Deutsch
  • invalid_grant
  • invalid grant error
  • oidc grant
  • oauth
  • auth
  • authentication

Erkundung von OIDC-Stipendien: Verständnis und Fehlerbehebung des "invalid_grant" Fehlers

Lernen Sie die Grundlagen der OpenID Connect (OIDC) Stipendien kennen und erfahren Sie, wie Sie den "invalid_grant" Fehler beheben können.

Charles
Charles
Developer

Hintergrund

In unserer Community hören wir oft eine wiederkehrende Frage von unseren Benutzern: Was hat es mit dem "invalid_grant" Fehler bei Logto auf sich? Wie #503

Es ist für einige unserer Benutzer eine gängige Herausforderung und ein Hindernis bei der Integration von Logto in ihre eigenen Anwendungen. Allerdings variieren die Gründe für diesen Fehler von Fall zu Fall, und manchmal ist es schwierig, sie bei begrenztem Kontext zu erklären. Daher ist es für jeden unerlässlich, das genaue OIDC-Konzept zu verstehen und die Methode zur Behebung des Problems zu erlernen.

Lassen Sie uns nun die Grundlagen der OIDC-Stipendien untersuchen.

Erklärung von OIDC-Stipendien

Wie wir in einem Blogbeitrag früher eingeführt haben, OpenID Connect (OIDC) ist ein Protokoll, das auf OAuth 2.0 aufbaut.

Im Kontext von OIDC oder OAuth2 ist ein Stipendium ein Satz von Berechtigungen, die vom Eigentümer der Ressource (in der Regel der Benutzer) an eine Clientanwendung vergeben werden. Stipendien sind für die Clientanwendung unerlässlich, um auf die Identitätsinformationen des Benutzers und andere geschützte Ressourcen zuzugreifen. OIDC definiert mehrere Zuschusstypen, die jeweils für ein anderes Szenario und die Art und Weise geeignet sind, wie eine Anwendung ein Zugriffstoken erhält.

Hier ist eine Analogie, die Ihnen hilft, OIDC-Stipendien besser zu verstehen.

Stellen Sie sich vor, Sie reisen in verschiedene Länder, und jedes Land verlangt einen Visastempel für die Einreise. In diesem Szenario dient Ihr Reisepass als Ihr Benutzerkonto und enthält Ihre persönlichen Informationen. OIDC-Stipendien sind wie die Wege, auf denen Sie ein Visum für den Eintritt in ein Land beantragen. Wenn Ihnen ein Visum ausgestellt wird, erhalten Sie im Wesentlichen das "Token" für den Eintritt in dieses Land.

Ähnlich verhält es sich bei der Nutzung einer Anwendung: Die Anfrage für Stipendien ist die Aktion, die Sie beim Aut orisierungsserver anfordern, um Ihnen den Zugang zu gewähren. Der Autorisierungsserver überprüft Ihre Identität und gibt Ihnen das "Visum" (Zugriffstoken) zum Einloggen in die Anwendung.

Häufig verwendete OIDC Zuschusstypen:

  1. Berechtigungscode-Zuschuss: Dies ist der häufig verwendete Zuschusstyp in OIDC. Er beinhaltet die Weiterleitung des Benutzers zu einem Autorisierungsserver, das Erhalten eines Autorisierungscodes, die Rückleitung zur Anwendung und den Austausch des Codes gegen ein Zugriffstoken. Denken Sie daran als den Standardprozess, um ein Visum bei der Botschaft zu beantragen, bevor Sie in ein Ausland gehen.
  2. Aktualisierungstoken-Zuschuss: In OIDC ermöglicht dieser Zuschusstyp einer Clientanwendung, ein neues Zugriffstoken zu erhalten, indem ein zuvor ausgestelltes Aktualisierungstoken verwendet wird. Es wird oft verwendet, um eine Benutzersitzung zu verlängern, ohne dass sie ihre Anmeldeinformationen neu eingeben müssen. Stellen Sie sich vor, Ihr Visum kommt mit einer magischen Karte, die es Ihnen ermöglicht, Ihren Aufenthalt im Ausland zu verlängern, ohne erneut durch den Zoll zu gehen.
  3. Impliziter Zuschuss: Dieser Zuschusstyp wird für veraltete browserbasierte Anwendungen verwendet und ist weniger sicher als der Berechtigungscode-Zuschuss. Er gibt das Zugriffstoken direkt an die Clientanwendung zurück. Er funktioniert wie ein "Visum bei Ankunft", da keine vorherige Visumantragstellung erforderlich ist.
  4. Client Credentials Grant: Dieser Zuschuss-Typ ist für Server-zu-Server-Kommunikation geeignet und ermöglicht es einer Client-Anwendung, sich direkt beim Autorisierungsserver zu authentifizieren, indem sie ihre Anmeldeinformationen (Kunden-ID und Kunden-Geheimnis) verwendet. Es ist vergleichbar mit einem Spezialagenten, der ein Sonder-Jobbadge vorzeigt, um das Land ohne den Visumantrag-Prozess zu betreten.

Grant-Objektmodell:

In Logto wird der Zuschuss in der Datenbank als Objekt-Entität gespeichert, die Informationen wie Benutzerkonten-ID, Anwendungs-ID, verbundene OIDC-Ressourcen und Bereiche, Ablaufzeit und mehr enthält. Jedes Refresh-Token und Zugriffstoken ist mit einem bestimmten Zuschuss-Objekt verbunden.

Zuschussanträge:

HTTP-Anfragen, die über APIs an den Autorisierungsserver gesendet werden. Eine Client-Anwendung kann Zuschussanträge an den OIDC-Token-Endpunkt für verschiedene Zwecke senden, einschließlich dem Antrag auf einen neuen Zuschuss (z. B. Anmelden und Erhalten von Aktualisierungs- und Zugriffstoken), Aktualisierung von Zuschussdetails (z. B. Austausch eines Aktualisierungstokens gegen ein neues Zugriffstoken) oder Widerruf eines Zuschusses (z. B. Widerruf aller an eingeloggte Benutzer ausgegebenen Token und Beendigung ihres Zugangs).

Eine typische Anforderung für einen Berechtigungscode-Zuschuss sieht wie folgt aus:

Verständnis des "invalid_grant" Fehlers

Ein invalid_grant Fehler in OIDC tritt in der Regel auf, wenn der Zuschusstyp oder die mit der Zuschussanforderung verbundenen Daten ungültig oder nicht unterstützt sind. Hier sind einige häufige Ursachen für diesen Fehler:

  1. Falscher Zuschusstyp: Wenn Sie für Ihre Anwendung den falschen Zuschusstyp verwenden, kann ein invalid_grant Fehler auftreten. Stellen Sie sicher, dass Sie den passenden Zuschusstyp verwenden, indem Sie die Logto SDKs nutzen.
  2. Nicht übereinstimmende Weiterleitungs-URIs: Beim Austausch eines Autorisierun gscodes gegen Tokens muss die in der Anforderung verwendete Weiterleitungs-URI mit der ursprünglichen Autorisierungsanforderung übereinstimmen. Eine Nichtübereinstimmung kann zu einem invalid_grant Fehler führen.
  3. Abgelaufener oder verbrauchter Autorisierungscode: Im Anmeldefluss des Autorisierungscodes hat der Autorisierungscode eine begrenzte Lebensdauer und wird einmal verwendet, um Token zu erwerben, als "verbraucht" markiert. Der Versuch, einen abgelaufenen oder verbrauchten Code gegen ein Zugriffstoken auszutauschen, führt zu einem invalid_grant Fehler.
  4. Abgelaufenes oder gedrehtes Aktualisierungs-Token: Beim Austausch eines Aktualisierungstokens gegen ein Zugriffstoken tritt der invalid_grant Fehler auf, wenn das Aktualisierungstoken bereits abgela ufen ist. Darüber hinaus ermöglicht Logto standardmäßig die Drehung des Aktualisierungstokens für erhöhte Sicherheit. Die erneute Anforderung des Token-Endpunkts mit demselben Aktualisierungstoken wird als Verwendung eines "gedrehten" Aktualisierungstokens angesehen und abgelehnt.
  5. Fehlende Pflichtdaten oder Anforderungsheader: Beim Erstellen einer Zuschussanforderung müssen die obligatorischen Parameter und Anforderungsheader für den jeweiligen Zuschusstyp bereitgestellt werden. So muss beispielsweise die Client-ID in allen Zuschussanforderungen bereitgestellt werden, und Client-ID und Geheimnis des Clients müssen für Client Credentials Grant bereitgestellt werden. Dieses Risiko kann ebenfalls durch den Einsatz der Logto SDKs verringert werden.
  6. Andere Gründe: Dieser Fehler kann auch durch Gründe wie nicht übereinstimmende Client-Anmeldeinformationen, abgelaufene oder nicht gefundene Bewilligung, nicht gefundenes Aktualisierungstoken usw. auftreten.

Fehlerbehebung

Einige Tipps zur effektiven Behebung des "invalid_grant" Fehlers:

  1. Verwenden Sie immer ein Logto-Client-SDK, um Logto in Ihre Anwendung zu integrieren, damit sichergestellt ist, dass die Zuschussanfragen an den jeweiligen Endpunkt und mit korrekten Daten gestellt werden.
  2. Überprüfen Sie, ob Ihre App-Zugangsdaten und Weiterleitungs-URIs mit den Konfigurationen in der Admin-Konsole übereinstimmen.
  3. Vermeiden Sie redundante Anfragen, insbesondere für SPAs wie React und Vue, wo Seitenkomponenten aufgrund von Abhängigkeitsänderungen neu gerendert werden können. Stellen Sie sicher, dass Funktionen, die Codes oder Aktualisierungstokens gegen Zugriffstokens austauschen, nicht mehrfach mit den gleichen Anforderungsparametern ausgelöst werden. Dies ist ein häufiger Fehler, den einige unserer Benutzer machen. In der Regel sehen Sie, wenn Sie mehrere "Token" Anfragen in Ihrer Debug-Konsole sehen, die erste ist erfolgreich, aber die folgenden sind alle gescheitert, überprüfen Sie ihre Anforderungsparameter, um zu sehen, ob sie denselben "Code" oder "Refresh Token" verwenden. Denken Sie daran, Sie können einen Code und Refresh-Token NUR EINMAL in Zuschussanfragen verwenden.
  4. Überprüfen Sie die Ablaufzeiten. Beispielsweise, wenn Ihr Aktualisierungstoken abgelaufen ist (standardmäßig 14 Tage) und Sie erhalten den Fehler invalid_grant, sollten Sie ihn angemessen behandeln, indem Sie einen erneuten Anmeldevorgang eines Benutzers initialisieren. Wenn Sie das Logto SDK verwenden, können Sie die Funktion signIn() erneut aufrufen, um Ihre Benutzer zurück zur Anmeldeseite umzuleiten.
  5. Überwachen Sie die Prüfprotokolle. Gehen Sie zur Admin-Konsole → Prüfprotokolle, finden Sie das Fehlerprotokoll, das mit dem Vorfall in Verbindung steht, und überprüfen Sie den detaillierten Fehler-Stack-Trace. In der Regel ist ein spezifischerer Grund hinter dem invalid_grant Fehler im Stack-Trace, wie "Zuschuss nicht gefunden" oder "Aktualisierungstoken abgelaufen".

Abschließende Bemerkungen

Der invalid_grant Fehler kann für Anfänger herausfordernd und verwirrend sein, aber mit einem klaren Verständnis der OIDC-Zuschüsse und einer genauen Beachtung der Details können Sie das Problem selbst identifizieren und lösen. Treten Sie unseren Diskussionen auf Discord oder GitHub bei und lassen Sie uns wissen, ob dieser Blog geholfen hat, die Verwirrung zu klären und die Probleme zu identifizieren, mit denen Sie konfrontiert sind. Das Logto Entwicklerteam ist immer bereit, Ihnen zu helfen.

Lasst uns gemeinsam ein nahtloses und sicheres Authentifizierungserlebnis für eure geliebten Anwendungen erstellen.

Versuchen Sie Logto Cloud