Oauth1.0的心得

最新推荐文章于 2022-02-08 16:18:57 发布
最新推荐文章于 2022-02-08 16:18:57 发布
阅读量996 收藏
点赞数
文章标签: token 服务器 access url string service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianyin222/article/details/7906302
版权

 


总结Oauth步骤:

1、 用Consumer key & secret 申请request token

2、 Service Provider 根据consumer key & secret 生成 url

3、 Consumer将用户重定向到获得的url网页上

4、 用户授权给consumer权限

5、 Service Provider 将授权的request token 信息以url的方式发送给consumer(需在第一步中指定一个callback)

6、 Consumer用授权的request token换取access token

7、 Consumer可以为所欲为了XD

更详细的步骤:

首先所有Oauth签名的密钥都是consumer_secret+&+token_secret,当token还没有获得时(在申请request_token时)请求参数不带token,secret为consumer_secret+&,当request_token获得后,再换取access token时,请求参数必须带token(否则服务器认证将会被拒绝),secret为consumer_secret+&+token_secret。

其次,再说下请求签名生成的步骤:

       1、收集所有请求参数:Oauth_param+additional_param

       2、生成Base String

       3、以Base String为明文,consumer_secret为密钥生成签名

       4、将签名附到请求参数最后

最后认证流程:   

1、 以consumer_key为主要请求参数(其他的一些参数或根据当前时间生成或固定),向request_token_url发起Http连接。

2、 连接后服务器发回响应,主要参数为oauth_token,oauth_secret。

3、 连接一个url: authorize_token/token=oauth_token。其中oauth_token为服务器发回的响应。将用户重定向到该url进行认证授权

4、 用户认证授权后,服务器将重定向到request token请求时的参数call_url,此时该返回的url将包含oauth_token(还是request_token时的那个token,值没变),oauth_verifier。

5、 以consumer_key,oauth_verifier,oauth_token为主要请求参数,向access_token_url发起Http连接。

6、 收到请求后,服务器返回响应,其中包含oauth_token,oauth_secret(这里的token就是access_token了)

7、 完

Signpost Spec:

       OAuthConsumer,OAuthProvider两个实现Oauth流程的关键类。

OAuthConsumer保存着Consumer key & secret (输入参数)、token & token secret(根据当前的Oauth的流程走到哪一步,分别表示request token 和 access secret)

       OAuthProvider主要的两个方法是retrieve request token &retrieve access token

 

Oauth1.0aConsumer端实现要点:

1、 Oauth要求每次请求都需要签名。以App Secret为密钥,Base String 为明文进行签名。Base String 的组成规则 Method + & + base_url +& + query_param,其中:

Method: Http 请求方法

Base_url:目标url

query_param:请求参数,

包括:    OAUTH_CONSUMER_KEY

              OAUTH_SIGNATURE_METHOD

              OAUTH_TIMESTAMP

              OAUTH_NONCE

              OAUTH_VERSION

OAUTH_TOKEN(如果有的话,一般在申请request token之后生效)

将生成后的签名加到请求参数的后面,发送请求给服务器。(这里根据服务器的要求可能会多点或少点请求参数,一般不太会少,但是服务器可以指定将请求参数放在Http头或者Post中)

2、 在以上Oauth参数中,只有consumerkey 和 consumersecret为需要指定的,其他都是写死的或者是自动生成的。Signature method、Verson是固定的,timestamp和nonce是根据当前时间生成的两串数字。Secret作为签名密钥,不在请求参数中

3、 Oauth基于Http协议实现,所以发送Oauth请求,也就是发送一个Http请求,只是根据服务器的要求,将请求参数放在Http头或者Post中(一般都在Http头,某些蛋疼的会放在post)中。Oauth头域应该和下列字符串相似:

OAuth oauth_consumer_key=XXX,oauth_signature_method=HMAC..,oauth_signature=XXX


wutianyin222
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jmeter 实现oauth1.0授权认证
08-18
在本文中,我们将深入探讨如何使用Apache JMeter进行OAuth 1.0授权认证。OAuth 1.0是一种授权协议,允许第三方应用安全地访问用户在另一服务上的资源,而无需获得用户的用户名和密码。JMeter是一款强大的性能测试...
node-oauth-lite:适用于Node.js的OAuth 1.0a客户端库
05-12
介绍node-oauth-lite是用于Node.js的轻量级OAuth 1.0a客户端库。 它设计用于任何HTTP客户端库,并支持Google的[XOAUTH机制]( ),用于SMTP和IMAP身份验证。用法示例获取请求令牌 oauth = require ( " oauth-lite " ...
oauth服务器中获取token
weixin_33847182的博客
08-23 550
2019独角兽企业重金招聘Python工程师标准>>> ...
OAuth 1.0 简介
bobozai86的博客
12-16 1748
现在已经是OAuth2.0的时代了,整个中国互联网圈子,基本都在使用OAuth2.0了,但是我们可以看到,Twitter,这个曾经引领 了互联网开放平台的先驱,依然固执得坚持着使用OAuth1.0,而且现如今都在使用OAuth2.0的这些中国互联网平台们,也都经历过OAuth1.0的历史阶段。了解历史才能展望未来,就让我们来看一下什么是OAuth1.0吧~ 本文的题图,是OAuth1.0的完整流程图。因为是展望历史,我就不打算详细地展开了。只是简要介绍一下所有的要件,想要了解详情的同学,可以参考协议...
Oauth1.0a授权流程小记
时间是把杀刀猪
10-09 3207
Oauth 1.0a 用户授权流程图如下: A,向服务器端请求未授权的request token oauth_consumer_key(开发者申请的$appkey) oauth_signature_method (HMAC-SHA1,RSA-SHA!,PLAINTEXT) oauth_signature(base64_encode(hash_hmac('sha1', $base_s
OAuth的机制原理讲解及开发流程
xu_ya_fei的专栏
10-08 636
本想前段时间就把自己通过QQ OAuth1.0OAuth2.0协议进行验证而实现QQ登录的心得及Demo实例分享给大家,可一直很忙,今天抽点时间说下OAuth1.0协议原理,及讲解下QQ对于Oauth1.0的认证开发。闲话多说了点,下面直接进入主题。 1、OAuth的简述 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无
OAuth授权验证说明
weixin_34368949的博客
01-09 187
OAuth授权验证说明 1.1. OAuth介绍 OAuth (开放授权) 是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所有内容。为了保护凡客用户的数据,所有第三方应用都需要通过OAuth认证机制来获得用户的授权。本文档提供了凡客开放平台OAuth认证的相关信息。 凡客开放平台AP...
oauth1.0a:服务平台的oauth-1.0a实现
05-25
服务开放API的OAuth-1.0a实现 安装 ### Node.js $ npm install serve-oauth --save ###浏览器即将推出... 用法 ###使用https(Node.js) 依赖 var oauth = require ( 'serve-oauth' ) ; var https = require ( '...
OAUTH 1.0
04-26
NULL 博文链接:https://gavin2lee.iteye.com/blog/2356568
simple-oauth1:使用OAuth 1.0a服务提供商进行身份验证的简单插入类
04-27
简单的oauth1使用OAuth 1.0a服务提供商进行身份验证的简单代码为具有块和ARC的iOS 6构建。 AFNetworking( )提供了一些很棒的方法来处理url参数,该方法已在项目中使用。 还使用了OAuthConsumer( )的一种不错的...
OAuth的原理认证流程及访问资源流程
禚来强(亿刀) 的iphone开发专栏--我们 一群 热爱 移动开发,如果你也是,就加入我们。
06-01 3054
OAuth的原理认证流程及访问资源流程 腾讯微博API通过以下四个步骤来完成认证授权并访问或修改受限资源的流程 1.获取未授权的Request Token(temporary credentials)2.请求用户授权Request Token3.使用授权后的Req
OAuth授权
weixin_45386898的博客
02-08 268
目录依赖工具类关键代码(以gitee为例)==还不理解的去看 [官方文档](https://gitee.com/api/v5/oauth_doc#/)== 依赖 <!--可以引入日志 @Slf4j注解--> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId>
OAuth2 Token 一定要放在请求头中吗?
冷冷的博客
06-28 6311
Token 一定要放在请求头中吗? 答案肯定是否定的,本文将从源码的角度来分享一下 spring security oauth2 的解析过程,及其扩展点的应用场景。 Token 解析过程说明 当我们使用 spring security oauth2 时, 一般情况下需要把认证中心申请的 token 放在请求头中请求目标接口,如下图 ① spring security oauth2 通过拦截器获取此 token 完成令牌到当前用户信息(UserDetails)的转换。 OAuth2Authenticati
nonce和timestamp在Http安全协议中的作用
weixin_30585437的博客
09-03 282
前段时间给客户网站做新浪微博账号登录功能,对OAuth协议以及相关的一些安全协议做了一些研究,顺便就记录一下学习心得吧。在这里就不打算具体讲OAuth的协议流程了,而是针对OAuth请求头里的nonce(随机数)、timestamp(时间戳)、signatrue(签名)这些参数的作用做一下总结。 首先看一下HTTP规范里定义的Basic认证。 Basic认证及其安全问题 Basic认证...
关于Oauth1.0认证及认证后调用API的方法
UrbanHooker的专栏
04-28 1772
假设已经拿到以下 consumer_key: { 'consumer_key': '79a7578ce6cf4a6fa27dbf30c6324df4', 'consumer_secret': 'c7ed87c12e784e48983e3bcdc6889dad' } 并且拿到用户的授权,得到以下 oauth_token: { 'oauth_
OAuth接口说明及OAuth 核心1.0 中文翻译版
Care iOS技术团队
04-21 4710
<br /><br />OAuth 协议是现在众多网站提供API服务所选择的认证方式,是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起,目的是为API服务提供一个安全、统一和开放的标准。<br />官方网站对 OAuth 的一句话介绍是:<br />An open protocol to allow secure API authentication in a simple and standard method from desktop
java oauth_如何使用java创建一个oAuth请求?
weixin_33613571的博客
02-21 808
从我从Viagogo公共API访问文档中了解到,您在步骤1中获得的令牌相当于完整的OAuth 1.0a“舞蹈”中的请求令牌.所以,你应该可以使用scribe-java内部类来获取这个令牌,而不用手动.唯一的区别是,在抄写员中,此请求还向OAuth服务器发送一个回呼URL,用于OAuth“舞蹈”的下一步.由于我无法获得消费者帐户,我只能在此做出假设.所以我们有两种情况:情况1:Viagogo服务器容...
oauth1.0oauth2.0的区别
最新发布
07-24
OAuth 1.0OAuth 2.0是OAuth协议的两个不同版本,它们有以下几点区别: 1. 认证流程:OAuth 1.0使用了三个步骤的认证流程,包括请求令牌和访问令牌;OAuth 2.0简化了认证流程,只使用了一个访问令牌。 2. 安全性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值