为什么 AWS 不允许我使用 Google Plus 进行身份验证？

Question

我有一个 Android 项目，我正在尝试使用 Google Plus 向 AWS Cognito 进行身份验证。我已经设置了 Facebook 身份验证并且可以正常工作，但是当我使用 Google Plus 登录时，我得到一个 400 : Unauthorized error

目前，我必须将我的应用设置为“允许访问未经身份验证的身份”，以便 Google Plus 用户可以使用它而不会出现未经授权的异常。

我从登录 Google Plus 回来的令牌很好，它还获取用户个人资料和详细信息，所以我认为它与 IAM 以及“编辑身份池”中的“Google 客户端 ID”有关AWS 控制面板中的部分。

目前，我的 Google Developers Console 中的 OAuth 2.0 服务帐户客户 ID 作为 AWS 仪表板“编辑身份池”部分中的“Google 客户 ID”

请有人帮忙:)

Answer 1

由于 Google 处理客户端 ID 的方式，我们实际上建议客户在配置其身份池以进行 Google 登录时使用我们的generic OpenId Connect support。

1. 转到 AWS IAM 控制台的identity provider section。
2. 创建一个 OpenId Connect 身份提供者，提供者 URL 为 https://accounts.google.com，Audience 作为客户端 ID 之一。
3. 按照步骤创建身份提供者，稍后您将可以选择添加其他客户端 ID。
4. 转到Amazon Cognito Console。
5. 创建或编辑身份池并将 OpenID Connect 身份提供者添加到池中（它应该出现在 OpenId Connect 提供者中）。

如果您以后添加 iOS 或网络支持，请在 Google 控制台中创建新的客户端 ID，然后在 IAM 控制台中将它们添加到您的 OpenId Connect 提供程序。

Answer 2

几天后我做到了！我的 Cognito 帐户终于与 Google 通话了 :) 我最大的问题是客户端 ID，其中有两个：

1. 在 Google 控制台中，我们有小型客户端 ID： XXXXXXXXXXXX.apps.googleusercontent.com
2. 在您可以在 Google 控制台下载的 JSON 文件中，我们有大客户端 ID： client_id：XXXXXXXXXXXX-XXruakXlXXjeXqjXXtvXXXXXXXXXfjn.apps.googleusercontent.com

所以，我把小号放在 Cognito 控制台的 Google+ 客户端 ID 中

我在我的代码中添加的重要内容：

String token = GoogleAuthUtil.getToken(appActivity, accounts[0].name,
"audience:server:client_id:XXXXXXXXXXXX-XXruakXlXXjeXqjXXtvXXXXXXXXXfjn.apps.googleusercontent.com");

我在 Helper 类中更改了代码的另一件事，该代码用于在 google 上进行登录。谷歌的class helper 来Games 登录了，所以我也改用Plus 登录了。