OAuth1.0a的使用例(RFC5849 1.2节的中文翻译)

最新推荐文章于 2022-01-11 17:05:46 发布
最新推荐文章于 2022-01-11 17:05:46 发布
阅读量922 收藏 1
点赞数 1
分类专栏: Security 文章标签: token authorization callback 照片 服务器 credentials

碰巧遇到OAuth,在网上学了一学,在此记录以备忘。

看了很多介绍文章,最后还是觉得RFC最能让你理解具体这个协议是怎么工作了,在此把RFC5849的1.2节翻译一下。

 

RFC5849

1.2 例子 

Jane (resource owner) 已经上传了一些她的假期照片(protected resources) 到她的照片分享网站'photos.example.net' (server).
她希望用 'printer.example.com' 网站(client) 来打印其中一张照片.和通常一样,Jane用她的用户名和密码登录到 'photos.example.net' .但Jane不想告诉'printer.example.com'她的用户名和密码,而为了打印而这个网站需要访问照片。为了给用户提供更好的服务,'printer.example.com' 
已经事先取得了一组'photos.example.net'的客户端资格(client credentials):

   客户端识别号码(Client Identifier):
        dpf43f3p2l4k3l03

   客户端共享密文(Client Shared-Secret):
         kd94hf93k423kf4

'printer.example.com' 网站也设置好了它的程序以便利用列举在 'photos.example.net' 的API文档里的协议终端接口,这些终端使用
"HMAC-SHA1"签名方法: 

   临时资格请求
   https://photos.example.net/initiate 
 
   资源主授权 URI:
         https://photos.example.net/authorize

   Token请求URI:
         https://photos.example.net/token



在'printer.example.com'能请求Jane授权它访问照片之前,它必须同'photos.example.net'建立一组临时资格以用来识别代理请求。
为了实现这个,客服端送出一下HTTPS  [RFC2818

] 请求到服务器端:

     POST /initiate HTTP/1.1
     Host: photos.example.net
     Authorization: OAuth realm="Photos",
        oauth_consumer_key="dpf43f3p2l4k3l03",
        oauth_signature_method="HMAC-SHA1",
        oauth_timestamp="137131200",
        oauth_nonce="wIjqoS",
        oauth_callback="http%3A%2F%2Fprinter.example.com%2Fready",
        oauth_signature="74KNZJeDHnMBp0EMJ9ZHt%2FXKycU%3D"

服务器端验证这个请求并在HTTP应答的正文里面回复一组临时资格(改行只是为了显示方便):

     HTTP/1.1 200 OK
     Content-Type: application/x-www-form-urlencoded

     oauth_token=hh5s93j4hdidpola&oauth_token_secret=hdhd0244k9j7ao03&
     oauth_callback_confirmed=true 

客户端转送Jane的user-agent到服务器的资源主授权端口以获得对于访问私有照片的Jane的批准:    
     https://photos.example.net/authorize?oauth_token=hh5s93j4hdidpola

服务器请求Jane用她的用户名和密码登录,如果登录成功,服务器再要求她批准授权 'printer.example.com' 
访问她私有的照片。Jane 批准这个请求然后她的user-agent就被转送到客服端在以前的请求里提供的callback URI: 
(改行只是为了显示方便):  

http://printer.example.com/ready?
     oauth_token=hh5s93j4hdidpola&oauth_verifier=hfdp7dh39dks988

这个callback请求通知客户端Jane完成了授权处理。然后客户端用它的临时资格来要求另一组token资格(在一个安全的Transport
   Layer Security (TLS) 通道上):

     POST /token HTTP/1.1
     Host: photos.example.net
     Authorization: OAuth realm="Photos",
        oauth_consumer_key="dpf43f3p2l4k3l03",
        oauth_token="hh5s93j4hdidpola",
        oauth_signature_method="HMAC-SHA1",
        oauth_timestamp="137131201",
        oauth_nonce="walatlh",
        oauth_verifier="hfdp7dh39dks9884",
        oauth_signature="gKgrFCywp7rO0OXSjdot%2FIHF7IU%3D"

服务器验证这个请求并在HTTP应答的正文里面回复一组token资格:

    HTTP/1.1 200 OK
     Content-Type: application/x-www-form-urlencoded

     oauth_token=nnch734d00sl2jdk&oauth_token_secret=pfkkdhi9sl3r4s00 

有了这组token资格,客户端做好了访问私有照片的准备:

    GET /photos?file=vacation.jpg&size=original HTTP/1.1
     Host: photos.example.net
     Authorization: OAuth realm="Photos",
        oauth_consumer_key="dpf43f3p2l4k3l03",
        oauth_token="nnch734d00sl2jdk",
        oauth_signature_method="HMAC-SHA1",
        oauth_timestamp="137131202",
        oauth_nonce="chapoH",
        oauth_signature="MdpQcU8iPSUjWoN%2FUDMsK2sui9I%3D" 

'photos.example.net'服务器验证这个请求并回复被请求访问的照片.在Jane的授权的存活期间,'printer.example.com'能够用同一个token资格继续访问Jane的私有照片, 或者直到Jane让访问无效.

参考资料

http://tools.ietf.org/html/rfc5849

 

这里能看到一个很直观的user experience分析图

http://hueniverse.com/oauth/

 

论述OAuth1.0a, WRAP( ) 以及 OAuth2.0的文章

http://radar.oreilly.com/2010/01/whats-going-on-with-oauth.html

zhuliulin
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tmhOAuth:用PHP编写的OAuth 1.0A库
02-19
tmhOAuth @themattharris用PHP编写的OAuth库。 免责声明:该项目正在进行中。 请使用问题跟踪器报告您遇到的任何增强或问题。 目标 支持OAuth 1.0A 使用授权标头代替查询字符串或POST参数 允许上传图片 提供足够的信息以帮助调试 依存关系 该库已经过PHP 5.3+的测试,并依赖CURL和hash_hmac。 绝大多数托管服务提供商都包括这些库,并在PHP 5.1+上运行。 该代码使用了PHP 5.1.2中引入的hash_hmac。 如果您PHP版本低于此版本,则应请求主机提供商进行更新。 有关安全性和SSL的说明 版本0.60加强了库的安全性,并将curl_ssl_verifypeer默认为true 。 由于某些托管服务提供商不提供最新的证书根文件,因此现在将其包含在此存储库中。 如果版本已过期,或者您希望自己下载证书根目录,则可以从以下获取证
OAuth1.0 RFC5849 中文版 (部分翻译)
weixin_30448685的博客
02-18 235
由于独立域名空间速度不好,所以就发到这里啦. 原文地址:http://mktime.tk/web-service/oauth-rfc5849.html RFC文档的地址在http://tools.ietf.org/html/rfc5849 从第五页开始有一个Example,我觉得这对于新手来说是最好的例子了,所以我就用我的蹩脚英语把它"翻译"了一下,希望对大家有所帮助。 1.1. Term...
OAuth
蝈蝈俊.net
12-24 2030
OAuth 协议是现在众多网站提供API服务所选择的认证方式,是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起,目的是为API服务提供一个安全、统一和开放的标准。 官方网站对 OAuth 的一句话介绍是:    An open protocol to allow secure API authentication in a
OAuth介绍 - 协议解析
03-12 845
OAuth是一个开放的授权协议,它提供一个方法可以让你授权某个人(记为Client)来代表你(记为Resource Owner 或 Web User)去访问你保存在服务器(记为Server)上的资源。rfc5849是描述OAuth1.0的标准文档,可作为开发OAuth协议的参考。 我之前的Blog (OAuth介绍 - 使用场景)描述了OAuth的一个经典用例。本文将对OAuth协议进一步阐
jmeter 实现oauth1.0授权认证
08-18
在本文中,我们将深入探讨如何使用Apache JMeter进行OAuth 1.0授权认证。OAuth 1.0是一种授权协议,允许第三方应用安全地访问用户在另一服务上的资源,而无需获得用户的用户名和密码。JMeter是一款强大的性能测试...
oauth1.0a:服务平台的oauth-1.0a实现
05-25
服务开放API的OAuth-1.0a实现 安装 ### Node.js $ npm install serve-oauth --save ###浏览器即将推出... 用法 ###使用https(Node.js) 依赖 var oauth = require ( 'serve-oauth' ) ; var https = require ( '...
node-oauth-lite:适用于Node.js的OAuth 1.0a客户端库
05-12
介绍node-oauth-lite是用于Node.js的轻量级OAuth 1.0a客户端库。 它设计用于任何HTTP客户端库,并支持Google的[XOAUTH机制]( ),用于SMTP和IMAP身份验证。用法示例获取请求令牌 oauth = require ( " oauth-lite " ...
simple-oauth1:使用OAuth 1.0a服务提供商进行身份验证的简单插入类
04-27
简单的oauth1使用OAuth 1.0a服务提供商进行身份验证的简单代码为具有块和ARC的iOS 6构建。 AFNetworking( )提供了一些很棒的方法来处理url参数,该方法已在项目中使用。 还使用了OAuthConsumer( )的一种不错的...
muralla:基于OAuth 1.0a规范的OAuth框架
05-23
墙通过REST通信为WEB应用程序中的OAuth 1.0a标准( )的实现预先配置的框架要求JDK 1.7(或更高版本) MAVEN 3.x 兼容JEE6的应用服务器赞助身份提供者( 'IDP' )的登录应用程序,提供令牌的应用程序( 'SP' )和...
RFC 6749-OAuth 2.0授权框架(中文版).pdf
08-02
开放平台标准协议简介之RFC 6749-OAuth 2.0授权框架; The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf.
RFC 6750 OAuth 2.0 授权框架:不记名令牌用法
07-20
RFC 6750 OAuth 2.0 授权框架:不记名令牌用法 (正式版中文翻译,PDF)
【转载】HTTP API 认证授权术
haolinbird的博客
01-11 879
该文转载自HTTP API 认证授权术 我们知道,HTTP是无状态的,所以,当我们需要获得用户是否在登录的状态时,我们需要检查用户的登录状态,一般来说,用户的登录成功后,服务器会发一个登录凭证(又被叫作Token),就像你去访问某个公司,在前台被认证过合法后,这个公司的前台会给你的一个访客卡一样,之后,你在这个公司内去到哪都用这个访客卡来开门,而不再校验你是哪一个人。在计算机的世界里,这个登录凭证的相关数据会放在两种地方,一个地方在用户端,以Cookie的方式(一般不会放在浏览器的Local Storag
Oauth2.0 ( RFC-6749 ) 中文译文
热门推荐
spawpaw的博客
10-22 1万+
本文为RFC6749(OAuth2.0)的中文翻译, 本文在不影响原文语义的情况下尽可能地采用更符合中文习惯的方式进行表述,如有翻译不妥当的地方请在评论中指出。 PS:有些过于简单,或者不适合翻译的内容直接以原文呈现,如11往后,基本上能读懂英语单词就不会有阅读障碍,所以就不翻译了。 PPS:有些明明能简单的表述出来的东西非要绕十八个弯写出来,搞学术的都是鬼才。。。 本文由spawpaw@ho...
我理解的OAuth 1.0a 的验证过程
weixin_33817333的博客
07-04 100
故事梗概: 淘宝店主糖糖在京郊仓库存了一批大白兔奶糖,为了防止仓库钥匙被偷把仓库的钥匙交给了专业的钥匙保管员公司。 糖糖卖了一斤大白兔需要快递公司的小迪送货。快递员小迪找钥匙保管公司借钥匙,然后去京郊仓库去取货。   出场人物: 快递公司的小迪 -------OAuth服务的消费者,也就是这个故事的主角 钥匙保管公司 ------ OAuth 服务提供者 淘宝店主 糖糖 -------...
C++中的swap函数
weixin_34270606的博客
09-10 175
最通用的模板交换函数模式:创建临时对象,调用对象的赋值操作符 template <class T> void swap ( T& a, T& b ) { T c(a); a=b; b=c; } 需要构建临时对象,一个拷贝构造,两次赋值操作。 针对int型优化 void swap(int &...
调用函数时,到底什么时候要用指针接收,看完就不难理解了(Swap交换函数为例)
Novice Player的博客
09-29 3804
在这里我通过讲解一个交换函数来讲解一下什么时候传参需要用指针接收。   这里先看一段代码,很多初学者对指针掌握不够,经常会写出这样的代码: #define _CRT_SECURE_NO_WARNINGS 1 #include<stdio.h> #include<stdlib.h> void Swap(int x, int y) { int tmp = x; x ...
交换两个值函数swap()实现小结
刘森林l的博客
05-13 6924
代码片段 #include #include void swap(int *a , int *b); void swap1(int *a , int *b); void swap(int *a , int *b) { int *temp = NULL; temp =(int *)malloc(sizeof(int)); //申请了一块交换中介空间 *
oauth1.0oauth2.0的区别
最新发布
07-24
OAuth(Open Authorization)是一种用于授权的开放标准协议,允许用户授权第三方应用访问其受保护的资源。OAuth 1.0OAuth 2.0是OAuth协议的两个不同版本,它们有以下几点区别: 1. 认证流程:OAuth 1.0使用了三个步骤的认证流程,包括请求令牌和访问令牌;OAuth 2.0简化了认证流程,只使用了一个访问令牌。 2. 安全性:OAuth 1.0在请求过程中使用了数字签名,提供了更高的安全性;而OAuth 2.0主要依赖于HTTPS来保证通信安全。 3. 扩展性:OAuth 2.0相对于OAuth 1.0更加灵活和可扩展,允许开发者自定义授权流程和令牌类型。 4. 支持范围:OAuth 1.0广泛支持各种应用场景,包括客户端应用、Web应用和移动应用等;OAuth 2.0在Web应用和移动应用方面更加成熟,但对于一些特殊场景(如客户端应用)可能需要进行扩展。 需要注意的是,虽然OAuth 2.0相对于OAuth 1.0有更多的优势,但它也引入了一些新的安全问题,如访问令牌的滥用和授权范围的管理。因此,在选择OAuth版本时,需要根据具体应用场景和需求进行权衡和选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值