我正在使用GoogleAuthUtil.getToken()在Android应用程序中获取一次性代码,然后将其发送到我们的服务器。然后,我们的服务器将其交换为访问令牌,并使用它来获取用户的电子邮件。
这似乎奏效了。但是,如果我做以下操作:
- 获取一次性代码
- 将其发送到服务器
- 使用它,并对用户进行身份验证
- 擦除Android应用程序数据(使其忘记身份验证
- 获取一次性代码
第二个一次性代码实际上与第一个相同。
现在已经消耗了一次,所以服务器在第二次尝试将其交换为访问令牌时会出现以下错误:
Error:"invalid_grant", Description:"Invalid code.[Email:
Token Record:
Token: "4/aQQ_nbklfajrilawjvlkasjvVMD.AMsaNNC-gdsai3gJDIAvajvkrelwiDDI"
IssueDomain: "123456789012-1231231564adsafdas1f23a45fd6sad2.apps.googleusercontent.com"
IssueTimeSec: 1387110988
ExpirationTime: 1387111588
TokenUsage: 3
Scope: "https://www.googleapis.com/auth/plus.login"
Scope: "https://www.googleapis.com/auth/userinfo.email"
Scope: "https://www.googleapis.com/auth/plus.moments.write"
Scope: "https://www.googleapis.com/auth/plus.me"
Scope: "https://www.googleapis.com/auth/plus.profile.agerange.read"
Scope: "https://www.googleapis.com/auth/plus.profile.language.read"
Scope: "https://www.googleapis.com/auth/plus.circles.members.read"
ServiceInfo {
ServiceId: 123
Info <
[13245678] <
0x01 0x02 0x03 0x04 0x05 0x06 0x07 0x08 0x09 0x0a
>
>
}
ServiceInfo {
ServiceId: 226
Info <
[security_lso_auth_oauth2.EarlyIssuedTokenProto] <
auto_approved: false
access_token: "fd12.a.Afdsa1eawfdsa2avi_f1ds2af15eaw61f2ag45a6v8-1f3ds2af5ew6a12-ad5A"
refresh_token: "2/da4ge5a4f5dsav-fsa54fe4wa5f_dfasenU-dsaddew"
>
>
}
Revoked: true
AuthorizedBy: 0x1234567890
OAuthCallbackUrl: "urn:accounts.google.com:api_auth:programmatic:virtual_redirect_uri"
OfflineAccess: true
RevokeOnPasswordChange: true
ClientManagedRevocation: false
InBundle: true
]", Uri:""
(敏感数据替换为随机值)
我看到ExpirationTime还没有达到(10分钟有效期),但一次性代码不应该只从GoogleAuthUtil.getToken()返回一次吗?
在部署情况下,这可能不是问题,因为大多数用户只会登录一次,所以这是设计的吗?我应该在服务器上以任何方式处理它,还是接受这种情况的发生?
似乎使用GoogleAuthUtil.invalidateToken(context,token)可以使令牌无效。然后,您可以通过下次调用getToken()来请求新的令牌。但这需要添加用户权限android.permission.MANAGE_ACCOUNTS.