`
ordinary
  • 浏览: 79467 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

转OAuth认证协议原理分析及使用方法

阅读更多

5.png

twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到 twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像feedtwitterrss2twitter推特中文圈(这个目前好像有点问题转回来的时候是个错误地址) 这种网站就是这个效果。其实这都是拜 OAuth所赐。


OAuth是什么?


OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认证。


OAuth有什么用?为什么要使用OAuth?


网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。

举个我们身边国内的例子吧:比如人人网想要调用QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的QQ号,QQ密码才能调用,虽然网站上可能都自谓“不保留QQ用户名密码”,但是大家信吗?

OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。


OAuth原理


OAuth中有三方:一,用户;二,Consumer(不知杂翻译,类似上面的 twitterfeed 角色);三,服务提供商(如上例的twitter角色)。


一,Consumer 向 服务提供商 申请接入权限


可得到:Consumer Key,Consumer Secret。twitter申请oauth的话,在 setting - connection - developer 里面申请。 同时给出三个访问网址:


  1. request_token_url = 'http://twitter.com/oauth/request_token'
  2. access_token_url = 'http://twitter.com/oauth/access_token'
  3. authorize_url = 'http://twitter.com/oauth/authorize'

二,当Consumer接到用户请求想要访问第三方资源(如twitter)的时候


Consumer需要先取得 请求另牌(Request Token)。网址为上面的 request_token_url,参数为:


  1. oauth_consumer_key:Consumer Key
  2. oauth_signature_method:签名加密方法
  3. oauth_signature:加密的签名 (这个下面细说)
  4. oauth_timestamp:UNIX时间戳
  5. oauth_nonce:一个随机的混淆字符串,随机生成一个。
  6. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
  7. oauth_callback:返回网址链接。
  8. 及其它服务提供商定义的参数

这样 Consumer就取得了 请求另牌(包括另牌名 oauth_token,另牌密钥 oauth_token_secret。


三,浏览器自动转向服务提供商的网站:


网址为 authorize_url?oauth_token=请求另牌名


四,用户同意 Consumer访问 服务提供商资源


那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token (就是请求另牌),及 oauth_verifier(验证码)。


五,现在总可以开始请求资源了吧?


NO。现在还需要再向 服务提供商 请求 访问另牌(Access Token)。网址为上面的 access_token_url,参数为:

 

  1. oauth_consumer_key:Consumer Key
  2. oauth_token:上面取得的 请求另牌的名
  3. oauth_signature_method:签名加密方法
  4. oauth_signature:加密的签名 (这个下面细说)
  5. oauth_timestamp:UNIX时间戳
  6. oauth_nonce:一个随机的混淆字符串,随机生成一个。
  7. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
  8. oauth_verifier:上面返回的验证码。
  9. 请求 访问另牌的时候,不能加其它参数。

 

这样就可以取得 访问另牌(包括Access Token 及 Access Token Secret)。这个就是需要保存在 Consumer上面的信息(没有你的真实用户名,密码,安全吧!)


六,取得 访问另牌 后,


Consumer就可以作为用户的身份访问 服务提供商上被保护的资源了。提交的参数如下:

 

  1. oauth_consumer_key:Consumer Key
  2. oauth_token:访问另牌
  3. oauth_signature_method:签名加密方法
  4. oauth_signature:加密的签名 (这个下面细说)
  5. oauth_timestamp:UNIX时间戳
  6. oauth_nonce:一个随机的混淆字符串,随机生成一个。
  7. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
  8. 及其它服务提供商定义的参数

 


OAuth安全机制是如何实现的?


OAuth 使用的签名加密方法有 HMAC-SHA1,RSA-SHA1 (可以自定义)。拿 HMAC-SHA1 来说吧,HMAC-SHA1这种加密码方法,可以使用 私钥 来加密 要在网络上传输的数据,而这个私钥只有 Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有 私钥 也是白搭。

私钥是:consumer secret&token secret  (哈两个密码加一起)

要加密的字符串是:除 oauth_signature 外的其它要传输的数据。按参数名字符排列,如果一样,则按 内容排。如:domain=kejibo.com&oauth_consumer_key=XYZ&word=welcome......................

前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?

不,oauth_timestamp,oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce(混淆码)是否已经被使用。

那么这样攻击者就无法自已生成 签名,或者偷你的签名来使用了。

本文系原创,转换请注明链接,谢谢!

分享到:
评论

相关推荐

    android新浪腾讯人人豆瓣等的oauth认证

    "OAuthExample"项目可能包含了上述组件的实现,通过分析源码,你可以了解如何在Android中集成OAuth认证。例如: 1. `OAuthClient`类会实现OAuth协议中的各种请求,使用`HttpURLConnection`或第三方库如OkHttp进行...

    新浪、腾讯、网易、搜狐微博OAuth认证整合

    6. **OauthTest文件**:这个文件可能是用于测试OAuth整合的代码示例或者工具,可能包含了四大微博平台的OAuth认证实现,开发者可以通过分析和运行这些代码,理解OAuth认证的具体步骤和细节。 在实际开发中,开发者...

    Spring security oauth源码

    通过分析这些源码,我们可以深入理解OAuth的工作原理,以及Spring Security OAuth如何支持这些功能。同时,Sparklr2和Tonr2示例能帮助我们直观地看到OAuth流程的每个步骤,包括授权、令牌交换和资源访问。 在实际...

    java源码:豆瓣OAuth认证示例项目.rar

    使用OAuth认证后,我们能够获取到用户的个人化信息,例如用户收藏的书单、电影列表等。 4. **授权流程** OAuth 2.0的授权流程一般包括以下步骤: - 用户访问应用,应用引导用户至豆瓣的授权页面。 - 用户同意...

    Ruby-Doorkeeper是Rails的一个OAuth2提供者OAuth20协议的一个Ruby封装

    Ruby-Doorkeeper是一个针对Rails应用的OAuth 2.0提供商,它实现了OAuth 2.0标准,为开发者提供了强大的身份验证和授权功能。OAuth 2.0是一种广泛使用的开放标准,用于允许第三方应用安全地访问用户的数据,而无需...

    spring oauth2 认证,jar包, demo程序

    Spring OAuth2 是一个广泛使用的授权框架,用于构建安全的、可扩展的应用程序。它基于OAuth2协议,允许第三方应用...开发者可以通过分析和运行这个demo,深入了解OAuth2的工作原理和Spring Security OAuth2的实现方式。

    安卓Android源码——新浪、腾讯、网易、搜狐微博OAuth认证整合版.zip

    在Android开发中,与微博平台进行集成是常见的需求,这通常涉及到OAuth认证,这是一种授权协议,用于安全地获取用户数据而无需透露其登录凭证。此压缩包中的OauthTest项目提供了一个整合四大主流微博平台OAuth认证的...

    weibo4j-oauth2-2.1.1-beta3.1.1.jar(已使用IDEA构建成jar和jar源码)

    本文将深入探讨这个库的构建过程、主要功能以及使用方法。 1. **构建过程** `weibo4j-oauth2-2.1.1-beta3.1.1.jar`是通过IntelliJ IDEA(简称IDEA)将`weibo4j-oauth2-beta3.1.1-master.zip`源码编译打包成的。...

    Android应用源码之新浪、腾讯、网易、搜狐微博OAuth认证整合版.zip

    通过分析和学习这个源码,开发者不仅可以理解OAuth认证的基本原理,还能掌握如何在Android应用中实际操作,这对于实现其他社交平台的集成也有很大的参考价值。此外,源码中可能还包含了错误处理、权限管理等方面的...

    OAuth2.0新浪微博简单示例

    通过分析这些文件,开发者可以深入理解OAuth2.0授权协议,并将其应用到其他服务的集成中。 总之,OAuth2.0是一个强大的工具,它在保护用户隐私的同时,使得第三方应用能够安全地访问用户数据。这个“OAuth2.0新浪...

    使用OAuth协议来认证或登录各种微博

    OAuth协议是一种授权机制,常用于在线服务提供商与第三方应用之间的身份验证和数据交换。...通过分析和学习提供的源码,你不仅能掌握OAuth的基本原理,还能提升iOS开发中的认证和授权能力,为你的开发事业添砖加瓦。

    QQ登录 PHP OAuth示例代码

    1. **申请QQ登录权限**:开发者首先需要在腾讯开放平台(***)申请成为开发者,并创建应用以获取`APPID`和`APPKEY`,这是进行OAuth认证的必要凭证。 2. **获取临时令牌**:通过调用腾讯提供的API,应用可以获取一个...

    微信IPAD协议分析

    协议分析还包括对微信的认证、登录、消息发送和接收流程的研究。在iPad版本中,这些流程可能需要考虑更复杂的触摸交互和多任务切换场景。例如,微信可能使用OAuth2.0等安全协议进行用户授权,使用HTTP/HTTPS协议进行...

    oauth2 学习demo

    这将有助于深入理解OAuth2协议的工作原理,对于开发涉及用户授权的应用或者集成第三方服务来说是非常有价值的。 在实际操作中,可以尝试运行`base-auth-server`,观察其行为,分析HTTP请求和响应,甚至可以修改代码...

    OAuth2.in.Action.2017.3.pdf

    不仅介绍了OAuth2的基本原理,还深入探讨了其实现过程中的各种细节和技术挑战,并提供了丰富的实践案例和安全建议。对于希望深入了解OAuth2并将其应用于实际项目中的开发者来说,这本书是非常宝贵的资源。

    spring-security-oauth2与spring-security-web 3.1.2 源码

    OAuth2则是一种授权协议,常用于提供安全的第三方应用访问资源的权限。在这个源码分析中,我们将深入探讨`spring-security-web 3.1.2`和`spring-security-oauth2`这两个关键组件。 首先,`spring-security-web`是...

    spring security oauth2 单点登录

    7. **源码分析**:对于"源码"标签,博主可能深入解析了Spring Security OAuth2的内部工作原理,帮助读者理解其运行机制。 8. **工具使用**:可能提到了一些辅助工具或库,如Postman用于测试API,或者Spring Tool ...

    OAuth2.0 Demo

    通过查看和分析源代码,我们可以深入理解OAuth2.0的工作原理以及Spring Security如何实现这个框架。 总之,OAuth2.0 Demo提供了一个实际操作的环境,让我们能直观地了解OAuth2.0授权流程和Spring Security的集成。...

Global site tag (gtag.js) - Google Analytics