OAuth1.0简介
oauth1.0是RFC制定的标准的第三方网站/客户端的认证服务
规范文档在:
http://www.ietf.org/rfc/rfc5849.txt
网站使用oauth的目的是不让第三方开发者知道和记录用户的用户名和账号信息,用户在第三方应用登录服务的时候是在客户端提供的登录页面进行登录和验证的。
国内几家大型网站都已经实现了oauth1.0,比如微博,腾讯,开心等
下面以weibo的oauth1.0实现为例说明:
oauth认证分服务器端和客户端
客户端的步骤是:
1 获取未授权的Request Token
2 请求用户授权Request Token
3 使用授权后的Request Token换取Access Token
服务器端的步骤是:
1 发放未授权request_token
2 将用户转到本网站的用户登录页
3 用户登录成功后,返回授权后的request_token和凭证
4 发放最终可以使用的凭证access_token
具体客户端和服务器端操作说明:
1
注册组件
当第三方在服务器网站注册了一个第三方组件,会获得appkey和secret
appkey是第三方组件的唯一标识
secret是第三方组件用来加密或其他处理的密钥(这个信息只有第三方应用和服务器端有)
2
客户端请求未授权的RequestToken
接口:
http://api.t.sina.com.cn/oauth/request_token
调用的参数
|
参数名 |
必选 |
介绍 |
|
oauth_consumer_key |
true |
API Key(组件信息中的APP Key值) |
|
oauth_signature_method |
true |
签名方法,暂只支持HMAC-SHA1 |
|
oauth_signature |
true |
签名值 |
|
oauth_timestamp |
true |
时间戳,其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数 |
|
oauth_nonce |
true |
单次值,随机生成的32位字符串(每次请求必须不同) |
|
oauth_callback |
true |
认证成功后浏览器会被重定向到这个url中 |
|
oauth_version |
flase |
版本号,如果填写必须为1.0 |
其中的参数说明
oauth_signature 是使用secret进行签名
oauth_callback和oauth_timestamp是为了放重放的
3
服务器端接收到request_token的未授权请求
应该有如下行为:
1 生成request_token和request_secret
2 在服务器端记录下生成的request_token和request_secret
3 返回request_token和request_secret
4
客户端接收到返回回来的request_token和request_secret,使用这两个值来请求授权的request_token(即认证)
接口:
http://api.t.sina.com.cn/oauth/authorize
请求参数:
|
参数名 |
必选 |
意义 |
|
oauth_token |
true |
上一步中获得的未授权的Request Token |
5
服务器端收到认证请求
做如下操作:
1 将请求的oauth_token和服务器端已存的oauth_token进行比较,正确执行2,错误返回异常
2 将客户端(比如浏览器)转到用户在weibo上的认证页面
6
客户端展示认证页面提供给用户登录认证
7
用户登录认证成功
8
服务器端等待用户登录认证成功之后
1 生成request_token已验证的凭证oauth_verifier
2 将request_token和用户ID,应用ID,验证码oauth_verifier进行映射,并存储
3 返回给客户端信息:
|
参数名 |
必选 |
意义 |
|
oauth_token |
true |
用户授权之后的Token值,与未授权Token值相同 |
|
oauth_verifier |
true |
验证码 |
oauth_verifier是已验证凭证
4 转到用户请求未授权request_token时请求的oauth_callback地址
(一般第二步和第三步是同时进行的,转到的oauth_callback地址的同时传递结果)
9
请求access_token
客户端现在已经有了:
appkey //组件申请时获得
secret //组件申请时获得
request_token//组件请求未授权request_token时获得
request_secret//组件请求未授权request_token时获得
oauth_veifier//组件请求授权request_token时获得
将secret&request_secret作为加密的key对参数进行加密请求:
(这步是来请求可以直接使用的凭证access_token)
http://api.t.sina.com.cn/oauth/access_token
参数
|
参数名 |
必选 |
意义 |
|
oauth_consumer_key |
true |
API Key |
|
oauth_token |
true |
第一步中获得的Request Token |
|
oauth_signature_method |
true |
签名方法,暂只支持HMAC-SHA1 |
|
oauth_signature |
true |
签名值,(密钥为:APP Secret&Request Token Secret) |
|
oauth_timestamp |
true |
时间戳, 其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数 |
|
oauth_nonce |
true |
单次值,随机生成的32位字符串,防止重放攻击(每次请求必须不同) |
|
oauth_verifier |
true |
上一步请求授权request token时返回的验证码 |
|
oauth_version |
flase |
版本号,如果填写必须为1.0 |
10
服务器端获取到access_token的请求做如下操作:
1 校验request_token是否正确且已经被授权过(校验的内容有1 签名2 oauth_verifier 3 oauth_token)
2 生成access_token和access_token_secret
3 将access_token,access_token_secret,用户ID,应用ID进行映射,并存在服务器数据库(长期有效)
3 将access_token和access_token_secret返回
11
客户端使用access_token和access_token_secret进行其他接口的请求
参考文章:
http://open.weibo.com/wiki/Oauth
http://www.ietf.org/rfc/rfc5849.txt
http://wiki.open.kaixin001.com/index.php?id=OAuth%E6%96%87%E6%A1%A3
http://dev.baidu.com/wiki/app/index.php?title=OAuth1.0