invalid_grant essayant d'obtenir un jeton oAuth de google

Je reçois un invalid_grant erreur d'essayer d'obtenir un jeton oAuth de Google pour se connecter à leurs contacts api. Toutes les informations sont correctes et j'ai triple vérifié ce alors un peu perplexe.

Personne ne sait ce qui peut provoquer ce problème? J'ai essayé de configurer un client différent de l'id pour elle, mais j'obtiens le même résultat, j'ai essayé de connecter de nombreuses manières différentes, y compris en essayant de la forcer l'authentification, mais toujours le même résultat.

pour moi le problème était sur google des informations d'identification de la page...j'ai créé un autre...et a résolu le problème....

InformationsquelleAutor André Figueira | 2012-05-14

google-api

55

J'ai rencontré ce problème quand je n'ai pas de demander explicitement de "hors connexion" accès lors de l'envoi à l'utilisateur de l'authentification OAuth "voulez-vous donner à cette application la permission de la toucher votre truc?" de la page.

Assurez-vous de spécifier access_type=hors ligne dans votre demande.

Plus de détails ici: https://developers.google.com/accounts/docs/OAuth2WebServer#offline

(Aussi: je pense que Google a ajouté cette restriction à la fin de 2011. Si vous avez de vieux jetons de avant, alors vous aurez besoin d'envoyer à vos utilisateurs de la page d'autorisation pour autoriser une utilisation hors connexion.)
- Grâce check it out! 🙂
- ce n'est pas la seule cause, mais un bon endroit pour commencer
- Je suis d'accord. J'ai mis access_type à offline, cette erreur se produit toujours.
InformationsquelleAutor bonkydog
62

J'ai rencontré ce même problème malgré de préciser le "hors ligne" access_type dans ma demande comme par bonkydog de réponse. Longue histoire courte, j'ai trouvé que la solution décrite ici a fonctionné pour moi:

https://groups.google.com/forum/#!topic/google-analytics-données-exportation-api/4uNaJtquxCs

En substance, lorsque vous ajoutez un OAuth2 Client dans votre API Google la console de Google vous donnera un "Client ID" et un "adresse Mail" (en supposant que vous sélectionnez "webapp" comme type de client). Et en dépit de Google trompeuse conventions de nommage, ils attendent de vous que vous envoyer "Email address" en tant que la valeur de la client_id paramètre lorsque vous accédez à leurs OAuth2 de l'API.

Cela s'applique lors de l'appel de ces deux URL:
- https://accounts.google.com/o/oauth2/auth
- https://accounts.google.com/o/oauth2/token
Noter que l'appel à la première URL réussir si vous l'appelez avec votre "Client ID" à la place de votre "adresse Email". Cependant, en utilisant le code retourné à partir de cette demande ne fonctionnera pas lorsque vous tentez d'obtenir un porteur de jeton à partir de la deuxième URL. Au lieu de cela, vous obtiendrez une Erreur " 400 " et un "invalid_grant" message.
- Absolument ridicule: en Particulier la partie où il travaille avec le client_id si vous obtenez un jeton d'actualisation initiale. Google API et leur documentation est un gâchis.
- J'ai été frapper ma tête contre ce problème pendant de nombreuses heures. Je n'ai jamais attendu que 'client_id' n'était pas ce qui était prévu pour le 'client_id' champ. À l'exception, parfois le temps quand vous obtenez un refresh_token et il fonctionne. Assez sûr que les mots que j'ai pour google à l'heure actuelle ne peut pas être dit sur DONC.
- Quelqu'un d'autre a remarqué que ce comportement est modifié dans les deux derniers jours? J'ai fait ce changement, à l'adresse électronique forme il y a quelques mois et tout en commençant à travailler à nouveau pendant un certain temps, mais maintenant tout d'un coup tous les appels à la fois les Url ont échoué avec "Le client OAuth n'a pas été trouvé." J'ai basculé vers le formulaire d'identification du client et il fonctionne à nouveau, mais maintenant, je ne suis pas sûr si cela va commencer à briser dans la façon dont elle était avant.
- Salut.. je suis incapable de trouver que "e-mail" adresse à vous les gars sont en train de parler. c'est ce que j'ai dans ma console --> pbs.twimg.com/media/CVVcEBWUwAAIiCy.png:large
- Où est cette Adresse e-mail? Je vais avoir le même problème
- Je suppose que quelque chose a changé ici. Regarde cette doc : developers.google.com/analytics/devguides/reporting/core/v3/...
- Ne faites jamais confiance à Google documents. Crapiest la documentation et les Api de Google, la société la plus précieuse au monde. J'ai dû passer d'innombrables heures à l'utilisation de l'API Google. Il y a des questions après questions, et alors leur propre .Bibliothèques Net pour les différentes Api de ne pas être de la compilation d'ensemble en raison de différents problèmes de dépendance et de tous. Le code fonctionne bien pour la plupart des utilisateurs, mais pour certains utilisateurs, je reçois toujours invalid_grant, invalid_credentials etc. pour aucune raison particulière.
- - Je recevoir invalid_grant exception pour certains utilisateurs, alors que d'autres utilisateurs les beaux travaux. Donc si il y avait quelque chose de mal avec le code, il ne devrait pas avoir travaillé pour 95% des utilisateurs. Tous ces commentaires sur la façon dont ils ont résolu ce problème sont des faux. Le fait est qu'ici les API de Google est l'un des crappiest produit que j'ai rencontré.
- Je ne peux que confirmer que moi aussi j'ai eu ces problèmes, certains utilisateurs d'obtenir invalid_grant tandis que les appels fonctionnent très bien pour les autres. À l'aide de la clientid des développeurs de la console, pas l'e-mail.
- Remplacement de la client_id avec l'email de l'utilisateur donne un invalid_client erreur. Cette réponse semble dépassée.
InformationsquelleAutor aroth
46

Bien que c'est une vieille question, il semble que de nombreux toujours le rencontrez - nous avons passé des jours et des jours de suivi de cette baisse de nous-mêmes.

Dans le OAuth2 spec, "invalid_grant" est une sorte de fourre-tout pour toutes les erreurs liées à la non valide ou a expiré/révocation des jetons (auth subvention ou à l'actualisation de jeton).

Pour nous, le problème était double:
1. Utilisateur a activement révoqué l'accès à notre application
  
  Du bon sens, mais voilà: les 12 heures après la révocation, Google arrête d'envoyer des le message d'erreur dans leur réponse:
  “error_description” : “Token has been revoked.”
  
  C'est plutôt trompeur, parce que vous allez supposer que le message d'erreur est là en permanence, ce qui n'est pas le cas. Vous pouvez vérifier si votre application a toujours accès à la apps page d'autorisation de.
2. Utilisateur a reset/récupéré leur mot de passe Google
  
  En décembre 2015, Google a changé leur comportement par défaut de sorte que les réinitialisations de mot de passe pour les non-utilisateurs de Google Apps automatiquement révoquer tous les utilisateurs des applications d'actualisation des jetons. Sur la révocation, le message d'erreur suit la même règle que le cas avant, de sorte que vous obtenez seulement les "error_description" dans les 12 premières heures. Il ne semble y avoir aucun moyen de savoir si l'utilisateur manuellement révoqué l'accès (intentful) ou c'est arrivé à cause d'une réinitialisation de mot de passe (effet secondaire).
En dehors de ces, il y a une multitude d'autres causes potentielles qui pourraient déclencher d'erreur:
1. Serveur d'horloge/temps est hors de synchronisation
2. Pas autorisé pour un accès hors ligne
3. Étranglé par Google
4. L'aide d'expiration de l'actualisation des jetons de
5. Utilisateur a été inactif pendant 6 mois
6. Utilisation travailleur des services de courriel au lieu de l'ID client
7. Trop de jetons d'accès en peu de temps
8. Client SDK peuvent être obsolètes
9. Incorrecte, incomplète actualiser jeton
J'ai écrit un court article résumant chaque élément avec un peu de débogage des conseils pour les aider à trouver le coupable. Espérons que cela aide.
- Un autre scénario est que si vous essayez d'obtenir des jetons plusieurs fois la forme le même code d'autorisation.
- C'est exactement mon problème, il suffit de la révocation de l'application par accident. Puis a eu à nouveau le refreshToken.php par le biais de terminal pour générer un autre code d'autorisation, puis de remplacer le refreshToken partout pour ce clientID.
InformationsquelleAutor laander
7

J'ai rencontré le même problème. Pour moi, j'ai fixé ce, en utilisant l'Adresse e-Mail (la chaîne qui se termine par [email protected]) au lieu de l'ID Client pour client_id valeur de paramètre. La désignation par Google est une source de confusion ici.
- C'est la même réponse donnée par @aroth plus qu'un an plus tôt
InformationsquelleAutor Tony Vu
2

J'ai eu le même message d'erreur "invalid_grant" et c'est parce que l'
authResult['code']
envoyer du côté client en javascript n'a pas été reçu correctement sur le serveur.

Essayez de sortie de retour sur le serveur pour voir si c'est correct et pas une chaîne vide.

InformationsquelleAutor Mihai Crăiță
2

Mon problème est que j'ai utilisé cette URL:
```
https://accounts.google.com/o/oauth2/token
```
Quand j'aurais utilisé cette URL:
```
https://www.googleapis.com/oauth2/v4/token
```
C'était le test d'un compte de service qui voulait l'accès hors connexion à l' Moteur de stockage.

InformationsquelleAutor Brad Lee
1

si vous utilisez scribe de la bibliothèque, il suffit de configurer le mode hors-ligne, comme suggéré bonkydog
voici le code:
```
OAuthService service = new ServiceBuilder().provider(Google2Api.class).apiKey(clientId).apiSecret(apiSecret)
                .callback(callbackUrl).scope(SCOPE).offline(true)
                .build();
```
https://github.com/codolutions/scribe-java/

InformationsquelleAutor Oleksii Kyslytsyn

À l'aide d'un Android clientId (pas de client_secret) j'ai l'erreur suivante se produit de réaction:

{
 "error": "invalid_grant",
 "error_description": "Missing code verifier."
}

Je ne trouve aucune documentation pour le champ 'code_verifier' mais j'ai découvert que si vous définissez des valeurs égales dans la demande d'autorisation et jeton de demandes, il va supprimer cette erreur. Je ne suis pas sûr de ce que la valeur doit être ou si il doit être sécurisé. Il a une certaine longueur minimale (16? caractères), mais j'ai trouvé la mise à null fonctionne également.

Je suis en utilisant AppAuth pour la demande d'autorisation dans mon client Android qui a un setCodeVerifier() fonction.

AuthorizationRequest authRequest = new AuthorizationRequest.Builder(
                                    serviceConfiguration,
                                    provider.getClientId(),
                                    ResponseTypeValues.CODE,
                                    provider.getRedirectUri()
                            )
                            .setScope(provider.getScope())
                            .setCodeVerifier(null)
                            .build();

Voici un exemple de demande de jeton au noeud:

request.post(
  'https://www.googleapis.com/oauth2/v4/token',
  { form: {
    'code': '4/xxxxxxxxxxxxxxxxxxxx',
    'code_verifier': null,
    'client_id': 'xxxxxxxxxxxxxxxxxxxxxx.apps.googleusercontent.com',
    'client_secret': null,
    'redirect_uri': 'com.domain.app:/oauth2redirect',
    'grant_type': 'authorization_code'
  } },
  function (error, response, body) {
    if (!error && response.statusCode == 200) {
      console.log('Success!');
    } else {
      console.log(response.statusCode + ' ' + error);
    }

    console.log(body);
  }
);

J'ai testé et cela fonctionne avec les deux https://www.googleapis.com/oauth2/v4/token et https://accounts.google.com/o/oauth2/token.

Si vous utilisez GoogleAuthorizationCodeTokenRequest à la place:

final GoogleAuthorizationCodeTokenRequest req = new GoogleAuthorizationCodeTokenRequest(
                    TRANSPORT,
                    JSON_FACTORY,
                    getClientId(),
                    getClientSecret(),
                    code,
                    redirectUrl
);
req.set("code_verifier", null);          
GoogleTokenResponse response = req.execute();

InformationsquelleAutor Justin Fiedler

1

C'est une réponse idiote, mais le problème pour moi est que j'ai échoué à réaliser que j'avais déjà émis un actif jeton oAuth pour mon utilisateur google qui je n'ai pas réussi à stocker. La solution dans ce cas est d'aller à l'api de la console et de réinitialiser la clé secrète client.

Il existe de nombreuses autres réponses sur DONC, à cet effet, par exemple
Client de réinitialisation de Secret OAuth2 - Faire, les clients ont besoin de ré-autoriser l'accès?

InformationsquelleAutor paul
1

Vous pourriez avoir à supprimer un obsolètes ou invalides OAuth réponse.

De crédit: node.js google oauth2 échantillon cessé de travailler invalid_grant

Note: OAuth réponse sera également devenir invalide si le mot de passe utilisé dans l'autorisation initiale a été modifiée.

Si dans un environnement bash, vous pouvez utiliser la commande suivante pour supprimer le obsolètes réponse:

rm /Users/<username>/.credentials/<authorization.json>

InformationsquelleAutor Lindauson
1

Il y a deux raisons principales pour l' invalid_grant d'erreur qui vous devez prendre soin avant la requête POST pour Actualiser Jeton Jeton d'Accès.
1. En-tête de demande doit contenir "content-type: application/x-www-form-urlencoded"
2. Votre demande de la charge utile doit être encodée url des Données de Formulaire, n'envoyez pas comme objet json.
RFC 6749 OAuth 2.0 défini invalid_grant que:
La demande d'autorisation de subvention (par exemple, le code d'autorisation, de ressources propriétaire des informations d'identification) ou à l'actualisation de jeton est invalide, expiré, révoqué, ne correspond pas à la redirection URI utilisé dans la demande d'autorisation, ou a été prise à un autre client.

J'ai trouvé un autre bon article, ici, vous trouverez de nombreuses autres raisons pour cette erreur.

https://blog.timekit.io/google-oauth-invalid-grant-nightmare-and-how-to-fix-it-9f4efaf1da35
- Vouliez-vous dire à la poste les deux à peu près identique réponses? Vous pouvez supprimer celui-ci car l'autre a une ligne supplémentaire.
InformationsquelleAutor Hisham Javed
0

dans ce site
console.developers.google.com

cette console de bord sélectionnez votre projet d'entrée de la prestation de serment de l'url.
oauth callback url de redirection lors de l'oauth succès

InformationsquelleAutor user5699596

Après avoir examiné et essayé tous les autres moyens, voici comment j'ai résolu le problème en nodejs avec le googleapis module en collaboration avec le request module, que j'ai utilisé pour récupérer les jetons au lieu de la condition getToken() méthode:

const request = require('request');

//SETUP GOOGLE AUTH
var google = require('googleapis');
const oAuthConfigs = rootRequire('config/oAuthConfig')
const googleOAuthConfigs = oAuthConfigs.google

//for google OAuth: https://github.com/google/google-api-nodejs-client
var OAuth2 = google.auth.OAuth2;
var googleOAuth2Client = new OAuth2(
    process.env.GOOGLE_OAUTH_CLIENT_ID || googleOAuthConfigs.clientId, 
    process.env.GOOGLE_OAUTH_CLIENT_SECRET || googleOAuthConfigs.clientSecret, 
    process.env.GOOGLE_OAUTH_CLIENT_REDIRECT_URL || googleOAuthConfigs.callbackUrl);

/* generate a url that asks permissions for Google+ and Google Calendar scopes
https://developers.google.com/identity/protocols/googlescopes#monitoringv3*/
var googleOAuth2ClientScopes = [
    'https://www.googleapis.com/auth/plus.me',
    'https://www.googleapis.com/auth/userinfo.email'
];

var googleOAuth2ClientRedirectURL = process.env.GOOGLE_OAUTH_CLIENT_REDIRECT_URL || googleOAuthConfigs.callbackUrl; 

var googleOAuth2ClientAuthUrl = googleOAuth2Client.generateAuthUrl({
  access_type: 'offline', //'online' (default) or 'offline' (gets refresh_token)
  scope: googleOAuth2ClientScopes //If you only need one scope you can pass it as string
});

//AFTER SETUP, THE FOLLOWING IS FOR OBTAINING TOKENS FROM THE AUTHCODE


        const ci = process.env.GOOGLE_OAUTH_CLIENT_ID || googleOAuthConfigs.clientId
        const cs = process.env.GOOGLE_OAUTH_CLIENT_SECRET || googleOAuthConfigs.clientSecret
        const ru = process.env.GOOGLE_OAUTH_CLIENT_REDIRECT_URL || googleOAuthConfigs.callbackUrl
        var oauth2Client = new OAuth2(ci, cs, ru);

        var hostUrl = "https://www.googleapis.com";
        hostUrl += '/oauth2/v4/token?code=' + authCode + '&client_id=' + ci + '&client_secret=' + cs + '&redirect_uri=' + ru + '&grant_type=authorization_code',
        request.post({url: hostUrl}, function optionalCallback(err, httpResponse, data) {
            //Now tokens contains an access_token and an optional refresh_token. Save them.
            if(!err) {
                //SUCCESS! We got the tokens
                const tokens = JSON.parse(data)
                oauth2Client.setCredentials(tokens);

                //AUTHENTICATED PROCEED AS DESIRED.
                googlePlus.people.get({ userId: 'me', auth: oauth2Client }, function(err, response) {
                //handle err and response
                    if(!err) {
                        res.status(200).json(response);
                    } else {
                        console.error("/google/exchange 1", err.message);
                        handleError(res, err.message, "Failed to retrieve google person");
                    }
                });
            } else {
                console.log("/google/exchange 2", err.message);
                handleError(res, err.message, "Failed to get access tokens", err.code);
            }
        });

- Je simplement utiliser request pour faire la demande d'api via HTTP, comme décrit ici:
https://developers.google.com/identity/protocols/OAuth2WebServer#offline

POST /oauth2/v4/token HTTP/1.1
Host: www.googleapis.com
Content-Type: application/x-www-form-urlencoded

code=4/P7q7W91a-oMsCeLvIaQm6bTrgtp7&
client_id=8819981768.apps.googleusercontent.com&
client_secret={client_secret}&
redirect_uri=https://oauth2.example.com/code&
grant_type=authorization_code

InformationsquelleAutor lwdthe1

0

Essayez de changer votre url de requête à
```
https://www.googleapis.com/oauth2/v4/token
```
InformationsquelleAutor Sergiy Voytovych

Pour l'avenir les gens... j'ai lu beaucoup d'articles et de blogs mais eu de la chance avec la solution ci-dessous...

GoogleTokenResponse tokenResponse =
      new GoogleAuthorizationCodeTokenRequest(
          new NetHttpTransport(),
          JacksonFactory.getDefaultInstance(),
          "https://www.googleapis.com/oauth2/v4/token",
          clientId,
          clientSecret,
          authCode,
          "") //Redirect Url
     .setScopes(scopes)
     .setGrantType("authorization_code")
     .execute();

Cette blog représente les différents cas dans lesquels "invalid_grant" erreur vient.

Profitez-en!!!

InformationsquelleAutor Kanishk Gupta

0

pour moi, j'ai dû faire en sorte que le redirect_uri correspondent exactement à celle de la console développeur Authorised redirect URIs, qu'il fixe pour moi, j'ai été en mesure de débogage et de savoir quel était exactement le problème après le passage de l'
https://accounts.google.com/o/oauth2/token à https://www.googleapis.com/oauth2/v4/token

J'ai reçu un bon d'erreur:
```
{"error": "redirect_uri_mismatch",  "error_description": "Bad Request"}
```
InformationsquelleAutor Waqleh
0

J'ai eu ce problème après l'activation d'un nouveau service API Google console et l'utilisation de la déjà fait des informations d'identification.

Pour résoudre le problème, j'ai dû revenir à la page d'informations d'identification, en cliquant sur le nom d'identification, et en cliquant sur "Enregistrer" nouveau. Après cela, j'ai pu authentifier l'amende juste.

InformationsquelleAutor kimphamg

Dans mon cas, le problème dans mon code. Par erreur j'ai essayé de lancer le client 2 fois avec la même jetons. Si aucune des réponses ci-dessus aidé assurez-vous de ne pas générer des 2 instances du client.

Mon code avant de le fixer:

def gc_service
      oauth_client = Signet::OAuth2::Client.new(client_options)
      oauth_client.code = params[:code]
      response = oauth_client.fetch_access_token!
      session[:authorization] = response
      oauth_client.update!(session[:authorization])

      gc_service = Google::Apis::CalendarV3::CalendarService.new
      gc_service.authorization = oauth_client

      gc_service
    end

primary_calendar_id = gc_service.list_calendar_lists.items.select(&:primary).first.id

gc_service.insert_acl(primary_calendar_id, acl_rule_object, send_notifications: false)

dès que je l'ai changer pour (utiliser seulement un exemple):

@gc_service = gc_service
primary_calendar_id = @gc_service.list_calendar_lists.items.select(&:primary).first.id

@gc_service.insert_acl(primary_calendar_id, acl_rule_object, send_notifications: false)

il fixe mes questions avec type de subvention.

InformationsquelleAutor Kate Kasinskaya

0

Pour moi la j'ai eu plusieurs clients dans mon projet, et je suis assez sûr que c'est parfaitement correct, mais j'ai supprimé tous les client pour ce projet et a créé un nouveau et a tous commencé à travailler pour moi ( Eu cette idée bof WP_SMTP plugin forum de support) je ne suis pas en mesure de trouver ce lien pour référence

InformationsquelleAutor Subrata Fouzdar

Vous devez vous connecter pour publier un commentaire.