我正在尝试构建一个Rails应用程序作为自定义Google Actions的后端。粗略的用户流程是让我的应用程序用户通过“与 my_action 对话”调用我的自定义操作,这将要求他们登录。从那里,我可以继续从他们的用户中提取用户信息谷歌帐户。我现在面临的问题是在帐户关联过程中。
所以,当前的流是这样的:
“与 my_action 交谈” >>提示用户查看Google Home应用程序以链接帐户>>用户单击链接以链接其帐户>>重定向到他们选择用户帐户/登录的页面使用Google帐户>>“ IdP在身份验证代码交换中的错误响应”。我已经搜索了关于此错误消息的上下限,但是我只能找到与此特定消息相关的消息。
(由于缺乏声望,我无法发布屏幕截图!但是基本上错误屏幕只是*Bad response from IdP in Auth Code Exchange*和指向*Re-run linking flow*的链接仍然无法正常工作。)
当前,我正在使用宝石'omniauth-google-oauth2'通过OmniAuth中的OAuth2向Google进行身份验证。我对omniauth部分不太确定,但应按照here中所述进行oauth身份验证代码交换。
我也在使用gem google_assistant,特别是assistant-api-v2分支。该gem已有一段时间没有更新,并且可能尚未广泛使用/测试,因此这可能是潜在原因。我的服务器托管在heroku上,我使用DialogFlow作为实现工具。在DialogFlow中,我已经对我的应用/myapp/google_assistant启用了webhooks,并且勾选了Sign-In Required复选框。
关于Google信息中心“操作”中的帐户关联设置,我已经
- 将链接类型设置为仅Oauth,将授予类型设置为隐式。
- 将客户端ID设置为我的oauth2客户端ID
- 授权URL为' my-app.com/users/auth/google_oauth2 '(不需要令牌URL)
- 将范围设置为gmail
- 将测试信息设置为“用户名:test@email.com,密码:password”。我还不知道该字段的正确格式是什么。
在链接过程中,我的Heroku Web应用服务器上的日志如下:
2018-07-05T10:44:16.955840 #4] INFO -- : [a5b63d61-d97d-4b04-a10b-b3fee18c1c7d] Started GET "/users/auth/google_oauth2?response_type=token&client_id=*my_client_id*&redirect_uri=https://oauth-redirect.googleusercontent.com/r/*my_project_id*&scope=https://mail.google.com/&state=AA7-RQxyASRZMH3DU8v1lXOx08dXZdlDa_8qIqoQfcdSdbT2ltPpyO4JVYGo7SZWmCLgu2oq1aPnojP_ygDQQgjH-3fz7EFopdKVl1WqABA_uhSfwxGqN5ywmLXWE-Y74AFMTs4sEVkG_ctUxCz7oMXDumdPELRjHlhO0VRhcJXQFhCZ_2OOrEDKkST-pPLy_cD4T2Pptni9JQj8QUeXYkklg1I-836q4zqt6vOA9mCEEFqS_h0hwaVizBypk8joO85dOibe8w4OYlp4BHDegSQ_97oPeHJu_7TSJg9M2fAyZqww0XDNjwQAFCwFR1Z0fZ3b4RySlG5Uy_yLr_F5wLbMLvLa0mX63mwuf3hOUX4zoCpBoMnBcLi7hFUiaPj1wpTBhmrAZ05Oq6jKRcOqC-FX6yERPl5tQvNdsGdjH63mc-4J3tDL0tUzvvkYm6p0CjuOho4GiQwA1XZGvHZmOcKPLA6CKr26THAXmPVJSQmiIH1CSAuAypguuiNy0yhmMKgTH_WH5M8banpYYob-Yv2jVqu2H5f2RjF0i_XApCcHUj6VoNEg0cFYiMYaiIKJRH20-HpymW3IgOEd_2TjPg5yKEbYN5bN7C-zILVLC_1qyofyze0ag0lxgvsx3kvbAEI1MLpVAF0EACZeHJujzb8YM0vmOB8FuQLOeSanyZ8zrwrWXRzu9hSBQ4eHegsSneb5CugcQkt09uSnQhOTGGwOi0TVk_f6Sw" for *my_ip* at 2018-07-05 10:44:16 +0000
2018-07-05T10:44:16.956747+00:00 app[web.1]: I, [2018-07-05T10:44:16.956679 #4] INFO -- omniauth: (google_oauth2) Request phase initiated.
2018-07-05T10:44:17.015111+00:00 heroku[router]: at=info method=GET path="/users/auth/google_oauth2?response_type=token&client_id=*my-client-id*&redirect_uri=https://oauth-redirect.googleusercontent.com/r/my-project-id&scope=https://mail.google.com/&state=AA7-RQxyASRZMH3DU8v1lXOx08dXZdlDa_8qIqoQfcdSdbT2ltPpyO4JVYGo7SZWmCLgu2oq1aPnojP_ygDQQgjH-3fz7EFopdKVl1WqABA_uhSfwxGqN5ywmLXWE-Y74AFMTs4sEVkG_ctUxCz7oMXDumdPELRjHlhO0VRhcJXQFhCZ_2OOrEDKkST-pPLy_cD4T2Pptni9JQj8QUeXYkklg1I-836q4zqt6vOA9mCEEFqS_h0hwaVizBypk8joO85dOibe8w4OYlp4BHDegSQ_97oPeHJu_7TSJg9M2fAyZqww0XDNjwQAFCwFR1Z0fZ3b4RySlG5Uy_yLr_F5wLbMLvLa0mX63mwuf3hOUX4zoCpBoMnBcLi7hFUiaPj1wpTBhmrAZ05Oq6jKRcOqC-FX6yERPl5tQvNdsGdjH63mc-4J3tDL0tUzvvkYm6p0CjuOho4GiQwA1XZGvHZmOcKPLA6CKr26THAXmPVJSQmiIH1CSAuAypguuiNy0yhmMKgTH_WH5M8banpYYob-Yv2jVqu2H5f2RjF0i_XApCcHUj6VoNEg0cFYiMYaiIKJRH20-HpymW3IgOEd_2TjPg5yKEbYN5bN7C-zILVLC_1qyofyze0ag0lxgvsx3kvbAEI1MLpVAF0EACZeHJujzb8YM0vmOB8FuQLOeSanyZ8zrwrWXRzu9hSBQ4eHegsSneb5CugcQkt09uSnQhOTGGwOi0TVk_f6Sw" host=*my-web-app* request_id=a5b63d61-d97d-4b04-a10b-b3fee18c1c7d fwd="*my-ip*" dyno=web.1 connect=0ms service=63ms status=302 bytes=5935 protocol=https
至于该过程的重定向链,我不确定如何完全保存网络日志,但是使用Chrome扩展程序,登录到Google帐户时的重定向链会导致错误的响应错误:
Status Code URL IP Page Type Redirect Type Redirect URL
302 https://oauth-redirect.googleusercontent.com/r/*my-project-id*?state=AA7-RQyd1KsD63DBoQF_-NfYijzGvptfXTEj8D3AwQzW_ByUe8K0UnLZVuQjE6y8txJMcabFTC4fQhxHqqpTv28_e3dDuLBpYaGKqo_urwHkswmf1pAV2da7nPoVb-n1DHe1P-xU-jzU5c8vlyWCXJPpMDZyR7K0AQ7qdDCQRtr9oPpDymPyYknGIrQB6rI9VRSFinsGhZTnno2AvtOJCkTZfe3abYSdzjB-Am3PI9p-oAwh0f6mBzUGDYCMIB-traI_INV9fSa8tS9K363pBKUBQ-YgKI5nKI8Uqbz5UduNDwB99eQSUaEZu48vabVTwGjsLUczbkA46-u-AKAV65iwTPE6e-zRI11LRgfw4uObam8S3xvL3ok9pESzwGpMlBmEO0goyg9xJa2ULatLOy2PGRcMbWcuhyp84ttzedmiD2gdidVxHafEwgSpSEqad6YLWvCtV4XGbHxyuFZXF8rjFiDUK__KaJ2G-cbzyiXaVQ-YOh80NM8QQmAIPvys-2BTteP_G-1xjRZFpgJO6-dnZw2jelcF8KkITIGTNMuLejrcCyADjusaNOMrHMkASXohnq5p0lpkjPIcEZryghziPu3soPJ8A9jj8K9Ka-CWNosv9aBAnpN4eKYlOBEVljc6W824XPYgYMW62cBHlTlqV8RMNpo_5h6LRf2UdmY2T85xk3Iuz1_1Lr8jeu-UYZILPP2sc7HrjP7eFp70qgMCUQEk_JwsyQ&code=4/AAC6qctB8IxI0ijzYibSubvzae-yNgNcVOtUrbnhORSMNRxQXi2DeZE9wqn6lLqOLkb0NYeYRU15IH8H6qP9CcY# 172.217.160.1 server_redirect temporary https://gala-demo.appspot.com/app#redirect_state=AA7-RQxBXe_JzFx7iXtcObVa7AJ4qPiiLY_XHrtgX861Z1TlUiOLFM3ymhzxqHWCONLFXjOJQkhNyCsH35cylVBrKtyLDaE-4J7wJ-P9PS3-JEPVeaoRnm7uo4ncLPW5EMxR--onGLFNZydFbqNKhdhWTox3FkUuv2lNZB2FcY9ZuhmE7LwiMXFYatawmFXpjZ0QdLkKEvqGcrG0gxi6G9e_Rsa1maUBWLvb3GKU3jXfL5J0YQI_Y6WwJj5c1c8gzBnABulzSR9wak3r9J-wTSM1-doKNIWr1OBeeoj40AR-NwIcj_9BgOGupUTQA-jdV0mQL6q69bVDuwrMJ_ftuC2ojAINWuGcVlF8MaT8phT347rFS8jAfZXKMM2N6gwEbO6Pepgtndg74JcKcwN6jhN0_dWE9XnNH78iwZoQP2nIu1_hojLOiN26-Y3l1xjKUu9WpCrdbIn3jdBIjUs_82pwM2uRqdvLAuiJJVktaJ9CNaky29bihLV1KwcyzQU5zMZ0YdOgvDi7vDHF15FyR2mlywXhx2Pzqs_Gi09Q3CUQ_u0JKiM3_Iyo9RxuzDUZIvZRUtGbu4W2rIWHgKuwGEw6C611ZGtUjORNpEjgHc_861OLJJBSqAIqGgE1tvilyV9y6FbqoXtP5bAfYFuWWl5lmcy9r6s3D3coagPdKlHcrxYxkUETRSyuaCcBo75ilztd3YqgyxVIadbgOwHmU0Cx-mtdwwJOfEdousw2dXnAkdVuG1d4fv6dT6XKyd4x7dyh7CPtVH9O2j65NvIqFE90NfQdNupm_kSKfnt3xCnwzTv155BM4B9tiXd6aKp3d2xIkY57nsTqOTBmTZ6_lf9-EWeHxS_0ukbDYiSVQsFwDz8d0GilKeU&state=AA7-RQyd1KsD63DBoQF_-NfYijzGvptfXTEj8D3AwQzW_ByUe8K0UnLZVuQjE6y8txJMcabFTC4fQhxHqqpTv28_e3dDuLBpYaGKqo_urwHkswmf1pAV2da7nPoVb-n1DHe1P-xU-jzU5c8vlyWCXJPpMDZyR7K0AQ7qdDCQRtr9oPpDymPyYknGIrQB6rI9VRSFinsGhZTnno2AvtOJCkTZfe3abYSdzjB-Am3PI9p-oAwh0f6mBzUGDYCMIB-traI_INV9fSa8tS9K363pBKUBQ-YgKI5nKI8Uqbz5UduNDwB99eQSUaEZu48vabVTwGjsLUczbkA46-u-AKAV65iwTPE6e-zRI11LRgfw4uObam8S3xvL3ok9pESzwGpMlBmEO0goyg9xJa2ULatLOy2PGRcMbWcuhyp84ttzedmiD2gdidVxHafEwgSpSEqad6YLWvCtV4XGbHxyuFZXF8rjFiDUK__KaJ2G-cbzyiXaVQ-YOh80NM8QQmAIPvys-2BTteP_G-1xjRZFpgJO6-dnZw2jelcF8KkITIGTNMuLejrcCyADjusaNOMrHMkASXohnq5p0lpkjPIcEZryghziPu3soPJ8A9jj8K9Ka-CWNosv9aBAnpN4eKYlOBEVljc6W824XPYgYMW62cBHlTlqV8RMNpo_5h6LRf2UdmY2T85xk3Iuz1_1Lr8jeu-UYZILPP2sc7HrjP7eFp70qgMCUQEk_JwsyQ&service=*my_project_id*dev
200 https://gala-demo.appspot.com/app#redirect_state=AA7-RQxBXe_JzFx7iXtcObVa7AJ4qPiiLY_XHrtgX861Z1TlUiOLFM3ymhzxqHWCONLFXjOJQkhNyCsH35cylVBrKtyLDaE-4J7wJ-P9PS3-JEPVeaoRnm7uo4ncLPW5EMxR--onGLFNZydFbqNKhdhWTox3FkUuv2lNZB2FcY9ZuhmE7LwiMXFYatawmFXpjZ0QdLkKEvqGcrG0gxi6G9e_Rsa1maUBWLvb3GKU3jXfL5J0YQI_Y6WwJj5c1c8gzBnABulzSR9wak3r9J-wTSM1-doKNIWr1OBeeoj40AR-NwIcj_9BgOGupUTQA-jdV0mQL6q69bVDuwrMJ_ftuC2ojAINWuGcVlF8MaT8phT347rFS8jAfZXKMM2N6gwEbO6Pepgtndg74JcKcwN6jhN0_dWE9XnNH78iwZoQP2nIu1_hojLOiN26-Y3l1xjKUu9WpCrdbIn3jdBIjUs_82pwM2uRqdvLAuiJJVktaJ9CNaky29bihLV1KwcyzQU5zMZ0YdOgvDi7vDHF15FyR2mlywXhx2Pzqs_Gi09Q3CUQ_u0JKiM3_Iyo9RxuzDUZIvZRUtGbu4W2rIWHgKuwGEw6C611ZGtUjORNpEjgHc_861OLJJBSqAIqGgE1tvilyV9y6FbqoXtP5bAfYFuWWl5lmcy9r6s3D3coagPdKlHcrxYxkUETRSyuaCcBo75ilztd3YqgyxVIadbgOwHmU0Cx-mtdwwJOfEdousw2dXnAkdVuG1d4fv6dT6XKyd4x7dyh7CPtVH9O2j65NvIqFE90NfQdNupm_kSKfnt3xCnwzTv155BM4B9tiXd6aKp3d2xIkY57nsTqOTBmTZ6_lf9-EWeHxS_0ukbDYiSVQsFwDz8d0GilKeU&state=AA7-RQyd1KsD63DBoQF_-NfYijzGvptfXTEj8D3AwQzW_ByUe8K0UnLZVuQjE6y8txJMcabFTC4fQhxHqqpTv28_e3dDuLBpYaGKqo_urwHkswmf1pAV2da7nPoVb-n1DHe1P-xU-jzU5c8vlyWCXJPpMDZyR7K0AQ7qdDCQRtr9oPpDymPyYknGIrQB6rI9VRSFinsGhZTnno2AvtOJCkTZfe3abYSdzjB-Am3PI9p-oAwh0f6mBzUGDYCMIB-traI_INV9fSa8tS9K363pBKUBQ-YgKI5nKI8Uqbz5UduNDwB99eQSUaEZu48vabVTwGjsLUczbkA46-u-AKAV65iwTPE6e-zRI11LRgfw4uObam8S3xvL3ok9pESzwGpMlBmEO0goyg9xJa2ULatLOy2PGRcMbWcuhyp84ttzedmiD2gdidVxHafEwgSpSEqad6YLWvCtV4XGbHxyuFZXF8rjFiDUK__KaJ2G-cbzyiXaVQ-YOh80NM8QQmAIPvys-2BTteP_G-1xjRZFpgJO6-dnZw2jelcF8KkITIGTNMuLejrcCyADjusaNOMrHMkASXohnq5p0lpkjPIcEZryghziPu3soPJ8A9jj8K9Ka-CWNosv9aBAnpN4eKYlOBEVljc6W824XPYgYMW62cBHlTlqV8RMNpo_5h6LRf2UdmY2T85xk3Iuz1_1Lr8jeu-UYZILPP2sc7HrjP7eFp70qgMCUQEk_JwsyQ&service=*my_project_id*_dev 74.125.24.153 normal none none
我还注意到,在身份验证的最后一步中只有一个错误400:
{
"error": {
"code": 400,
"message": "Bad response from IdP in Auth Code Exchange",
"status": "FAILED_PRECONDITION"
}
}
Request URL: https://oauthintegrations.googleapis.com/v1/token:getForService
Request Method: POST
Status Code: 400
Remote Address: 74.125.24.95:443
Referrer Policy: no-referrer-when-downgrade
access-control-allow-origin: https://gala-demo.appspot.com
access-control-expose-headers: content-encoding,date,server,content-length
alt-svc: quic=":443"; ma=2592000; v="43,42,41,39,35"
cache-control: private
content-encoding: gzip
content-length: 136
content-type: application/json; charset=UTF-8
date: Thu, 05 Jul 2018 13:17:41 GMT
server: ESF
status: 400
vary: Origin, X-Origin, Referer
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
Provisional headers are shown
Authorization: Bearer *my access_token*
Content-Type: application/json
Origin: https://gala-demo.appspot.com
Referer: https://gala-demo.appspot.com/app
User-Agent: *my user agent*
{credential: {,…}, gdiState: "APP_AUTH", serviceId: "ardent-fusion-209108_dev",…}
credential
:
{,…}
gdiState
:
"APP_AUTH"
scopes
:
["https://mail.google.com/"]
serviceId
:
"*my_project_id*_dev"
任何帮助将不胜感激!如果您需要更多信息,请发表评论。感谢,并有一个愉快的一天! :)
更新:从那时起,我意识到omniauth遵循身份验证代码流程。因此,我将链接流程更改为身份验证代码,并添加了/users/auth/google_oauth2作为我的身份验证URL和/users/auth/google_oauth2/callback作为我的令牌URL。但是,即使我在我的oauth客户端的授权uri重定向中添加了my_app.com/users/auth/google_oauth2/callback和my_app.com/users/auth/google_oauth2和oauth-redirect.googleusercontent.com/r/my_proj_id,现在仍然存在redirect_uri_mismatch错误。此后,我尝试在客户端的重定向uri中添加尾随/,以及将https替换为http并在每个uri前面添加www,但是所有这些方法均不起作用。 (以上所有网址均带有https;我的声誉太低,无法发布8个以上的链接,因此我不得不忽略它们)
新的错误日志如下:
2018-07-06T10:06:48.542310+00:00 app[web.1]: I, [2018-07-06T10:06:48.542182 #4] INFO -- : [2270a384-f7a5-4b6a-9dce-a6999dc47b28] Started POST "/users/auth/google_oauth2/callback/" for 66.249.83.158 at 2018-07-06 10:06:48 +0000
2018-07-06T10:06:48.542796+00:00 app[web.1]: I, [2018-07-06T10:06:48.542726 #4] INFO -- omniauth: (google_oauth2) Callback phase initiated.
2018-07-06T10:06:48.651257+00:00 app[web.1]: E, [2018-07-06T10:06:48.651082 #4] ERROR -- omniauth: (google_oauth2) Authentication failure! invalid_credentials: OAuth2::Error, redirect_uri_mismatch: Bad Request
2018-07-06T10:06:48.651261+00:00 app[web.1]: {
2018-07-06T10:06:48.651264+00:00 app[web.1]: "error" : "redirect_uri_mismatch",
2018-07-06T10:06:48.651266+00:00 app[web.1]: "error_description" : "Bad Request"
2018-07-06T10:06:48.651268+00:00 app[web.1]: }
2018-07-06T10:06:48.652619+00:00 app[web.1]: I, [2018-07-06T10:06:48.652524 #4] INFO -- : [2270a384-f7a5-4b6a-9dce-a6999dc47b28] Processing by Users::OmniauthCallbacksController#failure as JSON
2018-07-06T10:06:48.652781+00:00 app[web.1]: I, [2018-07-06T10:06:48.652696 #4] INFO -- : [2270a384-f7a5-4b6a-9dce-a6999dc47b28] Parameters: {"grant_type"=>"authorization_code", "code"=>"*my_auth_code*", "redirect_uri"=>"https://oauth-redirect.googleusercontent.com/r/*my_proj_id*", "client_id"=>"*my_client_id*", "client_secret"=>"*my_client_secret*"}
答案 0 :(得分:1)
让我们看看问题出在哪里,而不是试图解决问题,这是一种完全不同的方法来解决问题,希望该方法可以更好地工作。
出了什么问题(和某些背景)
使用Google Actions进行传统身份验证需要您设置OAuth服务器。当用户到达其操作中需要身份验证的用户的位置时,它将引导他们到OAuth Web服务器登录,希望您的服务器向其发送访问令牌或身份验证代码,可能还需要做一些进一步的工作才能获得身份验证令牌,然后在每次调用Webhook实现时向您发送访问权限或身份验证令牌。然后,您可以使用此令牌来确定用户是谁,并采取适当的行动。
正在发生的情况是,助手正在将用户发送到登录点,并显示“完成后,使用访问令牌重定向回此处”的信息。那部分看起来不错。您正在执行包括Google登录在内的登录过程。在其中的某个时刻,您将重定向回助手想要的相同URL。
问题在于,它发送的是一次性身份验证代码,而不是发送回访问令牌。助手得到了这个,并且由于它不是配置要处理的内容,因此会因错误而失败。
不清楚为什么发送代码而不是访问令牌。 OmniAuth可能设计为使用“身份验证代码”方法,并且您已将Assistant配置为使用“隐式”方法。或者可能是登录和助手都使用相同的URL作为过程的一部分,这使事情变得混乱。或者,可能不是OmniAuth确实不是要扮演OAuth服务器的角色。
如果您真的想走这条路,请调查OmniAuth配置并考虑更改其或Action的配置。
更新 :听起来好像使用了不正确的身份验证流程,很高兴您已经解决了这一问题。您应该为OmniAuth设置的授权redirect_uri必须完全是 Google作为其请求的一部分发送的内容:https://oauth-redirect.googleusercontent.com/r/my_project_id
但是...您可能不需要这个。
使用Google登录进行帐户关联
由于您是使用Google登录在您的Web应用中登录用户的,因此您可以避免整个OAuth服务器问题,并利用现在可用的快捷方式。如果您的Web应用程序和您的操作都属于同一个Google Cloud Project,那么Google Sign In for the Assistant会在用户向项目进行身份验证后向其发送ID令牌给您。他们可以通过操作中的语音或使用Google登录登录网络应用来对自己进行身份验证。
发送的ID令牌不是auth令牌。但是,如果您已经保存了登录到Web应用程序中的用户的身份验证令牌和刷新令牌,则可以使用ID令牌中的信息来查找和使用这些信息。
最大的“陷阱”是您仅需要通过webapp请求其他作用域-作为操作的一部分,您无法执行此操作。但是,这并不是主要障碍,它只是意味着,如果用户在没有ID的情况下到达您的操作,请引导他们首先登录您的网络应用。
查看更多讨论和图表at this Stack Overflow question