OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。
密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。
在官方网站的首页,可以看到下面这段简介:
An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.
大概意思是说OAUTH是一种开放的协议,为桌面程序或者基于BS的web应用提供了一种简单的,标准的方式去访问需要用户授权的API服务。OAUTH类似于Flickr Auth、Google's AuthSub [1] 、Yahoo's BBAuth、 Facebook Auth等。
(2). 安全:没有涉及到用户密钥等信息,更安全更灵活;
(3). 开放:任何服务提供商都可以实现OAUTH,任何软件开发商都可以使用OAUTH;
Request Token URL: 获取未授权的Request Token服务地址;
User Authorization URL: 获取用户授权的Request Token服务地址;
Access Token URL: 用授权的Request Token换取Access Token的服务地址;
OAUTH相关的参数定义:
OAUTH_consumer_key: 使用者的ID,OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用,再获取该应用的OAUTH_consumer_key。 OAUTH_consumer_secret:OAUTH_consumer_key对应的密钥。
OAUTH_token:OAUTH进行到最后一步得到的一个“令牌”通过此“令牌”请求资源的网站就可以去拥有资源的网站抓取任意有权限可以被抓取的资源。
OAUTH_token_secret:OAUTH_token对应的私钥
OAUTH_signature_method: 请求串的签名方法,应用每次向OAUTH三个服务地址发送请求时,必须对请求进行签名。签名的方法有:HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种。
OAUTH_signature: 用上面的签名方法对请求的签名。
OAUTH_timestamp: 发起请求的时间戳,其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。
OAUTH_nonce: 随机生成的字符串,用于防止请求的重复,防止外界的非法攻击。
OAUTH_version: OAUTH的版本号。
OAUTH HTTP响应代码:
HTTP 400 Bad Request 请求错误
Unsupported parameter 参数错误
Unsupported signature method 签名方法错误
Missing required parameter 参数丢失
Duplicated OAUTH Protocol Parameter 参数重复
HTTP 401 Unauthorized 未授权
Invalid Consumer Key 非法key
Invalid / expired Token 失效或者非法的token
Invalid signature 签名非法
Invalid / used nonce 非法的nonce
OAUTH授权认证流程
获取未授权的request token
请求参数:
OAUTH_consumer_key:消费方键值。
OAUTH_signature_method:消费方签署本请求所用的签名方法。
OAUTH_signature:签名,定义于签署请求 (签署请求)。
OAUTH_timestamp:定义于Nonce and Timestamp (单次值与时间戳)。
OAUTH_nonce:定义于Nonce and Timestamp (单次值与时间戳)。
OAUTH_version:可选。
额外参数:由服务提供方定义的任意额外参数
服务方返回结果,响应包含如下参数:
OAUTH_token:请求令牌
OAUTH_token_secret:令牌密钥
附加参数:由服务提供方定义的任意参数。
获取用户授权的request token
请求参数:
OAUTH_token:可选。在前述步骤中获得的请求令牌。服务提供方可以声明此参数为必须,也可以允许不包含在授权URL中并提示用户手工输入。
OAUTH_callback:可选。消费方可以指定一个URL,当 获取用户授权 (获取用户授权)成功后,服务提供方将重定向用户到这个URL。
附加参数:由服务提供方定义的任意参数。
服务提供方将用户引导回消费方
如果消费方在OAUTH_callback中提供了回调URL(在消费方引导用户至服务提供方 (消费方引导用户至服务提供方)中描述),则服务提供方构造一个HTTP GET请求URL,重定向用户浏览器到该URL,并包含如下参数:
OAUTH_token:被用户授权或否决的请求令牌
回调URL可以包含消费方提供的查询参数,服务提供方必须保持已有查询不变并追加OAUTH_token参数。
用授权的request token换取Access Token
消费方请求访问令牌参数:
OAUTH_consumer_key:消费方键值。
OAUTH_token:之前获取的请求令牌。
OAUTH_signature_method:消费方使用的签署方法。
OAUTH_signature:签署请求 (签署请求)中定义的签名。
OAUTH_timestamp:在单次值与时间戳 (单次值与时间戳)中定义。
OAUTH_nonce:在单次值与时间戳 (单次值与时间戳)中定义。
OAUTH_version:版本号,可选。
返回参数:
OAUTH_token:访问令牌。
OAUTH_token_secret:令牌密钥。
访问受保护资源
请求参数:
OAUTH_consumer_key:消费方键值。
OAUTH_token:访问令牌。
OAUTH_signature_method:消费方使用的签署方法。
OAUTH_signature:签署请求 (签署请求)中定义的签名。
OAUTH_timestamp:定义于单次值与时间戳 (单次值与时间戳).
OAUTH_nonce:定义于单次值与时间戳 (单次值与时间戳).
OAUTH_version:版本号,可选。
附加参数:服务提供方指定的附加参数。
1. 获取未授权的Request Token
2. 获取用户授权的Request Token
3. 用授权的Request Token换取Access Token
当应用拿到Access Token后,就可以有权访问用户授权的资源了。大家可能看出来了,这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错,上面的三个步骤 中,每个步骤分别请求一个URL,并且收到相关信息,并且拿到上步的相关信息去请求接下来的URL直到拿到Access Token。
具体每步执行信息如下:
A. 使用者( 第三方软件)向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求,请求需要带上的参数见上图。
B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者。
C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求,请求带上上步拿到的未授权的token与其密钥。
D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。
E. Request Token 授权后,使用者将向Access Token URL发起请求,将上步授权的Request Token换取成Access Token。请求的参数见上图,这个比第一步A多了一个参数就是Request Token。
F. OAUTH服务提供商同意使用者的请求,并向其颁发Access Token与对应的密钥,并返回给使用者。
G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。
密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。
OAUTH简介
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身 的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP、JavaScript,Java,Ruby等各种语言开发包, 大大节约了程序员的时间,因而OAUTH是简易的。目前互联网很多服务如Open API,很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的 标准。在官方网站的首页,可以看到下面这段简介:
An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.
大概意思是说OAUTH是一种开放的协议,为桌面程序或者基于BS的web应用提供了一种简单的,标准的方式去访问需要用户授权的API服务。OAUTH类似于Flickr Auth、Google's AuthSub [1] 、Yahoo's BBAuth、 Facebook Auth等。
OAUTH协议的特点
(1). 简单:不管是OAUTH服务提供者还是应用开发者,都很容易于理解与使用;(2). 安全:没有涉及到用户密钥等信息,更安全更灵活;
(3). 开放:任何服务提供商都可以实现OAUTH,任何软件开发商都可以使用OAUTH;
OAUTH相关术语
OAUTH相关的三个URL:Request Token URL: 获取未授权的Request Token服务地址;
User Authorization URL: 获取用户授权的Request Token服务地址;
Access Token URL: 用授权的Request Token换取Access Token的服务地址;
OAUTH相关的参数定义:
OAUTH_consumer_key: 使用者的ID,OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用,再获取该应用的OAUTH_consumer_key。 OAUTH_consumer_secret:OAUTH_consumer_key对应的密钥。
OAUTH_token:OAUTH进行到最后一步得到的一个“令牌”通过此“令牌”请求资源的网站就可以去拥有资源的网站抓取任意有权限可以被抓取的资源。
OAUTH_token_secret:OAUTH_token对应的私钥
OAUTH_signature_method: 请求串的签名方法,应用每次向OAUTH三个服务地址发送请求时,必须对请求进行签名。签名的方法有:HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种。
OAUTH_signature: 用上面的签名方法对请求的签名。
OAUTH_timestamp: 发起请求的时间戳,其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。
OAUTH_nonce: 随机生成的字符串,用于防止请求的重复,防止外界的非法攻击。
OAUTH_version: OAUTH的版本号。
OAUTH HTTP响应代码:
HTTP 400 Bad Request 请求错误
Unsupported parameter 参数错误
Unsupported signature method 签名方法错误
Missing required parameter 参数丢失
Duplicated OAUTH Protocol Parameter 参数重复
HTTP 401 Unauthorized 未授权
Invalid Consumer Key 非法key
Invalid / expired Token 失效或者非法的token
Invalid signature 签名非法
Invalid / used nonce 非法的nonce
OAUTH授权认证流程
获取未授权的request token
请求参数:
OAUTH_consumer_key:消费方键值。
OAUTH_signature_method:消费方签署本请求所用的签名方法。
OAUTH_signature:签名,定义于签署请求 (签署请求)。
OAUTH_timestamp:定义于Nonce and Timestamp (单次值与时间戳)。
OAUTH_nonce:定义于Nonce and Timestamp (单次值与时间戳)。
OAUTH_version:可选。
额外参数:由服务提供方定义的任意额外参数
服务方返回结果,响应包含如下参数:
OAUTH_token:请求令牌
OAUTH_token_secret:令牌密钥
附加参数:由服务提供方定义的任意参数。
获取用户授权的request token
请求参数:
OAUTH_token:可选。在前述步骤中获得的请求令牌。服务提供方可以声明此参数为必须,也可以允许不包含在授权URL中并提示用户手工输入。
OAUTH_callback:可选。消费方可以指定一个URL,当 获取用户授权 (获取用户授权)成功后,服务提供方将重定向用户到这个URL。
附加参数:由服务提供方定义的任意参数。
服务提供方将用户引导回消费方
如果消费方在OAUTH_callback中提供了回调URL(在消费方引导用户至服务提供方 (消费方引导用户至服务提供方)中描述),则服务提供方构造一个HTTP GET请求URL,重定向用户浏览器到该URL,并包含如下参数:
OAUTH_token:被用户授权或否决的请求令牌
回调URL可以包含消费方提供的查询参数,服务提供方必须保持已有查询不变并追加OAUTH_token参数。
用授权的request token换取Access Token
消费方请求访问令牌参数:
OAUTH_consumer_key:消费方键值。
OAUTH_token:之前获取的请求令牌。
OAUTH_signature_method:消费方使用的签署方法。
OAUTH_signature:签署请求 (签署请求)中定义的签名。
OAUTH_timestamp:在单次值与时间戳 (单次值与时间戳)中定义。
OAUTH_nonce:在单次值与时间戳 (单次值与时间戳)中定义。
OAUTH_version:版本号,可选。
返回参数:
OAUTH_token:访问令牌。
OAUTH_token_secret:令牌密钥。
访问受保护资源
请求参数:
OAUTH_consumer_key:消费方键值。
OAUTH_token:访问令牌。
OAUTH_signature_method:消费方使用的签署方法。
OAUTH_signature:签署请求 (签署请求)中定义的签名。
OAUTH_timestamp:定义于单次值与时间戳 (单次值与时间戳).
OAUTH_nonce:定义于单次值与时间戳 (单次值与时间戳).
OAUTH_version:版本号,可选。
附加参数:服务提供方指定的附加参数。
OAUTH认证授权流程
在弄清楚了OAUTH的术语后,我们可以对OAUTH认证授权的流程进行初步认识。其实,简单的来说, OAUTH认证授权就三个步骤,三句话可以概括:1. 获取未授权的Request Token
2. 获取用户授权的Request Token
3. 用授权的Request Token换取Access Token
当应用拿到Access Token后,就可以有权访问用户授权的资源了。大家可能看出来了,这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错,上面的三个步骤 中,每个步骤分别请求一个URL,并且收到相关信息,并且拿到上步的相关信息去请求接下来的URL直到拿到Access Token。
具体每步执行信息如下:
A. 使用者( 第三方软件)向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求,请求需要带上的参数见上图。
B. OAUTH服务提供商同意使用者的请求,并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret,并返回给使用者。
C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求,请求带上上步拿到的未授权的token与其密钥。
D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。
E. Request Token 授权后,使用者将向Access Token URL发起请求,将上步授权的Request Token换取成Access Token。请求的参数见上图,这个比第一步A多了一个参数就是Request Token。
F. OAUTH服务提供商同意使用者的请求,并向其颁发Access Token与对应的密钥,并返回给使用者。
G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。
270
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
