《OAuth认证协议原理分析及使用方法》由会员分享,可在线阅读,更多相关《OAuth认证协议原理分析及使用方法(5页珍藏版)》请在金锄头文库上搜索。
1、10OAuth认证协议原理分析及使用方法On 04.03.2010 , Tags: oauth twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像 feedtwitterrss2twitter推特中文圈(这个目前好像有点问题转回来的时候是个错误地址)这种网站就是这个效果。其实这都是拜 OAuth所赐。OAuth是什么?OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认证。OAuth有什么用?为什么要使用OAuth?网络开放是一个不变的趋势,那么不可避免的会有各种网
2、络服务间分享内容的需要。举个我们身边国内的例子吧:比如人人网想要调用QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的QQ号,QQ密码才能调用,虽然网站上可能都自谓“不保留QQ用户名密码”,但是大家信吗?OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。OAuth原理OAuth中有三方:一,用户;二,Consumer(不知杂翻译,类似上面的 twitterfeed 角色);三,服务提供商(如上例的twitter角色)。一,Consumer 向 服务提供商 申请接入权限可得到:Consume
3、r Key,Consumer Secret。twitter申请oauth的话,在 setting - connection - developer 里面申请。 同时给出三个访问网址:1. request_token_url = 2. access_token_url = 3. authorize_url = 二,当Consumer接到用户请求想要访问第三方资源(如twitter)的时候Consumer需要先取得 请求另牌(Request Token)。网址为上面的 request_token_url,参数为:1. oauth_consumer_key:Consumer Key2. oauth_
4、signature_method:签名加密方法3. oauth_signature:加密的签名 (这个下面细说)4. oauth_timestamp:UNIX时间戳5. oauth_nonce:一个随机的混淆字符串,随机生成一个。6. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.07. oauth_callback:返回网址链接。8. 及其它服务提供商定义的参数这样 Consumer就取得了 请求另牌(包括另牌名 oauth_token,另牌密钥 oauth_token_secret。三,浏览器自动转向服务提供商的网站:网址为authorize_url?oa
5、uth_token=请求另牌名四,用户同意 Consumer访问 服务提供商资源那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token (就是请求另牌),及oauth_verifier(验证码)。五,现在总可以开始请求资源了吧?NO。现在还需要再向 服务提供商 请求 访问另牌(Access Token)。网址为上面的access_token_url,参数为:1. oauth_consumer_key:Consumer Key2. oauth_token:上面取得的 请求另牌的名3. oauth_signature_method:签名加密方法4. oa
6、uth_signature:加密的签名 (这个下面细说)5. oauth_timestamp:UNIX时间戳6. oauth_nonce:一个随机的混淆字符串,随机生成一个。7. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.08. oauth_verifier:上面返回的验证码。9. 请求 访问另牌的时候,不能加其它参数。这样就可以取得 访问另牌(包括Access Token 及 Access Token Secret)。这个就是需要保存在 Consumer上面的信息(没有你的真实用户名,密码,安全吧!)六,取得 访问另牌 后,Consumer就可以作为用户
7、的身份访问 服务提供商上被保护的资源了。提交的参数如下:1. oauth_consumer_key:Consumer Key2. oauth_token:访问另牌3. oauth_signature_method:签名加密方法4. oauth_signature:加密的签名 (这个下面细说)5. oauth_timestamp:UNIX时间戳6. oauth_nonce:一个随机的混淆字符串,随机生成一个。7. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.08. 及其它服务提供商定义的参数OAuth安全机制是如何实现的?OAuth 使用的签名加密方法有 HM
8、AC-SHA1,RSA-SHA1 (可以自定义)。拿 HMAC-SHA1 来说吧,HMAC-SHA1这种加密码方法,可以使用 私钥 来加密 要在网络上传输的数据,而这个私钥只有 Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有 私钥 也是白搭。私钥是:consumer secret&token secret (哈两个密码加一起)要 加密的字符串是:除oauth_signature 外的其它要传输的数据。按参数名字符排列,如果一样,则按 内容排。如:domain=&oauth_consumer_key=XYZ& word=welcome.前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?不,oauth_timestamp,oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce(混淆码)是否已经被使用。那么这样攻击者就无法自已生成 签名,或者偷你的签名来使用了。本文系原创,转换请注明链接,谢谢! /
