URL自动填充参数导致的OAuth签名验证失败

最新推荐文章于 2022-05-30 14:08:25 发布
最新推荐文章于 2022-05-30 14:08:25 发布
阅读量178 收藏
点赞数

很简单的OAuth服务器实现:

function startup(&$controller) {
try {
$req = OAuthRequest::from_request();
if (empty($_GET['oauth_token'])) {
//strip down to 2 legged
$consumer = self::$oauth_server->get_consumer($req);
self::$oauth_server->check_signature( $req, $consumer, NULL );
$controller->data['oauth_consumer'] = $consumer;
} else {
//3 legged
list($consumer, $token) = self::$oauth_server->verify_request($req);
if(!empty($consumer) /*&& $req->get_normalized_http_method() == 'GET'*/) {
$controller->data['oauth_token'] = $token;
$controller->data['oauth_consumer'] = $consumer;
}
}

catch(OAuthException $e) {

....

}

对于2legged的情况总是签名验证失败。原因出在from_request()的调用上,该函数在原来的客户端请求url上添加了一个url参数。

导致重新构造的签名和通过url传递的不相符合。

解决方法是重置掉该自动添加的参数

if($req->get_parameter('url')) {
$req->unset_parameter('url');//unset auto-appended params
}


regards,

iefreer

iteye_9104
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于Oauth认证的那些事
梁梁的博客
06-26 785
随着网络的发展, Oauth认证已经被广泛使用. 这篇博客就记录一下Oauth的使用过程.以新浪微博为例. 使用微博认证需要一个微博开发者的账号~ 下面先申请开发者账号,使用微博账号即可。1.准备操作: 登录http://open.weibo.com, 登录你的微博帐号, 如果点击登录没有反应的话, 就先在http://www.weibo.com中登录一下, 然后就可以了.填写基本信息,
OAUTH协议简介
热门推荐
打造高质量Blog
03-08 9万+
   摘要:OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAU
Oauth调试中中文签名失败
lianhaisen的专栏
12-31 403
1 . 问题产生:属性了里面包含中文 2.  解决方法:属性和值先进行一次参数编码,然后组成BASE TEXT的候再进行一次参数编码,问题解决     (好像很简单可以做的候弄了很久~)
开放平台中oauth认证中请求参数签名的算法
云淡风轻、仅此一抹
01-19 7465
开放平台中oauth认证中请求参数签名的算法
JAVA-企业微信自建应用OAuth2授权完后,签名校验既返回成功又返回失败
weixin_46690278的博客
12-15 1594
我这边是先经过了OAuth2的授权登录,之前已经讲过怎么做的,但是这个bug就出在授权这里。 OAuth2授权的候,会重定向到redirect_uri地址,这个地址一般也就是登录进去的首页。 我说下我怎么解决的: 正常账号密码登录,签名没问题,但是OAuth2的授权后,签名就报错,而且报的错还不一般,看图: 既有成功又有失败,看到这个直接给我整不会了。签名都是同一个接口,而且传参数据没变,于是我又回去看官方文档: 当场尬住.....我这个url是从数据库里拿的企业微信的可信域名...
springboot整合Oauth2,GateWay实现网关登录授权验证
12-14
SpringBoot整合OAuth2和Gateway实现网关登录授权验证是一个复杂而关键的过程,它涉及到现代微服务架构中的安全性设计。OAuth2是一种授权框架,用于保护API并允许第三方应用访问受保护的资源,而Spring Gateway作为...
通过PostMan验证Oauth2认证过程.docx
最新发布
02-23
通过PostMan验证Oauth2认证过程
微信企业号OAuth2验证接口实例(使用SpringMVC)
10-09
企业应用中的URL链接(包括自定义菜单...b.session中不包含用户信息,则需要构造带回调参数URL去微信API服务器获取code参数,然后通过code参数调用API换取Userid并保存到session,然后再次跳转到初始请求的视图页面。
oauth-validator-php:用于验证PHP中的OAuth签名的库
05-08
oauth-validator-php 用于验证PHP中的OAuth签名的库。 版权所有(C)2014 Jublo解决方案 该程序是免费软件:您可以根据自由软件基金会发布的GNU通用公共许可证的条款(许可证的版本3)或(根据您的选择)任何更高...
OAuth2验证示例-仅供学习参考.rar
09-17
在"OAuth2验证示例"这个项目中,你可以期待看到如何在C#代码中设置授权请求URL,处理重定向URI,获取授权码,交换访问令牌,以及如何使用这些令牌进行API调用的示例。通过研究这个例子,你应该能够理解OAuth2.0的...
SpringCloud OAuth2 授权服务器认证失败:BadCredentialsException: Could not obtain access token 解决方案
啦啦啦啦 la
08-21 3万+
SpringCloud OAuth2 授权服务器认证失败:BadCredentialsException: Could not obtain access token 解决方案 在使用 SpringSecurity Oauth2 搭建授权服务器遇到一个问题,当使用 GitHub 做授权服务器没有问题,但是本地自己搭建的授权服务器授权后登录失败;授权后应该登录成功的,但是重新调回到授权服...
(八) OAuth 2.0 认证成功,认证失败,退出成功
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-30 3039
认证成功 监听AuthenticationSuccessEvent,注意在刷新令牌,校验令牌,登录密码校验成功都会发布这个事件,所以我们需要在监听器里面做一些排查判断。successHandler是自定义业务逻辑类。 /** * @description: 登录成功事件监听器 * @Author C_Y_J * @create 2022/1/13 16:36 **/ public class AuthenticationSuccessEventListener implements Applicat
app登录接口请求报:“签名验证失败”???已解决
weixin_34167043的博客
11-26 1万+
根据抓包数据获得url、param、header,在charles中compose请求结果为成功,在pycharm中运行则报:“签名验证失败”。 运行结果: 转载于:https://www.cnblogs.com/qingyuu/p/10019589.html...
关于 签名验证失败 的问题
LiuZnHi的专栏
12-12 1万+
最近做了几个项目,都需要访问第三方接口,需要进行签名验证签名验证都用到了加密算法,测试的候都没有出现问题,但是部署到服务器上就报 签名验证失败,经过多次尝试,发现是因为编码的问题导致的。 我一开始使用的代码: SecretKeySpec secretKey = new SecretKeySpec(key.getBytes(), "AES"); 后来修改后的代码: SecretKey...
微信小程序支付 参数异常 及 验证签名失败 总结
qq_38029012的博客
07-18 1万+
微信小程序支付流程 如下图所示,微信支付官方给出了小程序支付的流程 ** 微信图示开发使用步骤 用户进入小程序,选择商品服务,确认下单; 小程序前台将用户的请求以及用户信息(openid),提交到小程序后台; 小程序后台生成预订单,调用微信支付的统一下单接口,将小程序的预订单提交到微信支付; 通过返回的return_code字段,判断提交成功后,获取微信支付返回的成功信息即预付单信息,包括pre...
每天一个linux命令2---curl命令
insis_mo的博客
10-10 1369
常用参数详解 参数 描述 -I/--head 只显示传输文档,经常用于测试连接本身 -o/--output 把输出写到该文件中,必须输入保存文件名 -O/--remote-name 把输出写到该文件中,保留远程文件的文件名 -F/--form 模拟表单提交 -s/--silent 静默模式,不输出任何东西 -S/--show-error...
OAuth问题总结
forlong401的专栏--有问题上:http://www.androidren.com
03-19 2052
http://trinea.iteye.com/blog/1126507 1、OAuth retrieveRequestToken异常 用OAuth进行验证,报下面的错误,网上排查良久无方。 Java代码   oauth.signpost.exception.OAuthExpectationFailedException: Request token or
url参数中有+、空格、=、%、&、#等特殊符号的问题解决
DuanLiuchang的博客
12-07 4万+
http://www.jb51.net/article/36838.htm url出现了有+,空格,/,?,%,#,&,=等特殊符号的候,可能在服务器端无法获得正确参数值,如何是好? 解决办法 将这些字符转化成服务器可以识别的字符,对应关系如下: URL字符转义 用其它字符替代吧,或用全角的。 +    URL 中+号表示空格              
oauth2.0 验证token
07-28
OAuth2.获取token的接口是指通过OAuth2.协议进行认证和授权后,获取访问令牌(access token)的接口。具体实现方式包括授权码模式、密码模式、客户端模式、刷新令牌等。在使用OAuth2.获取token的接口,需要提供客户端ID、客户端密钥、授权码、用户名、密码等信息,以便进行身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值