有效的Google OAuth2令牌无法解析?

时间:2014-02-18 06:00:46

标签: oauth-2.0 google-api google-api-java-client android-authenticator

我有一个Google接受的有效OAuth2令牌,但GoogleIdTokenVerifier甚至无法解析它。

令牌为ya29.1.AADtN_XcjzHgauKetBvrbgHImGFg1pjiHRQAKHyTglBDjEZsTPUMQJ5p-xAKtk955_4r6MdnTe3HZ08(不用担心,它已经过期)。

它是在Android上使用

获得的
accountManager.blockingGetAuthToken(account, "oauth2:https://www.googleapis.com/auth/userinfo.email", true);

当我致电https://www.googleapis.com/oauth2/v1/tokeninfo?access_token=...时 我得到了理智的结果,如

{
  "issued_to": "34951113407.apps.googleusercontent.com",
  "audience": "34951113407.apps.googleusercontent.com",
  "scope": "https://www.googleapis.com/auth/userinfo.email",
  "expires_in": 3175,
  "email": "me@gmail.com",
  "verified_email": true,
  "access_type": "offline"
}

所以它必须是有效的令牌。 但是当我打电话时

new GoogleIdTokenVerifier(new UrlFetchTransport(), JacksonFactory.getDefaultInstance())
    .verify(authToken)

它给了我

com.fasterxml.jackson.core.JsonParseException: Unexpected character ('É' (code 201)): expected a valid value (number, String, array, object, 'true', 'false' or 'null')
 at [Source: java.io.ByteArrayInputStream@69886979; line: 1, column: 2]
    at com.fasterxml.jackson.core.JsonParser._constructError(JsonParser.java:1378)
    at com.fasterxml.jackson.core.base.ParserMinimalBase._reportError(ParserMinimalBase.java:599)
    at com.fasterxml.jackson.core.base.ParserMinimalBase._reportUnexpectedChar(ParserMinimalBase.java:520)
    at com.fasterxml.jackson.core.json.UTF8StreamJsonParser._handleUnexpectedValue(UTF8StreamJsonParser.java:2275)
    at com.fasterxml.jackson.core.json.UTF8StreamJsonParser._nextTokenNotInObject(UTF8StreamJsonParser.java:788)
    at com.fasterxml.jackson.core.json.UTF8StreamJsonParser.nextToken(UTF8StreamJsonParser.java:674)
    at com.google.api.client.json.jackson2.JacksonParser.nextToken(JacksonParser.java:55)
    at com.google.api.client.json.JsonParser.startParsing(JsonParser.java:213)
    at com.google.api.client.json.JsonParser.parse(JsonParser.java:372)
    at com.google.api.client.json.JsonParser.parse(JsonParser.java:328)
    at com.google.api.client.json.JsonParser.parseAndClose(JsonParser.java:158)
    at com.google.api.client.json.JsonParser.parseAndClose(JsonParser.java:140)
    at com.google.api.client.json.JsonFactory.fromInputStream(JsonFactory.java:206)
    at com.google.api.client.json.webtoken.JsonWebSignature$Parser.parse(JsonWebSignature.java:480)
    at com.google.api.client.googleapis.auth.oauth2.GoogleIdToken.parse(GoogleIdToken.java:57)
    at com.google.api.client.googleapis.auth.oauth2.GoogleIdTokenVerifier.verify(GoogleIdTokenVerifier.java:190)

通过调试JsonWebSignature,似乎令牌有效负载只是1

  • Android 4.4.2
  • com.google.http客户端:谷歌-HTTP-客户jackson2:1.17.0-RC
  • com.fasterxml.jackson.core:jackson-core:2.3.0(也尝试包括来自google-http-client-jackson的瞬态依赖的2.1.3) 还试过GsonFactory,异常不同,但也明显无法通过JsonWebSignature.parse()解析。

我做错了什么?那里有不同的令牌格式吗?

1 个答案:

答案 0 :(得分:6)

确实存在不同的令牌格式。

您拥有的OAuth2令牌是access_token - 它表示您的软件已获得您所请求范围的授权,但它没有说明哪个用户实际提出请求。

GoogleIdTokenVerifier期望验证的还有另一种令牌:OpenID Connect id_token。许多服务使用那个,因为这意味着某些第三方正在验证您正在查看的流量来自该人(或多或少!)。

还有更多背景here,但简短版本是您应该考虑使用[GoogleAuthUtil#getToken(android.content.Context,java.lang.String,java.lang.String)]({ {3}},java.lang.String,java.lang.String)) - 它将返回id_token作为字符串 - 或者考虑您需要的确切范围,并考虑请求{{1范围而不是当前openid

我知道这个答案可能为时已晚,无法帮助您:)