invalid_grant versucht, oAuth-Token von Google zu erhalten

Ich immer eine invalid_grant Fehler zu versuchen, um einen oAuth-token von Google zu verbinden, um Ihre Kontakte-api. Alle Angaben korrekt sind und ich dreifach überprüft, so eine Art ratlos.

Weiß jemand, was möglicherweise dieses Problem verursacht werden? Ich habe versucht, die Einrichtung einer anderen client-id, aber ich bekomme das gleiche Ergebnis, ich habe versucht, verbinden viele verschiedene Möglichkeiten, einschließlich versuchen der Kraft-Authentifizierung, aber immer noch das gleiche Ergebnis.

InformationsquelleAutor der Frage André Figueira | 2012-05-14

google-api

46

Ich lief in dieses problem, wenn ich nicht ausdrücklich um eine "offline" - Zugang senden, wenn der Benutzer die OAuth "willst du dir diese app die Berechtigung zum berühren deine Sachen?" - Seite.

Stellen Sie sicher, dass Sie angeben, access_type=offline in Ihrer Anfrage.

Details hier: https://developers.google.com/accounts/docs/OAuth2WebServer#offline

(Auch: ich denke, Google hat diese Einschränkung ist für Ende 2011 vorgesehen. Wenn Sie alte Token aus, bevor dann, werden Sie brauchen, um zu senden, die die Benutzer die Berechtigung die Seite zu ermächtigen, die offline-Nutzung.)

InformationsquelleAutor der Antwort bonkydog
53

Ich lief in das gleiche problem trotz Angabe der "offline" - access_type in meinem Antrag nach bonkydog Antwort. Lange Geschichte kurz, fand ich, dass die beschriebene Lösung hier für mich gearbeitet:

https://groups.google.com/forum/#!topic/google-analytics-Daten-export-api/4uNaJtquxCs

Im wesentlichen, wenn Sie eine OAuth2-Client in Ihrem Google APIs-Konsole Google wird Ihnen eine "Client-ID" und eine "E-Mail-Adresse" (vorausgesetzt, Sie wählen Sie "webapp" als client-Typ). Und trotz Google irreführend, Namenskonventionen, Sie erwarten, dass Sie zum senden der E-Mail-Adresse" als Wert der client_id parameter, wenn Sie den Zugriff auf Ihre OAuth2-API.

Dies gilt bei Aufruf dieser URL:
- https://accounts.google.com/o/oauth2/auth
- https://accounts.google.com/o/oauth2/token
Beachten Sie, dass der Aufruf der ersten URL erfolgreich wenn Sie rufen es mit Ihrem "Client-ID" statt "E-Mail-Adresse". Aber mit dem code zurückgegeben, von der die Anforderung wird nicht funktionieren, wenn der Versuch, eine Inhaber-token von der zweiten URL. Stattdessen erhalten Sie eine "Fehler 400" und ein "invalid_grant" - Meldung.

InformationsquelleAutor der Antwort aroth
35

Dies ist zwar eine alte Frage, es scheint, wie viele immer noch darauf stoßen - wir verbrachten die Tage auf Ende verfolgen diese nach unten uns.

In der OAuth2-Spezifikation, "invalid_grant" ist eine Art von catch-all für alle Fehler in Zusammenhang mit ungültigen/abgelaufenen/widerrufen-Token (auth gewähren oder refresh-token).

Für uns, das problem war zweifach:
1. Benutzer aktiv widerrufen Zugang zu unserer app
  
  Macht Sinn, aber so aus: 12 Stunden nach Widerruf, Google Stoppt das senden von die Fehlermeldung in Ihrer Antwort:
  “error_description” : “Token has been revoked.”
  
  Es ist eher irreführend, da Sie davon ausgehen, dass die Fehlermeldung, ist es zu allen Zeiten, das ist nicht der Fall. Sie können prüfen, ob Ihr der app noch Zugriff auf die apps-Berechtigung-Seite.
2. Benutzer zurückgesetzt/wiederhergestellt sein Google Passwort
  
  Im Dezember 2015, Google geändert Ihre Standard-Verhalten, so dass das zurücksetzen von Kennwörtern für nicht-Google-Apps-Nutzer würde automatisch widerrufen, werden alle Benutzer-apps refresh Token. Auf Widerruf, die Fehlermeldung folgt der gleichen Regel wie der Fall vor, so dass Sie bekommen nur die "error_description" in den ersten 12 Stunden. Es scheint nicht zu irgendeiner Weise zu wissen, ob der Benutzer manuell gesperrt-Zugang (intentful) oder es geschah, weil von einem Passwort-reset (side-effect).
Abgesehen von denen, es gibt eine Vielzahl von anderen möglichen Ursachen, könnte die den Fehler auslösen:
1. Server-Uhr/Zeit out of sync
2. Keine Berechtigung für den offline-Zugriff
3. Gedrosselt durch Google
4. Mit abgelaufen refresh Token
5. Benutzer inaktiv war, wurde für 6 Monate
6. Verwenden service-Mitarbeiter E-Mail anstelle der client-ID
7. Zu viele access-Token in der kurzen Zeit
8. Client SDK veraltet
9. Falsch/unvollständig refresh token
Ich habe einen kurzen Artikel geschrieben fasst jedes Element mit einigen debugging-Anleitung, um den Schuldigen finden. Hoffe, es hilft.

InformationsquelleAutor der Antwort laander
7

Ich hatte das gleiche problem. Ich für mich fest, dies über den E-Mail-Adresse (die Zeichenfolge endet mit [email protected]) anstelle von Client ID client_id parameter-Wert. Die Namensgebung durch Google setzen, ist verwirrend hier.

InformationsquelleAutor der Antwort Tony Vu
2

Ich hatte die gleiche Fehlermeldung 'invalid_grant' und es war, weil die
authResult['code']
senden von client-side javascript wurde nicht richtig aufgenommen auf dem server.

Versuchen Sie Ausgabe, die es wieder vom server, um zu sehen, ob es richtig ist, und nicht einen leeren string.

InformationsquelleAutor der Antwort Mihai Crăiță
2

Mein Problem war, dass ich diese URL:
```
https://accounts.google.com/o/oauth2/token
```
Wann sollte ich diese URL:
```
https://www.googleapis.com/oauth2/v4/token
```
War diese Prüfung ein service-Konto, die wollte den offline-Zugriff auf die Lagerung Motor.

InformationsquelleAutor der Antwort Brad Lee
1

wenn Sie mit Schreiber Bibliothek, richten Sie einfach den offline-Modus, wie bonkydog vorgeschlagen
hier ist der code:
```
OAuthService service = new ServiceBuilder().provider(Google2Api.class).apiKey(clientId).apiSecret(apiSecret)
                .callback(callbackUrl).scope(SCOPE).offline(true)
                .build();
```
https://github.com/codolutions/scribe-java/

InformationsquelleAutor der Antwort Oleksii Kyslytsyn
1

in diesem Ort
console.developers.google.com

diese Konsole board wählen Sie Ihr Projekt Eingabe der Eid-url.
die oauth callback url umgeleitet wird, wenn die oauth-Erfolg

InformationsquelleAutor der Antwort user5699596

Mithilfe eines Android-clientId (keine client_secret) war ich immer folgende Fehlermeldung als Antwort:

{
 "error": "invalid_grant",
 "error_description": "Missing code verifier."
}

Ich finde keine Dokumentation für das Feld 'code_verifier' ich aber entdeckt, wenn man es auf gleiche Werte in den Autorisierungs-und token anfordert, wird Sie diesen Fehler. Ich bin mir nicht sicher, was das soll Wert sein sollte, oder wenn es sollte sicher sein. Es hat einige minimale Länge (16? Zeichen), aber ich fand die Einstellung zu null auch funktioniert.

Ich bin mit AppAuth für die Autorisierungs-Anfrage in mein Android-client hat eine setCodeVerifier() Funktion.

AuthorizationRequest authRequest = new AuthorizationRequest.Builder(
                                    serviceConfiguration,
                                    provider.getClientId(),
                                    ResponseTypeValues.CODE,
                                    provider.getRedirectUri()
                            )
                            .setScope(provider.getScope())
                            .setCodeVerifier(null)
                            .build();

Hier ist ein Beispiel token-Anfrage in Knoten:

request.post(
  'https://www.googleapis.com/oauth2/v4/token',
  { form: {
    'code': '4/xxxxxxxxxxxxxxxxxxxx',
    'code_verifier': null,
    'client_id': 'xxxxxxxxxxxxxxxxxxxxxx.apps.googleusercontent.com',
    'client_secret': null,
    'redirect_uri': 'com.domain.app:/oauth2redirect',
    'grant_type': 'authorization_code'
  } },
  function (error, response, body) {
    if (!error && response.statusCode == 200) {
      console.log('Success!');
    } else {
      console.log(response.statusCode + ' ' + error);
    }

    console.log(body);
  }
);

Habe ich getestet und diese funktioniert mit beiden https://www.googleapis.com/oauth2/v4/token und https://accounts.google.com/o/oauth2/token.

Wenn Sie GoogleAuthorizationCodeTokenRequest statt:

final GoogleAuthorizationCodeTokenRequest req = new GoogleAuthorizationCodeTokenRequest(
                    TRANSPORT,
                    JSON_FACTORY,
                    getClientId(),
                    getClientSecret(),
                    code,
                    redirectUrl
);
req.set("code_verifier", null);          
GoogleTokenResponse response = req.execute();

InformationsquelleAutor der Antwort Justin Fiedler

1

Dies ist eine doofe Antwort, aber das problem für mich war, dass ich konnte nicht erkennen, hatte ich schon ausgestellt, eine aktive oAuth-token für mein google-Nutzer, die ich nicht zu speichern. Die Lösung in diesem Fall ist zu gehen, um die api-Konsole und zurücksetzen der client-Geheimnis.

Gibt es zahlreiche weitere Antworten auf, DAMIT dieser Effekt zum Beispiel
Zurücksetzen-Client-Geheimnis OAuth2 - clients brauchen, um wieder den Zugang gewähren?

InformationsquelleAutor der Antwort paul
1

Haben Sie vielleicht zu entfernen, stale/invalid OAuth Antwort.

Credit: node.js google oauth2 Probe aufgehört zu arbeiten invalid_grant

Hinweis: Ein OAuth-Reaktion wird auch ungültig, wenn das Passwort, das Sie bei der ursprünglichen Genehmigung geändert wurde.

Wenn in einem bash-Umgebung können Sie verwenden Sie den folgenden entfernen die veraltete Antwort:

rm /Users/<username>/.credentials/<authorization.json>

InformationsquelleAutor der Antwort Lindauson
1

Es gibt zwei wichtige Gründe für invalid_grant Fehler, die Sie haben zu kümmern, bevor die POST-Anforderung für die Refresh-Token und Access Token.
1. - Request-header enthalten muss "content-type: application/x-www-form-urlencoded"
2. Ihre Anfrage-payload werden sollte, url-codierte Formulardaten, nicht senden als json-Objekt.
RFC 6749 OAuth 2.0 definiert invalid_grant:
Die bereitgestellten Berechtigung erteilen können (z.B. authorization code resource owner Anmeldeinformationen) oder refresh-token ist ungültig, abgelaufen, widerrufen, nicht mit der redirect-URI verwendet, der in der authorization-Anfrage, oder wurde ausgestellt, um einem anderen client.

Fand ich ein weiteres gutes Artikel, hier finden Sie noch viele weitere Gründe für diesen Fehler.

https://blog.timekit.io/google-oauth-invalid-grant-nightmare-and-how-to-fix-it-9f4efaf1da35

InformationsquelleAutor der Antwort Hisham Javed

Nach der Betrachtung und versucht, all die anderen Möglichkeiten, hier, hier ist, wie ich das Problem gelöst, in nodejs mit der googleapis - Modul in Verbindung mit der request Modul, die ich verwendet, um zu Holen die Token statt der vorgesehenen getToken() Methode:

const request = require('request');

//SETUP GOOGLE AUTH
var google = require('googleapis');
const oAuthConfigs = rootRequire('config/oAuthConfig')
const googleOAuthConfigs = oAuthConfigs.google

//for google OAuth: https://github.com/google/google-api-nodejs-client
var OAuth2 = google.auth.OAuth2;
var googleOAuth2Client = new OAuth2(
    process.env.GOOGLE_OAUTH_CLIENT_ID || googleOAuthConfigs.clientId, 
    process.env.GOOGLE_OAUTH_CLIENT_SECRET || googleOAuthConfigs.clientSecret, 
    process.env.GOOGLE_OAUTH_CLIENT_REDIRECT_URL || googleOAuthConfigs.callbackUrl);

/* generate a url that asks permissions for Google+ and Google Calendar scopes
https://developers.google.com/identity/protocols/googlescopes#monitoringv3*/
var googleOAuth2ClientScopes = [
    'https://www.googleapis.com/auth/plus.me',
    'https://www.googleapis.com/auth/userinfo.email'
];

var googleOAuth2ClientRedirectURL = process.env.GOOGLE_OAUTH_CLIENT_REDIRECT_URL || googleOAuthConfigs.callbackUrl; 

var googleOAuth2ClientAuthUrl = googleOAuth2Client.generateAuthUrl({
  access_type: 'offline', //'online' (default) or 'offline' (gets refresh_token)
  scope: googleOAuth2ClientScopes //If you only need one scope you can pass it as string
});

//AFTER SETUP, THE FOLLOWING IS FOR OBTAINING TOKENS FROM THE AUTHCODE


        const ci = process.env.GOOGLE_OAUTH_CLIENT_ID || googleOAuthConfigs.clientId
        const cs = process.env.GOOGLE_OAUTH_CLIENT_SECRET || googleOAuthConfigs.clientSecret
        const ru = process.env.GOOGLE_OAUTH_CLIENT_REDIRECT_URL || googleOAuthConfigs.callbackUrl
        var oauth2Client = new OAuth2(ci, cs, ru);

        var hostUrl = "https://www.googleapis.com";
        hostUrl += '/oauth2/v4/token?code=' + authCode + '&client_id=' + ci + '&client_secret=' + cs + '&redirect_uri=' + ru + '&grant_type=authorization_code',
        request.post({url: hostUrl}, function optionalCallback(err, httpResponse, data) {
            //Now tokens contains an access_token and an optional refresh_token. Save them.
            if(!err) {
                //SUCCESS! We got the tokens
                const tokens = JSON.parse(data)
                oauth2Client.setCredentials(tokens);

                //AUTHENTICATED PROCEED AS DESIRED.
                googlePlus.people.get({ userId: 'me', auth: oauth2Client }, function(err, response) {
                //handle err and response
                    if(!err) {
                        res.status(200).json(response);
                    } else {
                        console.error("/google/exchange 1", err.message);
                        handleError(res, err.message, "Failed to retrieve google person");
                    }
                });
            } else {
                console.log("/google/exchange 2", err.message);
                handleError(res, err.message, "Failed to get access tokens", err.code);
            }
        });

Ich einfach verwenden request um die api-Anfrage über HTTP wie hier beschrieben:
https://developers.google.com/identity/protocols/OAuth2WebServer#offline

POST /oauth2/v4/token HTTP/1.1
Host: www.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=8819981768.apps.googleusercontent.com&
client_secret={client_secret}&
redirect_uri=https://oauth2.example.com/code&
grant_type=authorization_code

InformationsquelleAutor der Antwort lwdthe1

0

Versuchen, ändern Sie Ihre url für requst zu
```
https://www.googleapis.com/oauth2/v4/token
```
InformationsquelleAutor der Antwort Sergiy Voytovych

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.