Oauth认证协议原理分析及使用方法

最新推荐文章于 2023-03-01 15:47:17 发布
最新推荐文章于 2023-03-01 15:47:17 发布
阅读量7.1k 收藏 5
点赞数
分类专栏: WEB-WEB 文章标签: token 加密 twitter callback access unix

<!-- @page { margin: 0.79in } P { margin-bottom: 0.08in } H2 { margin-bottom: 0.08in } H2.cjk { font-family: "AR PL UMing HK" } H2.ctl { font-family: "Lohit Hindi" } H3 { margin-bottom: 0.08in } H3.cjk { font-family: "AR PL UMing HK" } H3.ctl { font-family: "Lohit Hindi" } H4 { margin-bottom: 0.08in } H4.cjk { font-family: "AR PL UMing HK" } H4.ctl { font-family: "Lohit Hindi" } A:link { so-language: zxx } -->

Oauth认证协议原理分析及使用方法


原文链接: http://kejibo.com/oauth/


twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像 feedtwitter rss2twitter 推特中文圈 (这个目前好像有点问题转回来的时候是个错误地址) 这种网站就是这个效果。其实这都是拜 OAuth所赐。


OAuth是什么?


OAuth是一个开放的认证协议,让你可以在 Web或桌面程序中使用简单而标准的,安全的 API认证。


OAuth有什么用?为什么要使用 OAuth


网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。

举个我们身边国内的例子吧:比如人人网想要调用 QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的 QQ号, QQ密码才能调用,虽然网站上可能都自谓“不保留 QQ用户名密码”,但是大家信吗?

OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。


OAuth原理


OAuth中有三方:一,用户;二, Consumer(不知杂翻译,类似上面的 twitterfeed 角色);三,服务提供商(如上例的 twitter角色)。


一, Consumer 向 服务提供商 申请接入权限


可得到: Consumer Key Consumer Secret twitter申请 oauth的话,在 setting - connection - developer 里面申请。 同时给出三个访问网址:


  1. request_token_url = 'http://twitter.com/oauth/request_token'

  2. access_token_url = 'http://twitter.com/oauth/access_token'

  3. authorize_url = 'http://twitter.com/oauth/authorize'

二,当 Consumer接到用户请求想要访问第三方资源(如 twitter)的时候


Consumer需要先取得 请求另牌( Request Token)。网址为上面的 request_token_url,参数为:


  1. oauth_consumer_key Consumer Key

  2. oauth_signature_method:签名加密方法

  3. oauth_signature:加密的签名 (这个下面细说)

  4. oauth_timestamp UNIX时间戳

  5. oauth_nonce:一个随机的混淆字符串,随机生成一个。

  6. oauth_version OAuth版本,可选,如果设置的话,一定设置为 1.0

  7. oauth_callback:返回网址链接。

  8. 及其它服务提供商定义的参数


这样 Consumer就取得了 请求另牌(包括另牌名 oauth_token,另牌密钥 oauth_token_secret


三,浏览器自动转向服务提供商的网站:


网址为  authorize_url?oauth_token=请求另牌名


四,用户同意 Consumer访问 服务提供商资源


那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token (就是请求另牌),及  oauth_verifier(验证码)。


五,现在总可以开始请求资源了吧?


NO。现在还需要再向 服务提供商 请求 访问另牌( Access Token)。网址为上面的  access_token_url,参数为:

  1. oauth_consumer_key Consumer Key

  2. oauth_token:上面取得的 请求另牌的名

  3. oauth_signature_method:签名加密方法

  4. oauth_signature:加密的签名 (这个下面细说)

  5. oauth_timestamp UNIX时间戳

  6. oauth_nonce:一个随机的混淆字符串,随机生成一个。

  7. oauth_version OAuth版本,可选,如果设置的话,一定设置为 1.0

  8. oauth_verifier:上面返回的验证码。

  9. 请求 访问另牌的时候,不能加其它参数。

这样就可以取得 访问另牌(包括 Access Token Access Token Secret)。这个就是需要保存在 Consumer上面的信息(没有你的真实用户名,密码,安全吧!)


六,取得 访问另牌 后,


Consumer就可以作为用户的身份访问 服务提供商上被保护的资源了。提交的参数如下:

  1. oauth_consumer_key Consumer Key

  2. oauth_token:访问另牌

  3. oauth_signature_method:签名加密方法

  4. oauth_signature:加密的签名 (这个下面细说)

  5. oauth_timestamp UNIX时间戳

  6. oauth_nonce:一个随机的混淆字符串,随机生成一个。

  7. oauth_version OAuth版本,可选,如果设置的话,一定设置为 1.0

  8. 及其它服务提供商定义的参数


OAuth安全机制是如何实现的?


OAuth 使用的签名加密方法有 HMAC-SHA1,RSA-SHA1 (可以自定义)。拿 HMAC-SHA1 来说吧, HMAC-SHA1这种加密码方法,可以使用 私钥 来加密 要在网络上传输的数据,而这个私钥只有 Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有 私钥 也是白搭。

私钥是: consumer secret&token secret  (哈两个密码加一起)

要 加密的字符串是:除  oauth_signature 外的其它要传输的数据。按参数名字符排列,如果一样,则按 内容排。如: domain=kejibo.com&oauth_consumer_key=XYZ& word=welcome......................

前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?

不, oauth_timestamp oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce(混淆码)是否已经被使用。

那么这样攻击者就无法自已生成 签名,或者偷你的签名来使用了。

本文系原创,转换请注明链接,谢谢!

 

卫见见
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
OAuth认证协议原理使用方法
03-27
OAuth认证协议原理使用方法 OAuth认证协议原理使用方法
OAuth认证协议原理分析使用方法
kailon0103的专栏
05-09 589
oauth第二代  oauth2开放认证协议原理及案例分析 写于 2011-8-4 twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像 feedtwitter rss2twitter 推特中文圈(这个目前好像有点问题转回来的时候是个错误地址) 这种网站就是这个效果。其实这都是拜 OAut
OAuth1.0协议
浮白
06-03 4809
OAuth1.0协议 概要 OAuth提供了一种client代表资源的拥有者访问server的方法,也就是在资源拥有者不向第三方提供证书(通常是指用户名和密码)的情况下,允许第三方使用用户代理重定向访问服务器上的资源。   1        介绍 OAuth协议最初是设计用于解决一个最普遍的问题,如何代理访问受保护的资源,,于是在2007年10月建立OAuth1.0的一些标准。在2009
Android学习笔记——OAuth完全手册_国内篇
weixin_30607659的博客
07-11 212
本文主要是介绍OAuth认证以及各大平台粗略比较,如有纰漏,望请谅解。 转载请注明:http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html   Preface: 开发目的及进展   利用工作上关于SNS网站的研究,将多个SNS平台集成起来,一键分享。利用闲暇时间做了一个demo,还有很多需...
[C#]OAuth認證開發
02-23 545
> [C#]OAuth認證開發 2011/4/28 13:22 | 閱讀數 : 2238 | 3 人推薦 我要推薦 | Add Comment | 文章分類: C# | 訂閱       OAuth為開放式的認證標準,提供一個簡單、標準、且較為安全的認證方法,相容於Http標準,可供較為私密的API使用。 這邊先試想一個情景,假設今天
HMAC-SHA1加密,OAUTH中签名时使用的一种方法
seemtothis的专栏
05-09 788
<br />很有用,现在很多微博在认证的时候都会用到,OAUTH协议详见http://oauth.net/documentation/getting-started/<br />那在iPhone SDK中如何使用HMAC-SHA1计算呢?<br /><br />Key一般是指的secret串,text是base串。<br />key是两个secret串用&连接起来的,比如说新浪微博,申请application时会得到一个api key和secret,获取request token的时候又获得了一个toke
OAuth2.0协议原理与实现
03-08
OAuth2.0协议原理与实现
OAuth认证协议中的HMACSHA1加密算法(实例)
10-19
下面小编就为大家带来一篇OAuth认证协议中的HMACSHA1加密算法(实例)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
oauth认证授权原理
04-05
oauth2.0协议认证原理,适合初学者使用
OAuth原理
ww112233j的博客
05-24 3706
包括如下内容: 1 从简单的例子了解 OAuth 2 OAuth 的定义和组成 3 OAuth 的 Refresh Token 4 OAuth 的授权模式 从简单的例子了解 OAuth 在介绍 OAuth 2.0 之前,让我们来看一个简单的例子。假设你平时喜欢照相,将生活中的点点滴滴记录成电子照片并且存放到云盘上,每隔一段时间会将心仪的照片挑选出来进行打印保存。 同时你发现网络上面有一个款云打印照片的应用,只需要导入电子照片,这款应用就可以帮你进行打印然后将成片邮寄到你的家中。 我们将这
OAUTH认证授权原理
实践出真知
07-07 1111
1、OAUTH简介         OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息,并且这是安全的。 2、OAUTH原理                 分了四个步骤,下面是四步的讲解:   第一步:用户访问第三方网站,比如:就是你需要使用QQ进行登录的网站;
OAuth2.0 原理
weixin_44763552的博客
03-25 2万+
文章目录一、OAuth2.0是什么?二、三方指的是哪三方?三、OAuth2.0的作用1、解决的问题2、项目应用场景四、OAuth2.0名词定义五、OAuth2.0授权流程1、OAuth的思路2、交互流程六、OAuth2.0的授权模式1、授权码模式2、简化模式3、密码模式4、客户端模式七、令牌的使用和更新令牌的使用令牌的更新八、OAuth2.0和1.0的区别九、三方登录中OAuth2.0的使用1、三方登录如何做到的呢?2、微信三方登录OAuth2.0获取access_token流程总结参考文献 一、OAut
OAUTH协议简介
热门推荐
打造高质量Blog
03-08 9万+
   摘要:OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。业界提供了OAU
OAuth认证原理
qq_25381015的博客
10-30 379
一.什么是OAuth?       1.OAuth是一种安全认证协议;     2.OAuth协议为用户资源的授权提供了一个安全的、开放而又简易的标准;     3.OAuth的授权不会使第三方触及到用户的账号信息(如用户名和密码)(作用);  二、OAuth当中的角色      1.ServiseProvider(服务提供商)服务提供商一般是网站,保存有一些受限制的资源;      
oauth1.0 java的实现(附代码)
鼻孔猫加油站
04-09 4857
最近再做毕业设计,需要用到OAuth 1.0协议。 首先,简单说一下什么是OAuth 协议OAuth 是一个开放授权协议,允许第三方应用访问服务提供方中注册的终端用户的某些资源,且不会把帐号和密码提供给第三方。 OAuth 允许通过服务提供商授予的一个临时令牌而不是用户名密码来获取用户的资源,这些资源可以是受限的,令牌的时间段也可以是受限的。 简单的说,OAuth就是用来对第三方进
什么是oAuth(开放式授权)?OAUTH协议特点和授权流程?
一亩地的专栏
05-02 1159
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。定义OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可...
oauth2.0 授权码模式简单理解
weixin_39887965的博客
10-27 2170
什么是 oauth协议 ? 百度百科上有解释:允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要分享他们的访问许可或他们数据的所有内容。 简单的来讲就是一个令牌,这个令牌可以有一定的权限,在不知道用户密码的情况下也可以进行部分的功功能操作。用一个例子帮助理解:一
OAuth2.0授权协议+4种认证模式了解
weixin_45559449的博客
03-01 4219
OAuth 2.0是目前最流行的授权机制,用来授权第三方应用,获取用户数据。OAuth(开放授权)是一个关于授权的开放标准,该标准允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息(比如照片、视频、用户信息等),而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容,OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0。即完全废止了OAuth1.0。OAuth 2.0协议正式发布为RFC-6749。
OAuth1.0介绍
烟草的香味的博客
02-19 3545
背景 为什么需要OAuth授权呢? 最典型的应用场景就是第三方登录了, 我们开发了一个网站希望用户可以QQ登录, 但是怎么能拿到用户的 QQ 信息呢? 用户将 账号密码告诉我们当然可以, 但是这样有如下隐患: 我们拿到了用户的密码, 这样很不安全. 而且任意一个应用被黑, 所有相关站点均受影响 QQ 需要支持密码登录, 但是单纯密码登录并不安全. 因此进而影响 QQ 的安全问题 我们拿到密码之后, 就相当于拥有了用户的所有信息, 这样无法进行权限限制 可能只是希望授权用户名和头像, 但是连着好友列表一起
itop使用oauth2协议方法
最新发布
05-12
iTop是一套IT服务管理系统,支持多种认证方式,包括OAuth2协议。以下是使用OAuth2协议的步骤: 1. 首先,在iTop中创建一个新的认证提供者。可以在“管理面板” -> “认证提供者”中进行设置。 2. 点击“添加”按钮...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值