zoukankan      html  css  js  c++  java
  • twitter 授权过程

    转自:http://blog.csdn.net/yangjian8915/article/details/11816669

    官方的流程图如下:

    下面开始一步步讲解,如何获取最终的access_tokenaccess_token_secret,注:认证的全过程都是通过发送http GET/POST进行的:

    1.    首先通过第三方应用,获取其应用的oauth_consumer_keyoauth_consumer_secret,这一对是由第三方应用提供的,当然,自己也可以通过twitter账户申请自己的应用,这样就有了key/secret。

    2.       使用http://api.twitter.com/oauth/request_token获取未授权的token:

    2.1.       使用GET方法

    2.2.       使用的参数是图中A标识的列表:oauth_consumer_key,oauth_signature_method,oauth_signature,oauth_timestamp,oauth_nonce,oauth_version.(由于不是Web应用,故不需要oauth_callback)

    2.3.       如何构造每个参数:

    2.3.1.  oauth_consumer_key,从第三方应用程序获得的

    2.3.2.  oauth_signature_method,签名方法,有3种:HMAC-SHA1,RSA-SHA1, PLAINTEXT,由于twitter只支持HMAC-SHA1,故此参数值固定,为HMAC-SHA1

    2.3.3.  oauth_signature,签名(此参数容易错,稍后再谈)

    2.3.4.  oauth_timestamp,时间戳,根据1970-1-1 0:0:0到现在所经过的秒数,如1280817414

    2.3.5.  oauth_nonce,随机字符串,注意,每次此参数都必须要不一样的,例如3d1sdf34

    2.3.6.  oauth_version,可选参数,目前版本是1.0,故值固定为1.0,但为方便扩展,最好加上

    2.4.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

    http://api.twitter.com/oauth/request_token?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=1234abcd1234&oauth_signature=TrKrYdCxmpWdLeZBrifNg5HBGFw%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280818011&oauth_version=1.0

    2.5.       如图中B所示,成功发送后会得到返回的值未授权的oauth_token, oauth_token_secret (第三个只要是true就行了),我的返回串如下:

    oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&oauth_token_secret=CYoxvrSNX5IT1O02QrPydK3peZ0oRRvvvRkyMVBLTU&oauth_callback_confirmed=true

    3.       使用http://api.twitter.com/oauth/authorize进行确认

    3.1.       使用GET方法

    3.2.       使用的参数为:

    3.2.1.       oauth_consumer_key,从第三方应用程序获得的

    3.2.2.       oauth_nonce,随机字符串,注意,每次都不一样

    3.2.3.       oauth_signature_method,签名方法,同上,只能是HMAC-SHA1

    3.2.4.       oauth_signature,签名,(容易出错,后面说)

    3.2.5.       oauth_timestamp,时间戳,一定要比上一次的大

    3.2.6.       oauth_token,未授权的token,即步骤2返回的第一个值

    3.2.7.       oauth_version,同上,1.0

    3.3.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

    http://api.twitter.com/oauth/authorize?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=14234ab12234&oauth_signature=1zR5E6gH7RSlmjT3uUL2EeMBzuE%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280819022&oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&oauth_version=1.0

    3.4.       成功返回后,是HTML代码(由于较多,我只展示显示的结果),将它显示出来即:

    此截图对应流程图所示C到D的过程中,需要真正的twitter用户(应用程序拥有者用户也可以)进行确认,是否允许自己的账户被名为XXX的应用访问(其标识即是oauth_consumer_keyoauth_consumer_secret),并且输入twitter账号与密码,进行allow或者deny。

    而我们要做的就是解析HTML代码(其实只需要解析出其中的一个字串即可),然后通过POST来模拟Allow的按钮提交,这样就不需要浏览这个页面了。先解析出来,HTML中必包含一行:

    <input name="authenticity_token"type="hidden" value="98d562c5c67cd90a56e7da4c6bdef28b4c8fe6b2"/>

    4.       仍然使用http://api.twitter.com/oauth/authorize获取确认码(PIN)。

    4.1.       使用POST方法

    4.2.       使用的参数为:

    4.2.1.       authenticity_token,值为解析出来的98d562c5c67cd90a56e7da4c6bdef28b4c8fe6b2

    4.2.2.       oauth_token,未授权token,即步骤2返回的第一个值

    4.2.3.       session[username_or_email],用户名,如myusername

    4.2.4.       session[password],密码,如 mypassword

    4.3.       最终POST http://api.twitter.com/oauth/authorize,POST的数据为

    authenticity_token=98d562c5c67cd90a56e7da4c6bdef28b4c8fe6b2&oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&session[username_or_email]= myusername&session[password]= mypassword

    4.4.       返回成功结果仍然是HTML代码(由于较多,我只展示显示的结果),将它显示出来即:

    此截图对应的是流程图中的标识D,上面的确认码(PIN),即为oauth_verifier

    而我们要做的就是,解析HTML(也就是获取上面的数字字符串),HTML中仅有这么一个字段:

    <divid="oauth_pin">

     3638897

    </div>

    其中oauth_pin是唯一的,所以可以通过它来提取确认码。

    5.       使用http://api.twitter.com/oauth/access_token用已授权的token与PIN码换取我们开头的最终目标:access_tokenaccess_token_secret

    5.1.       使用GET方法

    5.2.       使用的参数是图中E标识的列表:oauth_consumer_key,request_token,oauth_signature_method,oauth_signature,oauth_timestamp,oauth_nonce,oauth_version,oauth_verifier

    5.3.       如何构造每个参数:

    5.3.1.  oauth_consumer_key,从第三方应用程序获得的

    5.3.2.  request_token,步骤2得到的

    5.3.3.  oauth_signature_method,仍然是HMAC-SHA1

    5.3.4.  oauth_signature,签名,(容易出错,后面说)

    5.3.5.  oauth_timestamp,时间戳,一定要比上次大

    5.3.6.  oauth_nonce,随机串,每次要不一样

    5.3.7.  oauth_version,版本号,固定为1.0

    5.3.8.  oauth_verifier,步骤4得到的PIN码,即3638897

    5.4.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

    http://api.twitter.com/oauth/access_token?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=3654cf32ds2f&oauth_signature=aHEXqn2nu%2BRCszMp9P5BqJTpu4o%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280821505&oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&oauth_verifier=3638897&oauth_version=1.0

    5.5.       成功返回,获得

    oauth_token=169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2&oauth_token_secret=0BQFkAcOqYGNgbt0NwoF7w3G9MUlt9AkSJBIwkxoFA&user_id=15834158&screen_name=mytesttwitter

    此结果对应流程图中的标识F,其中oauth_tokenoauth_token_secret即我们最终需要的access_tokenaccess_token_secretuser_id是用户的ID号,很有用,很多API都需要用自己的ID号作为参数;screen_name是屏显名字,有些API也需要它作为参数

    至此,我们的OAuth认证过程完全结束。

    6.    使用access_token与access_token_secret进行调用API,而不需要用户名与密码,我们此处试着调用http://api.twitter.com/1/statuses/home_timeline.xml来获取用户的timeline。

    6.1.       使用GET方法

    6.2.       使用的参数是图中G标识的列表:oauth_consumer_key,oauth_token,oauth_signature_method,oauth_signature,oauth_timestamp,oauth_nonce,oauth_version

    6.2.1.  oauth_consumer_key,从第三方应用程序获得的

    6.2.2.  oauth_token,即access_token,步骤5得到的

    6.2.3.  oauth_signature_methodHMAC-SHA1

    6.2.4.  oauth_signature,签名,(容易出错,后面说)

    6.2.5.  oauth_timestamp,时间戳,每次要比上一次的大

    6.2.6.  oauth_nonce,随机串,每次要不一样

    6.2.7.  oauth_version,版本号,1.0

    6.3.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

    http://api.twitter.com/1/statuses/home_timeline.xml?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=365fd4ff32ffddffs2f&oauth_signature=MxEA2lODZ5QQh8icOL8z8f1PNOQ%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280822863&oauth_token=169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2&oauth_version=1.0

    6.4.       成功返回后即可得到相应xml格式的timeline

     

    7.    签名方法

    7.1.       背景:Twitter使用的是HMAC-SHA1方法进行签名,在以上1-5认证的步骤中,有2,3,5需要签名。而在使用API时,只要需要认证的API,都需要进行签名,方可成功调用。

    7.2.       原理:OAuth认证通过用户在调用API时自行签名的结果,与API一起发送到服务器,服务器再用相同的方法进行签名,将结果与我们传过去的结果相比较,如果相同,那么签名通过,我们每次的随机串与时间戳都不一样,所以防止了重放攻击,同时这个过程中没有透露用户的账号与密码,增强了账号安全性。

    7.3.       方法:签名需要签名串(text)与密钥(key)

    7.3.1.  签名串(text)的构成:HttpMethod&url&参数。三个红色串必须用urlencode进行编码编码中的%xx符号,xx中的字母必须为大写

    其中HttpMethod为GET/POST/PUT/DELETE等http方法之一,必须全为大写,编码后仍为本身

    url为不带参数的url,如http://api.twitter.com/1/statuses/home_timeline.xml,必须全为小写,编码后的结果为http%3A%2F%2Fapi.twitter.com%2F1%2Fstatuses%2Fhome_timeline.xml

    参数此次请求中的除了oauth_signature以外的所有参数,包括一些API所要求的参数,比如在更新自己状态时,需要status参数。格式为按照[参数名=参数值]的格式中间用&隔开,并且要按照字母顺序升序排列,如果参数名相同,那么按照参数值的字母顺序升序排列。如

    oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=df563232s&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280824014&oauth_token=169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2a4sZZX2&oauth_version=1.0

    编码后为

    oauth_consumer_key%3DgReNivhwQsHJ8401DYGtAw%26oauth_nonce%3Ddf563232s%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1280824014%26oauth_token%3D169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2%26oauth_version%3D1.0

    那么将三者再用&组合起来后,即为

    GET&http%3A%2F%2Fapi.twitter.com%2F1%2Fstatuses%2Fhome_timeline.xml&

    oauth_consumer_key%3DgReNivhwQsHJ8401DYGtAw%26oauth_nonce%3Ddf563232s%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1280824014%26oauth_token%3D169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2%26oauth_version%3D1.0

    注意,这个是1个字符串,上面由于缩进不够,所以换了行。这样,签名串(text)就构造好了。

    7.3.2.密钥(key)的构成:oauth_consumer_secret&oauth_token_secret

    其中

    oauth_consumer_secret即从第三方应用程序获得的。

    oauth_token_secret在步骤2时还没获得,那么即为空,但&得保留;在步骤3、5时,由于在步骤2获得了未授权的token与token_secret,此时就用未授权的token_secret;步骤6以及后续所有的API调用时,就用获得的最终的access_token_secret,以后也永远用这个,除非重新认证。

    例如:

    在步骤2中,key就是:

    gReNivhwQsHJ8401DYGtAw&

    在步骤3、5中,key就是:

    gReNivhwQsHJ8401DYGtAw&CYoxvrSNX5IT1O02QrPydK3peZ0oRRvvvRkyMVBLTU

    在步骤6及以后的调用中,key就是:

    gReNivhwQsHJ8401DYGtAw&0BQFkAcOqYGNgbt0NwoF7w3G9MUlt9AkSJBIwkxoFA

    这样,密钥(key)就构造好了。

    7.4.       生成signature – signature也要用url encode进行编码

    自己用程序实现HMAC-SHA1的加密签名算法。下面给个利用上面的text/key结果,用HMAC-SHA1算法生成的signature,你也可以通过这个来判断自己的算法正不正确。

    Text:

    GET&http%3A%2F%2Fapi.twitter.com%2F1%2Fstatuses%2Fhome_timeline.xml&

    oauth_consumer_key%3DgReNivhwQsHJ8401DYGtAw%26oauth_nonce%3Ddf563232s%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1280824014%26oauth_token%3D169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2%26oauth_version%3D1.0

    Key:

    gReNivhwQsHJ8401DYGtAw&0BQFkAcOqYGNgbt0NwoF7w3G9MUlt9AkSJBIwkxoFA

    生成的signature:

    ITtbuTI901ie4bCFg5vGfb1mCxM=

    最后,生成的signature也要用url encode进行编码,编码后的结果为

    ITtbuTI901ie4bCFg5vGfb1mCxM%3D

    此时再将此字串填充到要发送的http请求中即可。

    后记:

    1.在认证过程中未获得最终的access_token/key之前的那个未授权的oauth_token在使用时是有有效期的,应该是几分钟之内,因为在编写此文档时,每次回头继续时都超时了,所以后面的几个步骤我都是重新申请的,而且每次生成的都不一样,但为了统一,我就将后面的几次oauth_token又换回到第一次申请到的,仅为方便理解。

    2.认证的过程全貌在此,主要容易错的地方就是签名,最好反复对照签名方法,及上面的认证步骤,加深理解。

    3.最后,介绍一个工具,http://developer.netflix.com/resources/OAuthTest

    可以直接生成已签名的http请求,可以拿它来验证自己的每次请求。

  • 相关阅读:
    javaSE基础(三)
    javaSE基础(二)
    javaSE基础(一)
    文件目录爬虫
    前自增 与 后自增
    查找 与 排序 总结
    python 使用 grpc
    python3.7 安装 uwsgi
    go
    go
  • 原文地址:https://www.cnblogs.com/JohnnyYin/p/3426045.html
Copyright © 2011-2022 走看看