oAuth协议原理

oauth是一个开放的认证协议，让你可以在web或者桌面程序中使用简单而标准的安全的API认证

oauth有三方  
1.用户      2.consumer   3.服务提供商

一，Consumer向 服务提供商 申请接入权限

可得到：Consumer Key，ConsumerSecret。twitter申请oauth的话，在setting - connection - developer 里面申请。同时给出三个访问网址：

1. request_token_url ='http://twitter.com/oauth/request_token'

2. access_token_url ='http://twitter.com/oauth/access_token'

3. authorize_url = 'http://twitter.com/oauth/authorize'

二，当Consumer接到用户请求想要访问第三方资源（如twitter）的时候

Consumer需要先取得 请求另牌（RequestToken）。网址为上面的request_token_url，参数为：

1. oauth_consumer_key：ConsumerKey

2. oauth_signature_method：签名加密方法

3. oauth_signature：加密的签名（这个下面细说）

4. oauth_timestamp：UNIX时间戳

5. oauth_nonce：一个随机的混淆字符串，随机生成一个。

6. oauth_version：OAuth版本，可选，如果设置的话，一定设置为1.0

7. oauth_callback：返回网址链接。

8. 及其它服务提供商定义的参数

这样 Consumer就取得了请求另牌（包括另牌名oauth_token，另牌密钥oauth_token_secret。

三，浏览器自动转向服务提供商的网站：

网址为 authorize_url?oauth_token=请求另牌名

四，用户同意Consumer访问 服务提供商资源

那么会自动转回上面的oauth_callback 里定义的网址。同时加上oauth_token （就是请求另牌），及 oauth_verifier（验证码）。

五，现在总可以开始请求资源了吧？

NO。现在还需要再向 服务提供商请求 访问另牌（AccessToken）。网址为上面的 access_token_url，参数为：

1. oauth_consumer_key：ConsumerKey

2. oauth_token：上面取得的请求另牌的名

3. oauth_signature_method：签名加密方法

4. oauth_signature：加密的签名（这个下面细说）

5. oauth_timestamp：UNIX时间戳

6. oauth_nonce：一个随机的混淆字符串，随机生成一个。

7. oauth_version：OAuth版本，可选，如果设置的话，一定设置为1.0

8. oauth_verifier：上面返回的验证码。

9. 请求 访问另牌的时候，不能加其它参数。

这样就可以取得 访问另牌（包括AccessToken 及 Access TokenSecret）。这个就是需要保存在Consumer上面的信息（没有你的真实用户名，密码，安全吧！）

六，取得 访问另牌后，

Consumer就可以作为用户的身份访问服务提供商上被保护的资源了。提交的参数如下：

1. oauth_consumer_key：ConsumerKey

2. oauth_token：访问另牌

3. oauth_signature_method：签名加密方法

4. oauth_signature：加密的签名（这个下面细说）

5. oauth_timestamp：UNIX时间戳

6. oauth_nonce：一个随机的混淆字符串，随机生成一个。

7. oauth_version：OAuth版本，可选，如果设置的话，一定设置为1.0

8. 及其它服务提供商定义的参数

补充一下oauth的安全机制是如何实现的

OAuth 使用的签名加密方法有HMAC-SHA1,RSA-SHA1（可以自定义）。拿HMAC-SHA1 来说吧，HMAC-SHA1这种加密码方法，可以使用私钥 来加密 要在网络上传输的数据，而这个私钥只有Consumer及服务提供商知道，试图攻击的人即使得到传输在网络上的字符串，没有私钥 也是白搭。

私钥是：consumer secret&tokensecret  （哈两个密码加一起）

要 加密的字符串是：除 oauth_signature外的其它要传输的数据。按参数名字符排列，如果一样，则按内容排。如：domain=kejibo.com&oauth_consumer_key=XYZ&word=welcome......................

前面提的加密里面都是固定的字符串，那么攻击者岂不是直接可以偷取使用吗？

不，oauth_timestamp，oauth_nonce。这两个是变化的。而且服务器会验证一个nonce（混淆码）是否已经被使用。

那么这样攻击者就无法自已生成签名，或者偷你的签名来使用了。