷新令牌。

相关问题