OAuth 授权过程

OAuth认证过称需要你的应用和Google的授权服务器，终端用户做一系列交互。
基本的交互过称：
   1. 你的应用从Google的授权服务器获得一个未授权的请求token
   2. Google要求用户给予你的应用访问需要的数据。比如你要访问gmail，google把页面引导到gmail的登录页面，提示用户登录，这样google就获得了用户的许可。
   3. 你的应用从Google的授权服务器得到一个授权的请求token.
   4. 你用请求token交换为一个访问token
   5. 你使用访问toaken从Google的服务访问服务器来请求数据

评论

1 楼 javavsnet 2010-12-22  

转一个 http://ccren.blogbus.com/logs/78814344.html
OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。目录OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAUTH认证服务，因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP，JavaScript，Java，Ruby等各种语言开发包，大大节约了程序员的时间，因而OAUTH是简易的。目前互联网很多服务如OpenAPI，很多大头公司如Google，Yahoo，Microsoft等都提供了OAUTH认证服务，这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。在官方网站的首页，可以看到下面这段简介：AnopenprotocoltoallowsecureAPIauthorizationinasimpleandstandardmethodfromdesktopandwebapplications. 大概意思是说OAUTH是一种开放的协议，为桌面程序或者基于BS的web应用提供了一种简单的，标准的方式往访问需要用户授权的API服务。OAUTH 类似于FlickrAuth、Google'sAuthSub[1]、Yahoo'sBBAuth、FacebookAuth等。OAUTH认证授权具有以下特点：1.简单：不管是OAUTH服务提供者还是应用开发者，都很轻易于理解与使用；2.安全：没有涉及到用户密钥等信息，更安全更灵活；3.开放：任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTH；

典型案例：假如一个用户拥有两项服务：一项服务是图片在线存储服务A，另一个是图片在线打印服务B。如下图所示。由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户

要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再往服务A处下载待打印的图片，这种方式效率是进步了，但是安全性大大降低了，服务B可以使用用户的用户名与密码往服务A上查看甚至篡改用户的资源。很多公司和个人都尝试解决这类题目，包括Google、Yahoo、 Microsoft，这也促使OAUTH项目组的产生。OAuth是由BlaineCook、ChrisMessina、LarryHalff及 DavidRecordon共同发起的，目的在于为API访问授权提供一个开放的标准。OAuth规范的1.0版于2007年12月4日发布。

在弄清楚OAUTH流程之前，我们先了解下OAUTH的一些术语的定义：OAUTH相关的三个URL：RequestTokenURL:获取未授权的 RequestToken服务地址；UserAuthorizationURL:获取用户授权的RequestToken服务地址；AccessTokenURL:用授权的RequestToken换取AccessToken的服务地址；OAUTH相关的参数定义：oauth_consumer_key:使用者的ID，OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要往OAUTH 服务提供商处注册一个应用，再获取该应用的oauth_consumer_key。如Yahoo该值的注册地址为：https://developer.yahoo.com/dashboard /oauth_consumer_secret：oauth_consumer_key对应的密钥。oauth_signature_method:请求串的签名方法，应用每次向OAUTH三个服务地址发送请求时，必须对请求进行签名。签名的方法有：HMAC-SHA1、RSA-SHA1与 PLAINTEXT等三种。oauth_signature:用上面的签名方法对请求的签名。oauth_timestamp:发起请求的时间戳，其值是距197000:00:00GMT的秒数，必须是大于0的整数。本次请求的时间戳必须大于或者即是上次的时间戳。oauth_nonce:随机天生的字符串，用于防止请求的重放，防止外界的非法攻击。oauth_version:OAUTH的版本号，可选，其值必须为1.0。OAUTHHTTP响应代码：HTTP400BadRequest请求错误Unsupportedparameter参数错误 Unsupportedsignaturemethod签名方法错误Missingrequiredparameter参数丢失 DuplicatedOAuthProtocolParameter参数重复HTTP401Unauthorized未授权 InvalidConsumerKey非法keyInvalid/expiredToken失效或者非法的tokenInvalidsignature签名非法Invalid/usednonce非法的nonce

在弄清楚了OAUTH的术语后，我们可以对OAUTH认证授权的流程进行初步熟悉。实在，简单的来说，OAUTH认证授权就三个步骤，三句话可以概括：1.获取未授权的RequestToken2.获取用户授权的RequestToken3.用授权的 RequestToken换取AccessToken当应用拿到AccessToken后，就可以有权访问用户授权的资源了。大家肯能看出来了，这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错，上面的三个步骤中，每个步骤分别请求一个URL，并且收到相关信息，并且拿到上步的相关信息往请求接下来的URL直到拿到AccessToken。具体每步执行信息如下：A.使用者（第三方软件）向OAUTH服务提供商请求未授权的 RequestToken。向RequestTokenURL发起请求，请求需要带上的参数见上图。B.OAUTH服务提供商同意使用者的请求，并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret，并返回给使用者。C.使用者向OAUTH服务提供商请求用户授权的RequestToken。向UserAuthorizationURL发起请求，请求带上上步拿到的未授权的token与其密钥。D.OAUTH服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。此步可能会返回授权的RequestToken也可能不返回。如 YahooOAUTH就不会返回任何信息给使用者。E.RequestToken授权后，使用者将向AccessTokenURL发起请求，将上步授权的 RequestToken换取成AccessToken。请求的参数见上图，这个比第一步A多了一个参数就是RequestToken。F.OAUTH服务提供商同意使用者的请求，并向其颁发AccessToken与对应的密钥，并返回给使用者。G.使用者以后就可以使用上步返回的AccessToken 访问用户授权的资源。从上面的步骤可以看出，用户始终没有将其用户名与密码等信息提供给使用者（第三方软件），从而更安全。用OAUTH实现背景一节中的典型案例：当服务B（打印服务）要访问用户的服务A（图片服务）时，通过OAUTH机制，服务B向服务A请求未经用户授权的RequestToken后，服务A将引导用户在服务A的网站上登录，并询问用户是否将图片服务授权给服务B。用户同意后，服务B就可以访问用户在服务A上的图片服务。整个过程服务B 没有触及到用户在服务A的帐号信息。如下图所示，图中的字母对应OAUTH流程中的字母：

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

最近弄了一个项目，被这个Oauth认证被绕晕了，好不轻易跑通了逻辑，下面开始好好分析一下它的认证过程。他的认证过程简单来说可以分成3部分:

向服务器发请求,索要一个没有授权的token和它的密钥.

拿着这个没有授权的token往网站上给用户授权这个token,拿到一个权限核对码(verifier)

拿着这个核对码,往请求一个许可的token和它的密钥.

这样我们就可以访问需要授权的信息了.

固然说起来轻易,而且还有GoogleCode上的OauthApi,但是经常被那些参数弄晕，导致不能继续下往,所以首先要记住一点:XXX出现在URL中,XXX_secret就会用来做签名.

下面说说1-4步中的请求分别需要动用哪些参数。最开始,你手上会有两个参数,一个是consumerKey,另外一个是consumerSecret。

请求未授权的token和它的密钥(取名分别为t1,ts1).这里关键参数有:oauth_consumer_key=consumerKey.只用consumerSecret来签名.

给未授权token拿给授权,获得token(实在和t1是一个值)和核对码(verifier,取名为v2).这里关键参数有:oauth_token=t1,oauth_callback=callbackURL(这个用于接受返回的值的地址,它有可能会在服务器端做一次跳转).这一步不需要签名.

请求许可token和它的密钥(取名为a3和as3).这里关键参数有:oauth_consumer_key=consumerKey,oauth_token=t1,oauth_verifier=v2.用consumerSecret和ts1做签名.

访问许可的资源.这里关键参数有:oauth_consumer_key=consumerKey,oauth_token=a3.用consumerSecret和as3做签名.

3.获取终极的授权token(post):

url:http://api.t.sina.com.cn/oauth/access_token

postdata:oauth_consumer_key=consumerKey&oauth_token=t1&oauth_signature_method=HMAC-SHA1&oauth_verifier=v2&oauth_timestamp=&oauth_nonce=&oauth_signature=[consumerSecret+ts1]

返回:oauth_token=a3&oauth_token_secret=as3

至此，就完成登录并可以访问受限资源啦!