OAuth的原理认证流程及访问资源流程

最新推荐文章于 2023-06-26 17:06:04 发布
最新推荐文章于 2023-06-26 17:06:04 发布
阅读量3k 收藏
点赞数
分类专栏: 技术文档 这个博 第三方开发文档 文章标签: token callback access credentials url 腾讯

OAuth的原理认证流程及访问资源流程

图 1 授权流程

腾讯微博API通过以下四个步骤来完成认证授权并访问或修改受限资源的流程

  1. 1.获取未授权的Request Token(temporary credentials)
  2. 2.请求用户授权Request Token
  3. 3.使用授权后的Request Token换取Access Token(token credentials)
  4. 4.使用 Access Token 访问或修改受保护资源

其中1~3步使用https方式, 第4步使用http方式。


请求签名说明

所有TOKEN请求和受保护的资源请求必须被签名,微博开放平台会根据签名来判断请求的合法性。签名算法使用Signature Base String和密钥(Secret)生成签名,参数oauth_signature用于指定签名。

图 1 授权流程

说明:

Signature Base String由以下三部分组成,各项之间使用&符号分隔。

1、Http Method
请求方法,GET/POST

2、URL Encode之后的请求URL(URL要小写)
例如:
请求URL:https://open.t.qq.com/cgi-bin/request_token
经URL Encode之后的请求URL为:
https%3A%2F%2Fopen.t.qq.com%2Fcgi-bin%2Frequest_token

3、URL Encode并排序之后的请求参数
例如: URL请求参数为:
oauth_callback=www.qq.com&oauth_consumer_key=49b0bes7352943a1a5609f9e30346201&oauth_nonce=90523669&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1298513816&oauth_version=1.0
经URL Encode并排序之后的请求参数格式如下(参数间使用%26(即&符号)分隔):
oauth_callback%3Dwww.qq.com%26oauth_consumer_key%5D49b0bes7352943a1a5609f9e30346201%26oauth_nonce%3D90523669%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1298513816%26oauth_version%3D1.0

算法伪码:

httpMethod + "&" +
  url_encode(  base_uri ) + "&" +
  sorted_query_params.each  { | k, v |
      url_encode ( k ) + "%3D" +
      url_encode ( v )
  }.join("%26")

密钥由App Secret和Token Secret组成(中间使用&符号分隔)
签名算法目前只支持HMAC-SHA1。

获取未授权的Request Token

通过访问以下 URL 获取未授权的 Request Token

https://open.t.qq.com/cgi-bin/request_token

请求参数

参数意义
oauth_consumer_keyApp Key(应用信息中的App Key值)
oauth_signature_method签名方法,暂只支持HMAC-SHA1
oauth_signature签名值,密钥为:App Secret。计算说明。
oauth_timestamp时间戳, 其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数
oauth_nonce单次值,随机生成的32位字符串,防止重放攻击(每次请求必须不同)
oauth_callback认证成功后浏览器会被重定向到这个url中
oauth_version(可选)版本号,如果有必须为“1.0”

返回参数

参数意义
oauth_token未授权的Request Token
oauth_token_secret对应的Request Token Secret
oauth_callback_confirmed对oauth_callback的确认信号

说明:

① 用户授权后web应用将会重定向到oauth_callback。当应用为pc客户端或手机客户端应用时,没有回调url(oauth_callback)的概念,此时设置为字符串null即可。字符串“null”必须是小写

② 时间戳与标准时间偏差不得大于8分钟。

示例:

request_token

https://open.t.qq.com/cgi-bin/request_token?oauth_callback=null&oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=yQDMuXvdcEfQs2Mzf3XcT1r36WTULJls&oauth_signature=exxzU/tTbpdicmYHcyYh5kqgYgo=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569145&oauth_version=1.0

参数名参数值
oauth_consumer_keyaca77d2eb96f46e1b3353bc6743e8bfc
oauth_signature_methodHMAC-SHA1
oauth_signatureexxzU/tTbpdicmYHcyYh5kqgYgo=
oauth_timestamp1299569145
oauth_nonceyQDMuXvdcEfQs2Mzf3XcT1r36WTULJls
oauth_callbacknull
oauth_version1.0

返回结果:

oauth_token=hdk48Djdsa&oauth_token_secret=xyz4992k83j47x0b&oauth_callback_confirmed=true

参数名参数值
oauth_tokenhdk48Djdsa
oauth_token_secretxyz4992k83j47x0b
oauth_callback_confirmedtrue

请求用户授权Request Token

此步骤的目的是请求用户授权Request Token,请求URL:

https://open.t.qq.com/cgi-bin/authorize

请求参数:

参数意义
oauth_token上一步中获得的未授权的Request Token

返回参数:

参数意义
oauth_token用户授权之后的Token值,与未授权Token值相同。
oauth_verifier验证码

说明:

①此页面中会要求用户登陆,然后选择同意或者拒绝对应用授权。

②授权成功后:

  • A: web应用会重定向到oauth_callback所指定的URL(含返回参数)。
  • B: 客户端应用(oauth_callback=null)会在网页中给出授权码,用户需要手工将验证码输入到应用中才能完成授权流程。

示例:

参数意义
oauth_tokenhdk48Djdsa
oauth_verifier473f82d3

oauth_token=hdk48Djdsa&oauth_verifier=473f82d3

使用授权后的Request Token换取Access Token

用户完成授权后,第三方应用可以通过访问如下url,将已授权的Request Token换取Access Token。Access Token将被用于访问或修改受限资源。

https://open.t.qq.com/cgi-bin/access_token

请求参数:

参数意义
oauth_consumer_keyAppKey
oauth_token第一步中获得的Request Token
oauth_signature_method签名方法,暂只支持HMAC-SHA1
oauth_signature签名值,密钥为:App Secret&Request Token Secret。计算说明。
oauth_timestamp时间戳, 其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数
oauth_nonce单次值,随机生成的32位字符串,防止重放攻击(每次请求必须不同)
oauth_verifier上一步请求授权request token时返回的验证码
oauth_version(可选)版本号,有的话必须为“1.0”

返回参数:

参数意义
oauth_tokenAccess Token
oauth_token_secreateAccess Token Secret

说明:

  • ①本步骤用于签名的密钥为App Secret和Request Token Secret(中间使用&分隔)
  • ②获得返回值后就可以使用Access Token来访问资源了。
  • ③Access Token和Access Token Secret永远不会过期,直到用户撤销应用授权或腾讯回收您的app访问权限才会失效。

    • 用于签名的Signature Base String格式如下:

      示例:access_token:

      https://open.t.qq.com/cgi-bin/access_token?oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=y2FrX7Muouma5vxWTKngEb7uHkRu4P5u&oauth_signature=209vcEaHkmb/QwHqsRU3HRPvlqw=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569210&oauth_token=6b99583b7bc8446bb57e86128158994f&oauth_verifier=877973&oauth_version=1.0

      参数意义
      oauth_consumer_keyaca77d2eb96f46e1b3353bc6743e8bfc
      oauth_token6b99583b7bc8446bb57e86128158994f
      oauth_signature_methodHMAC-SHA1
      oauth_signature209vcEaHkmb/QwHqsRU3HRPvlqw=
      oauth_timestamp1299569210
      oauth_noncey2FrX7Muouma5vxWTKngEb7uHkRu4P5u
      oauth_verifier877973
      oauth_version(可选)1.0

      返回结果:

      oauth_token=nnch734d00ls2jdk&oauth_token_secreate=pdkkdhi9sl3r4s00

      参数意义
      oauth_tokenoauth_token_secreate
      nnch734d00ls2jdkpdkkdhi9sl3r4s00

      至此,您的应用就取得了用户的授权,请妥善保管获得的Access Token和Access Token Secret。

      此后,您的应用就可以使用该Access Token访问腾讯微博了。

      使用Access Token访问腾讯微博

      获得Access Token之后,您的应用就可以使用该Access Token访问腾讯微博。

      在每次调用接口API时,请求都必须包含以下参数:

      参数意义
      oauth_consumer_keyAppKey
      oauth_tokenAccess Token
      oauth_signature_method签名方法,暂只支持HMAC-SHA1
      oauth_signature签名值,密钥为:App Secret&Access Token Secret。计算说明。
      oauth_timestamp时间戳
      oauth_nonce单次值

      示例:

      调用API:http://open.t.qq.com/api/t/add 发布一条微博:

      参数包括:
      1)接口参数:content和format;
      2)OAuth协议参数

      参数参数值
      content%E6%9D%A5%E8%87%AA%23weibo_SDK%23%E7%9A%84%E6%B5%8B%E8%AF%95%E6%B6%88%E6%81%AF%EF%BC%81
      formatjson
      oauth_consumer_keyaca77d2eb96f46e1b3353bc6743e8bfc
      oauth_nonceTld5QvrtTlRJvaSWPlCC7DIXxnTBeumD
      oauth_signatureJuPSe7ibf0uPECp4HcX4Fu9y3l0=
      oauth_signature_methodHMAC-SHA1
      oauth_timestamp1299569293
      oauth_tokenb8c8f1a888ea4f2887eac88787b6e895
      oauth_version1.0

      post:

      http://open.t.qq.com/api/t/add?content=%E6%9D%A5%E8%87%AA%23weibo_SDK%23%E7%9A%84%E6%B5%8B%E8%AF%95%E6%B6%88%E6%81%AF%EF%BC%81&format=json&oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=Tld5QvrtTlRJvaSWPlCC7DIXxnTBeumD&oauth_signature=JuPSe7ibf0uPECp4HcX4Fu9y3l0=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569293&oauth_token=b8c8f1a888ea4f2887eac88787b6e895&oauth_version=1.0

diyago
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
【接口测试】Postman(二)-Postman Echo
HMY71的博客
03-22 218
文章目录导航:**URL:**https://postman-echo.com/getParams:**URL:**https://postman-echo.com/postParams:**URL:**https://postman-echo.com/postBody:**URL:**https://postman-echo.com/postBody:**URL:**https://postman-echo.com/postBody: **URL:**https://postman-echo.com/po
OAuth 认证流程
05-31
OAuth 认证流程。 为了介绍腾讯微博项目,这里要用一些实验来了解Oauth认证
OAuth接口说明及OAuth 核心1.0 中文翻译版
Care iOS技术团队
04-21 4655
<br /><br />OAuth 协议是现在众多网站提供API服务所选择的认证方式,是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同起,目的是为API服务提供一个安全、统一和开放的标准。<br />官方网站对 OAuth 的一句话介绍是:<br />An open protocol to allow secure API authentication in a simple and standard method from desktop
WP REST API:设置和使用OAuth 1.0a身份验证
代码教主
06-10 1166
在本系列的前一部分中,我们通过安装WP REST API团队在GitHub上可用的插件,在服务器上设置了基本的HTTP身份验证。 基本的身份验证方法允许我们通过在请求标头中送登录凭据来送经过身份验证的请求。 虽然方便快捷,但这些凭据也有可能落入错误的人手中。 因此,此方法仅应在安全网络上用于开和测试目的。 为了在生产服务器上使用身份验证,需要一种更安全的方式送经过身份验证的请求,而...
腾讯微博开放平台OAuth1.0授权完整流程(C#)
weixin_30507269的博客
06-25 400
一、OAuth授权和版本、开放平台 首先要明确,在协议中,角色分为终端用户、第三方应用(Client)、服务提供者。 关于OAuth授权协议的起源和更多基本概念,我不能描述更多,google和官网能更好行使这个职责。 我理解的OAuth是:职权投影。 在取得终端用户同意(授权过程)后,获得用户在服务提供处托管的部分权限。 (本节以下部分适合对OAuth协议有一定了解后看,...
NetSuite OAuth1.0中InvalidSignature问题
NetSuite知识会
06-26 459
401 NetSuite OAuth1.0中InvalidSignature错误的原因很隐蔽。原来是在OAuth1.0的规范中,host必须小写。
Oauth1.0的心得
吴工的专栏
08-25 991
总结Oauth步骤: 1、 用Consumer key & secret 申请request token 2、 Service Provider 根据consumer key & secret 生成 url 3、 Consumer将用户重定向到获得的url网页上 4、 用户授权给consumer权限 5、 Service Provider 将授权的request token 信息以url
OAuth2的resource_id配置与验证(含源码分析)
a602389093的博客
08-04 2449
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 Spring Security OAuth2之resource_id配置与验证 一、resource_id的作用 资源服务器端: 每一个服务请求到资源服务器,都可以在资源服务器为当前的ResourceServer资源服务(即一个微服务实例)设置一个resource_id。 认证服务器端: OAuth2的认证服务器,在给client第三方客户端授权的时候,可以设置这个client可以访问
open-tzuchi:一个简单的https爬虫
06-17
开放慈济 使用方式 安装需求:nodejs $ npm install $ COUNTS=100 ./node_modules/.bin/babel-node main.es6 TODO save to csv 完成其他参数year_month_select , date_select 自动化 LICENSE
oauth2.0 access_token资源认证
01-10
Oauth2.0连接oracle数据库,进行资源认证,生成access_token.
oauth认证授权原理
04-05
oauth2.0协议的认证原理,适合初学者使用
通过PostMan验证Oauth2认证过程.docx
最新发布
02-23
通过PostMan验证Oauth2认证过程
Twitter OAuth1.0认证过程
热门推荐
Programmer
09-18 1万+
2010年整理的,现现在Twitter还是用的1.0,估计有些用,来分享一下。 官方的流程图如下: 下面开始一步步讲解,如何获取最终的access_tokenaccess_token_secret,注:认证的全过程都是通过送http GET/POST进行的:   1.    首先通过第三方应用,获取其应用的oauth_consumer_key与oauth_con
Postman使用详解
weixin_34390105的博客
11-15 2450
前言: Postman是一款功能强大的网页调试与送网页HTTP请求的Chrome插件。 接口请求流程 一、get请求 GET请求:点击Params,输入参数及value,可输入多个,即时显示在URL链接上,所以,GET请求的请求头与请求参数如在接口文档中无特别声明时,可以不填。 get请求示例 GET响应:右上角显示响应HTTP状...
OAuth授权的Java实现详解
lovelittlear的专栏
01-07 506
由于最近在开一个关于微博整合的小应用,于是开始接触各大微博平台的开放平台(新浪、搜狐、网易、QQ):目前这几大微博的应用开都采用OAuth授权,要访问大部分API都需要OAuth方式的身份鉴权。OAuth是什么?先来简单介绍一下OAuth授权协议:OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAuth认证服务,任何服务提供商都可以实现自身的OAuth认证服务,因而OAUTH是开放的。业界提供了OAuth的多种实现如PHP,JavaScript,Java,
转--搞清如何使用oAuth 1.0 & 1.0a
weixin_33777877的博客
03-22 93
搞清如何使用oAuth 1.0 &amp; 1.0a   前言   看这篇博文的朋友,我建议先去了解一下什么是 oAuth 1.0 &amp; 2.0的认证,对于,一些很基本的概念,各大提供该认证的网站应该说的很清楚了,这篇博文是比较细的说下,在oAuth 认证时遇到的问题,以及整个认证客户端api调用的过程 我说下,目前我知道的提供oAuth 认证的网站(墙外的这里就不提了)...
Spring Security OAuth2之resource_id配置与验证
字母哥博客
07-28 8120
一、resource_id的作用 Spring Security OAuth2 架构上分为Authorization Server认证服务器和Resource Server资源服务器。我们可以为每一个Resource Server(一个微服务实例)设置一个resourceid。Authorization Server给client第三方客户端授权的时候,可以设置这个client可以访问哪一些Resource Server资源服务,如果没设置,就是对所有的Resource Server都有访问权限。
oauth2认证流程
09-07
OAuth2认证流程包括以下几个步骤: 1. 用户向客户端提供授权:用户通过向客户端提供用户名和密码等凭证,请求获取访问资源的权限。 2. 客户端请求授权:客户端将用户提供的凭证送给认证服务器,请求获取访问资源...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值