使用Google帐户静默刷新令牌时出错

时间:2019-01-17 16:42:08

标签: angular oauth-2.0 google-oauth angular-oauth2-oidc

在有角度的CLI Web应用程序中,我需要使用Google帐户对用户进行身份验证。

我正在使用angular_oauth_oidc库来管理所有与oauth相关的任务。我已经将OAutService配置为自动进行无提示刷新。 我可以在提琴手中看到该服务正在请求刷新令牌,但是响应是错误的。

这是对account.google.com的请求(不包含敏感信息):

GET /o/oauth2/v2/auth?response_type=id_token%20token&client_id=[MY_CLIENT_ID]&state=[MY_STATE]&redirect_uri=http%3A%2F%2Flocalhost%3A4200%2Fassets%2Fsilent-refresh.html&scope=openid%20profile%20email&nonce=[MY_NONCE]&prompt=none&id_token_hint=[MY TOKEN] HTTP/1.1

这是响应:

HTTP/1.1 302 Found
Content-Type: application/binary
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: Mon, 01 Jan 1990 00:00:00 GMT
Date: Thu, 17 Jan 2019 15:49:21 GMT
Location: http://localhost:4200/assets/silent-refresh.html#state=[STATE]&error_subtype=access_denied&error=interaction_required

根据库文档和oidc标准,该请求具有所有必需的参数,但我无法使其正常工作。

有人成功使用Google帐户成功进行了自动无提示令牌刷新吗?

谢谢

1 个答案:

答案 0 :(得分:0)

您遇到此错误:

  • error_subtype=access_denied
  • error=interaction_required

如果将其包含在客户端应用程序中,则还应该在控制台上看到它:

import { OAuthErrorEvent } from 'angular-oauth2-oidc';
// ...
// Wherever you set up the library, do this:
this.authService.events.subscribe(e => (e instanceof OAuthErrorEvent) ? console.error(e) : console.warn(e));

基本上,错误表示您的IDS拒绝将令牌发送到Angular应用程序,直到用户与IDS进行某种交互为止。通常,这意味着(重新)输入您的用户名和/或密码,或给出某种同意。

在客户端,发生这种情况时,您应该致电initImplicitFlow()。在my sample repository中,我将按照以下步骤进行操作:

return this.oauthService.loadDiscoveryDocument()
  .then(() => this.oauthService.tryLogin())
  .then(() => {
    if (this.oauthService.hasValidAccessToken()) {
      return Promise.resolve();
    }

    // 2. SILENT LOGIN:
    return this.oauthService.silentRefresh()
      .then(() => Promise.resolve())
      .catch(result => {
        // Subset of situations from https://openid.net/specs/openid-connect-core-1_0.html#AuthError
        // Only the ones where it's reasonably sure that sending the
        // user to the IdServer will help.
        const errorResponsesRequiringUserInteraction = [
          'interaction_required',
          'login_required',
          'account_selection_required',
          'consent_required',
        ];

        if (result
          && result.reason
          && errorResponsesRequiringUserInteraction.indexOf(result.reason.error) >= 0) {

          // Enable this to ALWAYS force a user to login.
          this.oauthService.initImplicitFlow();

          // Should be superfluous, user should be redirected to IDS already...
          return Promise.reject();
        }

        return Promise.reject(result);
      });
  });
相关问题
最新问题