新浪微博SSO授权和OAuth授权浅析
转自 http://www.cnblogs.com/simonyan/archive/2013/03/18/2966603.html
一,OAuth2.0授权协议:
简述:一种安全的登陆协议,用户提交的账户密码不提交到本APP,而是提交到授权服务器,待服务器确认后,返回本APP一个访问令牌,本APP即可用该访问令牌访问资源服务器的资源。由于用户的账号密码并不与本APP直接交互,而是与官方服务器交互,因而它是安全的。
图示:
流程:
1,获取未授权的Request Token。
url:request token url。
param:appKey/appSecret,签名方法/签名(如HMAC-SHA1),timeStamp(时间戳:距1970/0/0/0/0/0的秒数),nonce(随机生成的string,防止重复请求)
response:Oauth_Token/Oauth_Secret
2,获取用户授权的Request Token。
url:user authorizition url。
param:Oauth_Token(上个步骤返回的令牌),callback_url(授权成功后返回的地址)
response:Oauth_Token(被用户授权或否决的令牌)
3,用已授权的Request Token换取AccessToken。
url:access token url。
param:appKey,Oauth_Token(上个步骤返回的令牌),签名,TimeStamp,nonce
response:Access_Token/Secret
二,新浪微博的implementation(以ios sdk为例)。
1,先封装下列参数:
NSDictionary *params = [NSMutableDictionarydictionaryWithObjectsAndKeys:
self.appKey, @"client_id",
@"code", @"response_type",
self.appRedirectURI, @"redirect_uri",
@"mobile", @"display", nil];
appKey和AppSecret在申请第三方APP的时候即可得到。appRedirectURI只对网页应用有效,所以这里可以随便填一个或者使用默认的。
response_type为code表面其希望返回的是一个授权码(相当于上述的未授权的Request Token)。
display应该是指该请求是移动app的请求。
然后启动一个WebView,请求url:https://open.weibo.cn/2/oauth2/authorize,带上述参数,方法为get。
形成的url如:https://open.weibo.cn/2/oauth2/authorize?client_id=1213792051&response_type=code&
redirect_uri=https%3A%2F%2Fapi.weibo.com%2Foauth2%2Fdefault.html&display=mobile
接着就进入了要求输入账号密码的页面
输入账号密码后,以post方式往https://open.weibo.cn/2/oauth2/authorize发送请求
出现授权或请求的按钮,至此完成第一部分。
疑问:协议中的未授权的request token在这里是哪个实体?还是新浪把它弱化掉了,也可能是缓存在webview中。
2,点击授权按钮之后,就可以得到Authorization Code了,该授权码相当于以授权的Request Token。
3,封装参数
NSDictionary *params = [NSDictionarydictionaryWithObjectsAndKeys:
self.appKey, @"client_id",
self.appSecret, @"client_secret",
@"authorization_code", @"grant_type",
self.appRedirectURI, @"redirect_uri",
code, @"code", nil];
请求url:https://open.weibo.cn/2/oauth2/access_token,方法post,加上述参数,通过NSURLConnection发送请求
返回的data就包含access token,当然会判断下该token是否还合法,有效,过期,成功的话会save住下面4个字段。
NSString *access_token = [authInfo objectForKey:@"access_token"];
NSString *uid = [authInfo objectForKey:@"uid"];
NSString *remind_in = [authInfo objectForKey:@"remind_in"];
NSString *refresh_token = [authInfo objectForKey:@"refresh_token"];
4,以后在请求资源时,就会加上access_token了。
三,SSO技术。
简述:SSO全场Single Sign On,用户只需登陆一次即可访问相互信任的子系统。用户访问系统1时,登陆成功后会返回一个ticket,当用户访问系统2时,会把ticket带上,待验证合法后即可访问系统2。听起来跟cookie有点像,没错,Web-SSO便有基于cookie的实现方案。很多手机APP在点击新浪授权时,会跳到新浪客户端的登陆页面,这里就用到SSO技术啦。
在本APP授权新浪微博时,会先检测手机是否安装了新浪微博客户端。
[[UIApplicationsharedApplication] openURL:xxx]可以打开另一个APP。这里sinaweibosso://login为客户端的url并传递三个参数,AppKey,RedirectURI,ssoCallbackScheme。
ssoCallbackScheme是返回的App Url地址,即自己定义的sinaweibosso.appKey。
登陆成功后,客户端会直接把AccessToken返回给本App。至于在客户端那边发生了哪些交互,暂时不得而知。