本文以访问的douban网oauth鉴权为例,说明与上篇“OAuth鉴权——原理”步骤相对应的具体内容。
操作前准备
在douban网进行注册,申请访问doubanAPI权限并获得该客户的oauth_consumer_key和oauth_consumer_secret,分别对应字符串:08317f4ef55c69f818947dece0153de8和d5123fbe2351a66a
douban网提供的RequestToken URL,UserAuthorization URL和AccessTokenURL分别为
http://www.douban.com/service/auth/request_token
http://www.douban.com/service/auth/authorize
http://www.douban.com/service/auth/access_token
具体操作
A. 客户端(第三方软件)向doubanOAUTH服务器请求未授权的RequestToken。向http://www.douban.com/service/auth/request_token发起请求,在请求头中包含Authorization参数,参数值如下:
Authorization ="OAuth realm=\"\",
oauth_consumer_key=\"08317f4ef55c69f818947dece0153de8\",
oauth_signature_method=\"HMAC-SHA1\",
oauth_signature=\"sakzOEJkvdLuQQ147tkH96UfRUk%3D\",
oauth_timestamp=\"1296185895\",
oauth_nonce=\"F05FDFAE-251C-4F5C-96B8-8891E9FFA798\",
oauth_version=\"1.0\"";
注:oauth_signature字段保存本次请的鉴名信息,用于本次用于鉴名的字符串为”http://www.douban.com/service/auth/request_token&oauth_consumer_key=08317f4ef55c69f818947dece0153de8&oauth_nonce=F05FDFAE-251C-4F5C-96B8-8891E9FFA798&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1296185895&oauth_version=1.0”,用于鉴名的密匙为oauth_consumer_secret(d5123fbe2351a66a)
B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者;
oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_token_secret=6630aaac2859a95f
C. 使用者向OAUTH服务提供商请求用户授权的RequestToken。即向UserAuthorization URL发起请求并在请求中携带上一步服务提供商颁发的未授权的token与其密钥。
D. OAUTH服务提供商通过网页要求用户登录并引导用户完成授权
引导页面如下:
点击登录,进入登录页面,输入用户Email及密码;登录成功后,要求用户选择是否允许第三方应用访问
点击同意,允许第三方应用操作douban数据
E. Request Token授权后,使用者将向http://www.douban.com/service/auth/access_token发起请求,将B)步骤中获得的RequestToken换取成AccessToken,同样在请求头中包含Authorization参数:
Authorization ="OAuth realm=\"\",
oauth_consumer_key=\"08317f4ef55c69f818947dece0153de8\",
oauth_token=\"bd91a88ccc59247038b4f9a6650b6d50\",
oauth_signature_method=\"HMAC-SHA1\",
oauth_signature=\"D1FG9iv536wT75flCsd4Myf60CA%3D\",
oauth_timestamp=\"1296185954\",
oauth_nonce=\"C607984D-7249-4C69-B50E-3051F0FF6711\",
oauth_version=\"1.0\"";
注:oauth_signature字段保存本次请的鉴名信息,用于本次用于鉴名的字符串为”http://www.douban.com/service/auth/access_token&oauth_consumer_key=08317f4ef55c69f818947dece0153de8&oauth_nonce=C607984D-7249-4C69-B50E-3051F0FF6711&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1296185954&oauth_token=bd91a88ccc59247038b4f9a6650b6d50&oauth_version=1.0”,用于鉴名的密匙为oauth_consumer_secret(6630aaac2859a95f)
F. OAUTH服务提供商同意使用者的请求,并向其颁发AccessToken与对应的密钥,并返回给使用者。对于douban应用服务器还返回了douban_user_id。返回结果:oauth_token=a8368ebd03415dfdf8a3ac3709c419f7&oauth_token_secret=2b211ceab9b567f6&douban_user_id=48880757
G. 使用者以后就可以使用上步返回的AccessToken及密钥访问用户授权的资源。