Oauth认证协议原理分析及使用方法

<!--
@page { margin: 0.79in }
P { margin-bottom: 0.08in }
H2 { margin-bottom: 0.08in }
H2.cjk { font-family: "AR PL UMing HK" }
H2.ctl { font-family: "Lohit Hindi" }
H3 { margin-bottom: 0.08in }
H3.cjk { font-family: "AR PL UMing HK" }
H3.ctl { font-family: "Lohit Hindi" }
H4 { margin-bottom: 0.08in }
H4.cjk { font-family: "AR PL UMing HK" }
H4.ctl { font-family: "Lohit Hindi" }
A:link { so-language: zxx }
-->

Oauth认证协议原理分析及使用方法

原文链接：
http://kejibo.com/oauth/

twitter或豆瓣用户一定会发现，有时候，在别的网站，点登录后转到

twitter登录，之后转回原网站，你会发现你已经登录此网站了，比如像

feedtwitter
rss2twitter
推特中文圈
（这个目前好像有点问题转回来的时候是个错误地址） 这种网站就是这个效果。其实这都是拜

OAuth所赐。

OAuth是什么？

OAuth是一个开放的认证协议，让你可以在
Web或桌面程序中使用简单而标准的，安全的
API认证。

OAuth有什么用？为什么要使用
OAuth？

网络开放是一个不变的趋势，那么不可避免的会有各种网络服务间分享内容的需要。

举个我们身边国内的例子吧：比如人人网想要调用
QQ邮箱的联系人列表，现在的方法是你需要在人人网输入你的
QQ号，
QQ密码才能调用，虽然网站上可能都自谓“不保留
QQ用户名密码”，但是大家信吗？

OAuth就是为了解决这个问题而诞生的，用户访问第三方资源，不再需要网站提交你的用户名，密码。这样好处自己是安全，而且不会泄露你的隐私给不信任的一方。

OAuth原理

OAuth中有三方：一，用户；二，
Consumer（不知杂翻译，类似上面的

twitterfeed 角色）；三，服务提供商（如上例的
twitter角色）。

一，
Consumer
向 服务提供商 申请接入权限

可得到：
Consumer Key，
Consumer
Secret。
twitter申请
oauth的话，在

setting - connection - developer 里面申请。
同时给出三个访问网址：

request_token_url =
'http://twitter.com/oauth/request_token'


access_token_url =
'http://twitter.com/oauth/access_token'


authorize_url = 'http://twitter.com/oauth/authorize'

二，当
Consumer接到用户请求想要访问第三方资源（如
twitter）的时候

Consumer需要先取得 请求另牌（
Request
Token）。网址为上面的

request_token_url，参数为：

oauth_consumer_key：
Consumer
Key


oauth_signature_method：签名加密方法



oauth_signature：加密的签名
（这个下面细说）


oauth_timestamp：
UNIX时间戳



oauth_nonce：一个随机的混淆字符串，随机生成一个。



oauth_version：
OAuth版本，可选，如果设置的话，一定设置为

1.0


oauth_callback：返回网址链接。



及其它服务提供商定义的参数



这样
Consumer就取得了
请求另牌（包括另牌名
oauth_token，另牌密钥

oauth_token_secret。

三，浏览器自动转向服务提供商的网站：

网址为
authorize_url?oauth_token=请求另牌名

四，用户同意

Consumer访问 服务提供商资源

那么会自动转回上面的

oauth_callback 里定义的网址。同时加上

oauth_token （就是请求另牌），及
oauth_verifier（验证码）。

五，现在总可以开始请求资源了吧？

NO。现在还需要再向 服务提供商
请求 访问另牌（
Access
Token）。网址为上面的
access_token_url，参数为：

oauth_consumer_key：
Consumer
Key


oauth_token：上面取得的
请求另牌的名


oauth_signature_method：签名加密方法



oauth_signature：加密的签名
（这个下面细说）


oauth_timestamp：
UNIX时间戳



oauth_nonce：一个随机的混淆字符串，随机生成一个。



oauth_version：
OAuth版本，可选，如果设置的话，一定设置为

1.0


oauth_verifier：上面返回的验证码。



请求 访问另牌的时候，不能加其它参数。



这样就可以取得 访问另牌（包括
Access
Token 及
Access Token
Secret）。这个就是需要保存在

Consumer上面的信息（没有你的真实用户名，密码，安全吧！）

六，取得 访问另牌
后，

Consumer就可以作为用户的身份访问
服务提供商上被保护的资源了。提交的参数如下：

oauth_consumer_key：
Consumer
Key


oauth_token：访问另牌



oauth_signature_method：签名加密方法



oauth_signature：加密的签名
（这个下面细说）


oauth_timestamp：
UNIX时间戳



oauth_nonce：一个随机的混淆字符串，随机生成一个。



oauth_version：
OAuth版本，可选，如果设置的话，一定设置为

1.0


及其它服务提供商定义的参数

OAuth安全机制是如何实现的？

OAuth 使用的签名加密方法有

HMAC-SHA1,RSA-SHA1 （可以自定义）。拿

HMAC-SHA1 来说吧，
HMAC-SHA1这种加密码方法，可以使用
私钥 来加密 要在网络上传输的数据，而这个私钥只有

Consumer及服务提供商知道，试图攻击的人即使得到传输在网络上的字符串，没有
私钥 也是白搭。

私钥是：
consumer secret&token
secret （哈两个密码加一起）

要 加密的字符串是：除
oauth_signature
外的其它要传输的数据。按参数名字符排列，如果一样，则按
内容排。如：
domain=kejibo.com&oauth_consumer_key=XYZ&
word=welcome......................

前面提的加密里面都是固定的字符串，那么攻击者岂不是直接可以偷取使用吗？

不，
oauth_timestamp，
oauth_nonce。这两个是变化的。而且服务器会验证一个

nonce（混淆码）是否已经被使用。

那么这样攻击者就无法自已生成
签名，或者偷你的签名来使用了。

本文系原创，转换请注明链接，谢谢！