我正在寻找有关Google OAuth2 API中RFC7636(OAuth令牌交换的校对密钥)状态的具体信息.
Google公开了一个OAuth 2.0和OIDC提供商API,可以获取访问令牌.RFC7636中描述了一种建议的标准,用于在令牌交换中使用证明密钥,我们已经开始在与主要身份提供商的集成中使用.有些人接受证明密钥,有些人则忽略它; Google似乎意识到了这一点,但未能验证证明密钥.我还没有找到任何关于谷歌的提及.
具体而言,当遵循OAuth 2.0授权代码流与Google作为提供者时,我们生成一个随机数,使用SHA256对其进行哈希处理,对其进行base64 URL编码,然后将其传递给https://accounts.google.com/o/oauth2/v2/auth作为参数"code_challenge"和"code_challenge_method"按照规范.
端点接受参数并照常发出授权令牌.获取访问令牌时,我们使用code_verifier 调用https://www.googleapis.com/oauth2/v4/token ; 端点返回以下HTTP 400错误,表明存在一些代码验证者的意识:{"error":"invalid_grant","error_description":"缺少代码验证程序".}
developer.google.com/identity/protocols/OAuth2上的Google OAuth文档未提及任何这些参数; API操场不会扩展到使用OAuth2身份验证和令牌端点.任何见解将不胜感激.
京公网安备 11010802040832号 | 京ICP备19059560号-6 