oAuth协议原理
来源:互联网 发布:linux切换计算机目录 编辑:程序博客网 时间:2024/06/06 02:40
oauth是一个开放的认证协议,让你可以在web或者桌面程序中使用简单而标准的安全的API认证
oauth有三方
1.用户 2.consumer 3.服务提供商
一,Consumer向 服务提供商 申请接入权限
可得到:Consumer Key,ConsumerSecret。twitter申请oauth的话,在setting - connection - developer 里面申请。同时给出三个访问网址:
request_token_url ='http://twitter.com/oauth/request_token'
access_token_url ='http://twitter.com/oauth/access_token'
authorize_url = 'http://twitter.com/oauth/authorize'
二,当Consumer接到用户请求想要访问第三方资源(如twitter)的时候
Consumer需要先取得 请求另牌(RequestToken)。网址为上面的request_token_url,参数为:
oauth_consumer_key:ConsumerKey
oauth_signature_method:签名加密方法
oauth_signature:加密的签名(这个下面细说)
oauth_timestamp:UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:OAuth版本,可选,如果设置的话,一定设置为1.0
oauth_callback:返回网址链接。
及其它服务提供商定义的参数
这样 Consumer就取得了请求另牌(包括另牌名oauth_token,另牌密钥oauth_token_secret。
三,浏览器自动转向服务提供商的网站:
网址为 authorize_url?oauth_token=请求另牌名
四,用户同意Consumer访问 服务提供商资源
那么会自动转回上面的oauth_callback 里定义的网址。同时加上oauth_token (就是请求另牌),及 oauth_verifier(验证码)。
五,现在总可以开始请求资源了吧?
NO。现在还需要再向 服务提供商请求 访问另牌(AccessToken)。网址为上面的 access_token_url,参数为:
oauth_consumer_key:ConsumerKey
oauth_token:上面取得的请求另牌的名
oauth_signature_method:签名加密方法
oauth_signature:加密的签名(这个下面细说)
oauth_timestamp:UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:OAuth版本,可选,如果设置的话,一定设置为1.0
oauth_verifier:上面返回的验证码。
请求 访问另牌的时候,不能加其它参数。
这样就可以取得 访问另牌(包括AccessToken 及 Access TokenSecret)。这个就是需要保存在Consumer上面的信息(没有你的真实用户名,密码,安全吧!)
六,取得 访问另牌后,
Consumer就可以作为用户的身份访问服务提供商上被保护的资源了。提交的参数如下:
oauth_consumer_key:ConsumerKey
oauth_token:访问另牌
oauth_signature_method:签名加密方法
oauth_signature:加密的签名(这个下面细说)
oauth_timestamp:UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:OAuth版本,可选,如果设置的话,一定设置为1.0
及其它服务提供商定义的参数
补充一下oauth的安全机制是如何实现的
OAuth 使用的签名加密方法有HMAC-SHA1,RSA-SHA1(可以自定义)。拿HMAC-SHA1 来说吧,HMAC-SHA1这种加密码方法,可以使用私钥 来加密 要在网络上传输的数据,而这个私钥只有Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有私钥 也是白搭。
私钥是:consumer secret&tokensecret (哈两个密码加一起)
要 加密的字符串是:除 oauth_signature外的其它要传输的数据。按参数名字符排列,如果一样,则按内容排。如:domain=kejibo.com&oauth_consumer_key=XYZ&word=welcome......................
前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?
不,oauth_timestamp,oauth_nonce。这两个是变化的。而且服务器会验证一个nonce(混淆码)是否已经被使用。
那么这样攻击者就无法自已生成签名,或者偷你的签名来使用了。
- oAuth协议原理
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- Oauth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth 2.0协议原理学习汇总
- Android面试题-oauth认证协议原理
- Oauth协议
- LintCode 127-拓扑排序
- jQuery实现页面滚动时动态加载内容的方法
- ps -ef | grep查找进程并停止
- 对C语言中补码和char数据类型的理解
- jquery滚动条加载数据
- oAuth协议原理
- css3中的rem值与px之间的换算
- FAQ: Microsoft Dynamics AX Kernel Hotfixes
- 八数码难题
- ABBYY FineReader支持哪些文件格式
- listview封装处理
- elasticsearch-sql插件安装与使用
- Centos Linux 怎么清理磁盘占用空间大:/dev/xvda1
- 基础算法与常用格式