第三方登录oauth原理

 一、OAUTH是什么？

    OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAUTH认证服务，因而OAUTH是开放的。

二、OAUTH相关术语

• OAUTH相关的三个URL：
  • Request Token URL: 获取未授权的Request Token服务地址；
  • User Authorization URL: 获取用户授权的Request Token服务地址；
  • Access Token URL: 用授权的Request Token换取Access Token的服务地址；

• OAUTH相关的参数定义：
  • oauth_consumer_key: 使用者的ID，OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用，再获取该应用的oauth_consumer_key。如Yahoo该值的注册地址为：https://developer.yahoo.com/dashboard/
  • oauth_consumer_secret：oauth_consumer_key对应的密钥。
  • oauth_signature_method: 请求串的签名方法，应用每次向OAUTH三个服务地址发送请求时，必须对请求进行签名。签名的方法有：HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种。
  • oauth_signature: 用上面的签名方法对请求的签名。
  • oauth_timestamp: 发起请求的时间戳，其值是距1970 00:00:00 GMT的秒数，必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。
  • oauth_nonce: 随机生成的字符串，用于防止请求的重放，防止外界的非法攻击。
  • oauth_version: OAUTH的版本号，可选，其值必须为1.0。

          OAUTH HTTP响应代码：        

• HTTP 400 Bad Request 请求错误
  • Unsupported parameter 参数错误
  • Unsupported signature method 签名方法错误
  • Missing required parameter 参数丢失
  • Duplicated OAuth Protocol Parameter 参数重复
• HTTP 401 Unauthorized 未授权
  • Invalid Consumer Key 非法key
  • Invalid / expired Token 失效或者非法的token
  • Invalid signature 签名非法
  • Invalid / used nonce 非法的nonce

三、OAUTH认证授权流程

            在弄清楚了OAUTH的术语后，我们可以对OAUTH认证授权的流程进行初步认识。其实，简单的来说，OAUTH认证授权就三个步骤，三句话可以概括：

            1. 获取未授权的Request Token（在应用服务商注册的App Key和App Secret）

    

            2. 获取用户授权的Request Token（用户允许授权后服务商会返回的临时的Request Token）

            3. 用授权的Request Token换取Access Token（用临时的Request Token去换取Acces Token）

             当应用拿到Access Token后，就可以有权访问用户授权的资源了。大家肯能看出来了，这三个步骤不就是对应OAUTH的三个UR          L服务地址嘛。一点没错，上面的三个步骤中，每个步骤分别请求一个URL，并且收到相关信息，并且拿到上步的相关信息去请            求接下来的URL直到拿到Access Token。具体的步骤如下图所示：

            

        具体每步执行信息如下：

        

A. （第三方软件）向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求，请求需要带上参数（自我理解为param 注册信息）

B. OAUTH服务提供商同意第三方软件的请求，并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret，并返回给（第三方软件）。（App Key和App Secret）

C. （第三方软件）向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求。

    请求参数是上步拿到的未授权的token与其密钥.（App Key和App Secret）

D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。

    此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。

E. Request Token 授权后，使用者向Access Token URL发起请求，将上步授权的Request Token换取成Access Token。

请求的参数（Request Token、App Key、App Secret），这个比第一步A多了一个参数就是Request Token。

F. OAUTH服务提供商同意（第三方软件）的请求，并向其颁发Access Token与对应的密钥，并返回给（第三方软件）。

G. （第三方软件）就可以使用上步返回的Access Token访问用户授权的资源。

    从上面的步骤可以看出，用户始终没有将其用户名与密码等信息提供给使用者（第三方软件），从而更安全。用OAUTH实现背景一节中的典型案例：当服务B（打印服务）要访问用户的服务A（图片服务）时，通过OAUTH机制，服务B向服务A请求未经用户授权的Request Token后，服务A将引导用户在服务A的网站上登录，并询问用户是否将图片服务授权给服务B。用户同意后，服务B就可以访问用户在服务A上的图片服务。整个过程服务B没有触及到用户在服务A的帐号信息。如下图所示，图中的字母对应OAUTH流程中的字母：