Oauth认证协议原理分析及使用方法
2011-05-14 21:56
791 查看
<!--
@page { margin: 0.79in }
P { margin-bottom: 0.08in }
H2 { margin-bottom: 0.08in }
H2.cjk { font-family: "AR PL UMing HK" }
H2.ctl { font-family: "Lohit Hindi" }
H3 { margin-bottom: 0.08in }
H3.cjk { font-family: "AR PL UMing HK" }
H3.ctl { font-family: "Lohit Hindi" }
H4 { margin-bottom: 0.08in }
H4.cjk { font-family: "AR PL UMing HK" }
H4.ctl { font-family: "Lohit Hindi" }
A:link { so-language: zxx }
-->
Oauth认证协议原理分析及使用方法
原文链接:
http://kejibo.com/oauth/
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到
twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像
feedtwitter
rss2twitter
推特中文圈
(这个目前好像有点问题转回来的时候是个错误地址) 这种网站就是这个效果。其实这都是拜
OAuth所赐。
OAuth是什么?
OAuth是一个开放的认证协议,让你可以在
Web或桌面程序中使用简单而标准的,安全的
API认证。
OAuth有什么用?为什么要使用
网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。
举个我们身边国内的例子吧:比如人人网想要调用
QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的
QQ号,
QQ密码才能调用,虽然网站上可能都自谓“不保留
QQ用户名密码”,但是大家信吗?
OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。
OAuth原理
OAuth中有三方:一,用户;二,
Consumer(不知杂翻译,类似上面的
twitterfeed 角色);三,服务提供商(如上例的
twitter角色)。
一,
可得到:
Consumer Key,
Consumer
Secret。
twitter申请
oauth的话,在
setting - connection - developer 里面申请。
同时给出三个访问网址:
request_token_url =
'http://twitter.com/oauth/request_token'
access_token_url =
'http://twitter.com/oauth/access_token'
authorize_url = 'http://twitter.com/oauth/authorize'
二,当
Consumer需要先取得 请求另牌(
Request
Token)。网址为上面的
request_token_url,参数为:
oauth_consumer_key:
Consumer
Key
oauth_signature_method:签名加密方法
oauth_signature:加密的签名
(这个下面细说)
oauth_timestamp:
UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:
OAuth版本,可选,如果设置的话,一定设置为
1.0
oauth_callback:返回网址链接。
及其它服务提供商定义的参数
这样
Consumer就取得了
请求另牌(包括另牌名
oauth_token,另牌密钥
oauth_token_secret。
三,浏览器自动转向服务提供商的网站:
网址为
authorize_url?oauth_token=请求另牌名
四,用户同意
那么会自动转回上面的
oauth_callback 里定义的网址。同时加上
oauth_token (就是请求另牌),及
oauth_verifier(验证码)。
五,现在总可以开始请求资源了吧?
NO。现在还需要再向 服务提供商
请求 访问另牌(
Access
Token)。网址为上面的
access_token_url,参数为:
oauth_consumer_key:
Consumer
Key
oauth_token:上面取得的
请求另牌的名
oauth_signature_method:签名加密方法
oauth_signature:加密的签名
(这个下面细说)
oauth_timestamp:
UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:
OAuth版本,可选,如果设置的话,一定设置为
1.0
oauth_verifier:上面返回的验证码。
请求 访问另牌的时候,不能加其它参数。
这样就可以取得 访问另牌(包括
Access
Token 及
Access Token
Secret)。这个就是需要保存在
Consumer上面的信息(没有你的真实用户名,密码,安全吧!)
六,取得 访问另牌
Consumer就可以作为用户的身份访问
服务提供商上被保护的资源了。提交的参数如下:
oauth_consumer_key:
Consumer
Key
oauth_token:访问另牌
oauth_signature_method:签名加密方法
oauth_signature:加密的签名
(这个下面细说)
oauth_timestamp:
UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:
OAuth版本,可选,如果设置的话,一定设置为
1.0
及其它服务提供商定义的参数
OAuth安全机制是如何实现的?
OAuth 使用的签名加密方法有
HMAC-SHA1,RSA-SHA1 (可以自定义)。拿
HMAC-SHA1 来说吧,
HMAC-SHA1这种加密码方法,可以使用
私钥 来加密 要在网络上传输的数据,而这个私钥只有
Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有
私钥 也是白搭。
私钥是:
consumer secret&token
secret (哈两个密码加一起)
要 加密的字符串是:除
oauth_signature
外的其它要传输的数据。按参数名字符排列,如果一样,则按
内容排。如:
domain=kejibo.com&oauth_consumer_key=XYZ&
word=welcome......................
前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?
不,
oauth_timestamp,
oauth_nonce。这两个是变化的。而且服务器会验证一个
nonce(混淆码)是否已经被使用。
那么这样攻击者就无法自已生成
签名,或者偷你的签名来使用了。
本文系原创,转换请注明链接,谢谢!
@page { margin: 0.79in }
P { margin-bottom: 0.08in }
H2 { margin-bottom: 0.08in }
H2.cjk { font-family: "AR PL UMing HK" }
H2.ctl { font-family: "Lohit Hindi" }
H3 { margin-bottom: 0.08in }
H3.cjk { font-family: "AR PL UMing HK" }
H3.ctl { font-family: "Lohit Hindi" }
H4 { margin-bottom: 0.08in }
H4.cjk { font-family: "AR PL UMing HK" }
H4.ctl { font-family: "Lohit Hindi" }
A:link { so-language: zxx }
-->
Oauth认证协议原理分析及使用方法
原文链接:http://kejibo.com/oauth/
twitter或豆瓣用户一定会发现,有时候,在别的网站,点登录后转到
twitter登录,之后转回原网站,你会发现你已经登录此网站了,比如像
feedtwitter
rss2twitter
推特中文圈
(这个目前好像有点问题转回来的时候是个错误地址) 这种网站就是这个效果。其实这都是拜
OAuth所赐。
OAuth是什么?
OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的
API认证。
OAuth有什么用?为什么要使用
OAuth?
网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。举个我们身边国内的例子吧:比如人人网想要调用
QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的
QQ号,
QQ密码才能调用,虽然网站上可能都自谓“不保留
QQ用户名密码”,但是大家信吗?
OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。
OAuth原理
OAuth中有三方:一,用户;二,Consumer(不知杂翻译,类似上面的
twitterfeed 角色);三,服务提供商(如上例的
twitter角色)。
一,
Consumer
向 服务提供商 申请接入权限
可得到:Consumer Key,
Consumer
Secret。
twitter申请
oauth的话,在
setting - connection - developer 里面申请。
同时给出三个访问网址:
request_token_url =
'http://twitter.com/oauth/request_token'
access_token_url =
'http://twitter.com/oauth/access_token'
authorize_url = 'http://twitter.com/oauth/authorize'
二,当
Consumer接到用户请求想要访问第三方资源(如
twitter)的时候
Consumer需要先取得 请求另牌(Request
Token)。网址为上面的
request_token_url,参数为:
oauth_consumer_key:
Consumer
Key
oauth_signature_method:签名加密方法
oauth_signature:加密的签名
(这个下面细说)
oauth_timestamp:
UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:
OAuth版本,可选,如果设置的话,一定设置为
1.0
oauth_callback:返回网址链接。
及其它服务提供商定义的参数
这样
Consumer就取得了
请求另牌(包括另牌名
oauth_token,另牌密钥
oauth_token_secret。
三,浏览器自动转向服务提供商的网站:
网址为 authorize_url?oauth_token=请求另牌名
四,用户同意
Consumer访问 服务提供商资源
那么会自动转回上面的oauth_callback 里定义的网址。同时加上
oauth_token (就是请求另牌),及
oauth_verifier(验证码)。
五,现在总可以开始请求资源了吧?
NO。现在还需要再向 服务提供商请求 访问另牌(
Access
Token)。网址为上面的
access_token_url,参数为:
oauth_consumer_key:
Consumer
Key
oauth_token:上面取得的
请求另牌的名
oauth_signature_method:签名加密方法
oauth_signature:加密的签名
(这个下面细说)
oauth_timestamp:
UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:
OAuth版本,可选,如果设置的话,一定设置为
1.0
oauth_verifier:上面返回的验证码。
请求 访问另牌的时候,不能加其它参数。
这样就可以取得 访问另牌(包括
Access
Token 及
Access Token
Secret)。这个就是需要保存在
Consumer上面的信息(没有你的真实用户名,密码,安全吧!)
六,取得 访问另牌
后,
Consumer就可以作为用户的身份访问服务提供商上被保护的资源了。提交的参数如下:
oauth_consumer_key:
Consumer
Key
oauth_token:访问另牌
oauth_signature_method:签名加密方法
oauth_signature:加密的签名
(这个下面细说)
oauth_timestamp:
UNIX时间戳
oauth_nonce:一个随机的混淆字符串,随机生成一个。
oauth_version:
OAuth版本,可选,如果设置的话,一定设置为
1.0
及其它服务提供商定义的参数
OAuth安全机制是如何实现的?
OAuth 使用的签名加密方法有HMAC-SHA1,RSA-SHA1 (可以自定义)。拿
HMAC-SHA1 来说吧,
HMAC-SHA1这种加密码方法,可以使用
私钥 来加密 要在网络上传输的数据,而这个私钥只有
Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有
私钥 也是白搭。
私钥是:
consumer secret&token
secret (哈两个密码加一起)
要 加密的字符串是:除
oauth_signature
外的其它要传输的数据。按参数名字符排列,如果一样,则按
内容排。如:
domain=kejibo.com&oauth_consumer_key=XYZ&
word=welcome......................
前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?
不,
oauth_timestamp,
oauth_nonce。这两个是变化的。而且服务器会验证一个
nonce(混淆码)是否已经被使用。
那么这样攻击者就无法自已生成
签名,或者偷你的签名来使用了。
本文系原创,转换请注明链接,谢谢!
相关文章推荐
- OAuth认证协议原理分析及使用方法
- Oauth认证协议原理分析及使用方法
- [转]OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法(转)
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- 转载 OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- Oauth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及使用方法
- OAuth认证协议原理分析及同步消息到Twitter和Facebook使用方法
- Auth认证协议原理分析及使用方法