twitter 授权过程

转自:http://blog.csdn.net/yangjian8915/article/details/11816669

官方的流程图如下:

 

下面开始一步步讲解,如何获取最终的access_tokenaccess_token_secret,注:认证的全过程都是通过发送http GET/POST进行的:

 

1.    首先通过第三方应用,获取其应用的oauth_consumer_keyoauth_consumer_secret,这一对是由第三方应用提供的,当然,自己也可以通过twitter账户申请自己的应用,这样就有了key/secret。

2.       使用http://api.twitter.com/oauth/request_token获取未授权的token:

2.1.       使用GET方法

2.2.       使用的参数是图中A标识的列表:oauth_consumer_key,oauth_signature_method,oauth_signature,oauth_timestamp,oauth_nonce,oauth_version.(由于不是Web应用,故不需要oauth_callback)

2.3.       如何构造每个参数:

2.3.1.  oauth_consumer_key,从第三方应用程序获得的

2.3.2.  oauth_signature_method,签名方法,有3种:HMAC-SHA1,RSA-SHA1, PLAINTEXT,由于twitter只支持HMAC-SHA1,故此参数值固定,为HMAC-SHA1

2.3.3.  oauth_signature,签名(此参数容易错,稍后再谈)

2.3.4.  oauth_timestamp,时间戳,根据1970-1-1 0:0:0到现在所经过的秒数,如1280817414

2.3.5.  oauth_nonce,随机字符串,注意,每次此参数都必须要不一样的,例如3d1sdf34

2.3.6.  oauth_version,可选参数,目前版本是1.0,故值固定为1.0,但为方便扩展,最好加上

 

2.4.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

http://api.twitter.com/oauth/request_token?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=1234abcd1234&oauth_signature=TrKrYdCxmpWdLeZBrifNg5HBGFw%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280818011&oauth_version=1.0

2.5.       如图中B所示,成功发送后会得到返回的值未授权的oauth_token, oauth_token_secret (第三个只要是true就行了),我的返回串如下:

oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&oauth_token_secret=CYoxvrSNX5IT1O02QrPydK3peZ0oRRvvvRkyMVBLTU&oauth_callback_confirmed=true

3.       使用http://api.twitter.com/oauth/authorize进行确认

3.1.       使用GET方法

3.2.       使用的参数为:

3.2.1.       oauth_consumer_key,从第三方应用程序获得的

3.2.2.       oauth_nonce,随机字符串,注意,每次都不一样

3.2.3.       oauth_signature_method,签名方法,同上,只能是HMAC-SHA1

3.2.4.       oauth_signature,签名,(容易出错,后面说)

3.2.5.       oauth_timestamp,时间戳,一定要比上一次的大

3.2.6.       oauth_token,未授权的token,即步骤2返回的第一个值

3.2.7.       oauth_version,同上,1.0

3.3.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

http://api.twitter.com/oauth/authorize?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=14234ab12234&oauth_signature=1zR5E6gH7RSlmjT3uUL2EeMBzuE%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280819022&oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&oauth_version=1.0

3.4.       成功返回后,是HTML代码(由于较多,我只展示显示的结果),将它显示出来即:

此截图对应流程图所示C到D的过程中,需要真正的twitter用户(应用程序拥有者用户也可以)进行确认,是否允许自己的账户被名为XXX的应用访问(其标识即是oauth_consumer_keyoauth_consumer_secret),并且输入twitter账号与密码,进行allow或者deny。

而我们要做的就是解析HTML代码(其实只需要解析出其中的一个字串即可),然后通过POST来模拟Allow的按钮提交,这样就不需要浏览这个页面了。先解析出来,HTML中必包含一行:

<input name="authenticity_token"type="hidden" value="98d562c5c67cd90a56e7da4c6bdef28b4c8fe6b2"/>

 

4.       仍然使用http://api.twitter.com/oauth/authorize获取确认码(PIN)。

4.1.       使用POST方法

4.2.       使用的参数为:

4.2.1.       authenticity_token,值为解析出来的98d562c5c67cd90a56e7da4c6bdef28b4c8fe6b2

4.2.2.       oauth_token,未授权token,即步骤2返回的第一个值

4.2.3.       session[username_or_email],用户名,如myusername

4.2.4.       session[password],密码,如 mypassword

4.3.       最终POST http://api.twitter.com/oauth/authorize,POST的数据为

authenticity_token=98d562c5c67cd90a56e7da4c6bdef28b4c8fe6b2&oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&session[username_or_email]= myusername&session[password]= mypassword

4.4.       返回成功结果仍然是HTML代码(由于较多,我只展示显示的结果),将它显示出来即:

此截图对应的是流程图中的标识D,上面的确认码(PIN),即为oauth_verifier

而我们要做的就是,解析HTML(也就是获取上面的数字字符串),HTML中仅有这么一个字段:

<divid="oauth_pin">

 3638897

</div>

其中oauth_pin是唯一的,所以可以通过它来提取确认码。

5.       使用http://api.twitter.com/oauth/access_token用已授权的token与PIN码换取我们开头的最终目标:access_tokenaccess_token_secret

5.1.       使用GET方法

5.2.       使用的参数是图中E标识的列表:oauth_consumer_key,request_token,oauth_signature_method,oauth_signature,oauth_timestamp,oauth_nonce,oauth_version,oauth_verifier

5.3.       如何构造每个参数:

5.3.1.  oauth_consumer_key,从第三方应用程序获得的

5.3.2.  request_token,步骤2得到的

5.3.3.  oauth_signature_method,仍然是HMAC-SHA1

5.3.4.  oauth_signature,签名,(容易出错,后面说)

5.3.5.  oauth_timestamp,时间戳,一定要比上次大

5.3.6.  oauth_nonce,随机串,每次要不一样

5.3.7.  oauth_version,版本号,固定为1.0

5.3.8.  oauth_verifier,步骤4得到的PIN码,即3638897

5.4.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

http://api.twitter.com/oauth/access_token?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=3654cf32ds2f&oauth_signature=aHEXqn2nu%2BRCszMp9P5BqJTpu4o%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280821505&oauth_token=1SXf0MSsj8HcZffAma1pnHhbG1rzbXSmlh4deChw8&oauth_verifier=3638897&oauth_version=1.0

5.5.       成功返回,获得

oauth_token=169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2&oauth_token_secret=0BQFkAcOqYGNgbt0NwoF7w3G9MUlt9AkSJBIwkxoFA&user_id=15834158&screen_name=mytesttwitter

此结果对应流程图中的标识F,其中oauth_tokenoauth_token_secret即我们最终需要的access_tokenaccess_token_secretuser_id是用户的ID号,很有用,很多API都需要用自己的ID号作为参数;screen_name是屏显名字,有些API也需要它作为参数

至此,我们的OAuth认证过程完全结束。

 

6.    使用access_token与access_token_secret进行调用API,而不需要用户名与密码,我们此处试着调用http://api.twitter.com/1/statuses/home_timeline.xml来获取用户的timeline。

6.1.       使用GET方法

6.2.       使用的参数是图中G标识的列表:oauth_consumer_key,oauth_token,oauth_signature_method,oauth_signature,oauth_timestamp,oauth_nonce,oauth_version

6.2.1.  oauth_consumer_key,从第三方应用程序获得的

6.2.2.  oauth_token,即access_token,步骤5得到的

6.2.3.  oauth_signature_methodHMAC-SHA1

6.2.4.  oauth_signature,签名,(容易出错,后面说)

6.2.5.  oauth_timestamp,时间戳,每次要比上一次的大

6.2.6.  oauth_nonce,随机串,每次要不一样

6.2.7.  oauth_version,版本号,1.0

6.3.       最终以url?{参数名=参数值,&}格式发送出去,此处我给出我的发送串,参数顺序随便,但签名时有要求

http://api.twitter.com/1/statuses/home_timeline.xml?oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=365fd4ff32ffddffs2f&oauth_signature=MxEA2lODZ5QQh8icOL8z8f1PNOQ%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280822863&oauth_token=169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2&oauth_version=1.0

6.4.       成功返回后即可得到相应xml格式的timeline

 

7.    签名方法

7.1.       背景:Twitter使用的是HMAC-SHA1方法进行签名,在以上1-5认证的步骤中,有2,3,5需要签名。而在使用API时,只要需要认证的API,都需要进行签名,方可成功调用。

7.2.       原理:OAuth认证通过用户在调用API时自行签名的结果,与API一起发送到服务器,服务器再用相同的方法进行签名,将结果与我们传过去的结果相比较,如果相同,那么签名通过,我们每次的随机串与时间戳都不一样,所以防止了重放攻击,同时这个过程中没有透露用户的账号与密码,增强了账号安全性。

7.3.       方法:签名需要签名串(text)与密钥(key)

7.3.1.  签名串(text)的构成:HttpMethod&url&参数。三个红色串必须用urlencode进行编码编码中的%xx符号,xx中的字母必须为大写

其中HttpMethod为GET/POST/PUT/DELETE等http方法之一,必须全为大写,编码后仍为本身

url为不带参数的url,如http://api.twitter.com/1/statuses/home_timeline.xml,必须全为小写,编码后的结果为http%3A%2F%2Fapi.twitter.com%2F1%2Fstatuses%2Fhome_timeline.xml

参数此次请求中的除了oauth_signature以外的所有参数,包括一些API所要求的参数,比如在更新自己状态时,需要status参数。格式为按照[参数名=参数值]的格式中间用&隔开,并且要按照字母顺序升序排列,如果参数名相同,那么按照参数值的字母顺序升序排列。如

oauth_consumer_key=gReNivhwQsHJ8401DYGtAw&oauth_nonce=df563232s&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1280824014&oauth_token=169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2a4sZZX2&oauth_version=1.0

编码后为

oauth_consumer_key%3DgReNivhwQsHJ8401DYGtAw%26oauth_nonce%3Ddf563232s%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1280824014%26oauth_token%3D169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2%26oauth_version%3D1.0

 

那么将三者再用&组合起来后,即为

GET&http%3A%2F%2Fapi.twitter.com%2F1%2Fstatuses%2Fhome_timeline.xml&

oauth_consumer_key%3DgReNivhwQsHJ8401DYGtAw%26oauth_nonce%3Ddf563232s%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1280824014%26oauth_token%3D169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2%26oauth_version%3D1.0

注意,这个是1个字符串,上面由于缩进不够,所以换了行。这样,签名串(text)就构造好了。

 

7.3.2.密钥(key)的构成:oauth_consumer_secret&oauth_token_secret

其中

oauth_consumer_secret即从第三方应用程序获得的。

oauth_token_secret在步骤2时还没获得,那么即为空,但&得保留;在步骤3、5时,由于在步骤2获得了未授权的token与token_secret,此时就用未授权的token_secret;步骤6以及后续所有的API调用时,就用获得的最终的access_token_secret,以后也永远用这个,除非重新认证。

例如:

在步骤2中,key就是:

gReNivhwQsHJ8401DYGtAw&

在步骤3、5中,key就是:

gReNivhwQsHJ8401DYGtAw&CYoxvrSNX5IT1O02QrPydK3peZ0oRRvvvRkyMVBLTU

在步骤6及以后的调用中,key就是:

gReNivhwQsHJ8401DYGtAw&0BQFkAcOqYGNgbt0NwoF7w3G9MUlt9AkSJBIwkxoFA

这样,密钥(key)就构造好了。

 

7.4.       生成signature – signature也要用url encode进行编码

自己用程序实现HMAC-SHA1的加密签名算法。下面给个利用上面的text/key结果,用HMAC-SHA1算法生成的signature,你也可以通过这个来判断自己的算法正不正确。

Text:

GET&http%3A%2F%2Fapi.twitter.com%2F1%2Fstatuses%2Fhome_timeline.xml&

oauth_consumer_key%3DgReNivhwQsHJ8401DYGtAw%26oauth_nonce%3Ddf563232s%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1280824014%26oauth_token%3D169731880-OzvV2F9vWN2HwztmJi7HAvsOM78pU7Xc2dg4ZZX2%26oauth_version%3D1.0

Key:

gReNivhwQsHJ8401DYGtAw&0BQFkAcOqYGNgbt0NwoF7w3G9MUlt9AkSJBIwkxoFA

生成的signature:

ITtbuTI901ie4bCFg5vGfb1mCxM=

最后,生成的signature也要用url encode进行编码,编码后的结果为

ITtbuTI901ie4bCFg5vGfb1mCxM%3D

此时再将此字串填充到要发送的http请求中即可。

 

后记:

1.在认证过程中未获得最终的access_token/key之前的那个未授权的oauth_token在使用时是有有效期的,应该是几分钟之内,因为在编写此文档时,每次回头继续时都超时了,所以后面的几个步骤我都是重新申请的,而且每次生成的都不一样,但为了统一,我就将后面的几次oauth_token又换回到第一次申请到的,仅为方便理解。

2.认证的过程全貌在此,主要容易错的地方就是签名,最好反复对照签名方法,及上面的认证步骤,加深理解。

3.最后,介绍一个工具,http://developer.netflix.com/resources/OAuthTest

可以直接生成已签名的http请求,可以拿它来验证自己的每次请求。

posted @ 2013-11-15 20:33  小强Johnny  阅读(10944)  评论(2编辑  收藏  举报