OAuth認證協議原理分析及使用方法[轉]

新：oauth第二代
oauth2開放認證協議原理及案例分析
寫於 2011-8-4

twitter或豆瓣用戶一定會發現，有時候，在別的網站，點登錄後轉到 twitter登錄，之後轉回原網站，你會發現你已經登錄此網站了，比如像 feedtwitter rss2twitter 推特中文圈 （這個目前好像有點問題轉回來的時候是個錯誤地址） 這種網站就是這個效果。其實這都是拜 OAuth所賜。

OAuth是什麼？

OAuth是一個開放的認證協議，讓你可以在Web或桌面程序中使用簡單而標準的，安全的API認證。

OAuth有什麼用？爲什麼要使用OAuth？

網絡開放是一個不變的趨勢，那麼不可避免的會有各種網絡服務間分享內容的需要。

舉個我們身邊國內的例子吧：比如人人網想要調用QQ郵箱的聯繫人列表，現在的方法是你需要在人人網輸入你的QQ號，QQ密碼才能調用，雖然網站上可能都自謂“不保留QQ用戶名密碼”，但是大家信嗎？

OAuth就是爲了解決這個問題而誕生的，用戶訪問第三方資源，不再需要網站提交你的用戶名，密碼。這樣好處自己是安全，而且不會泄露你的隱私給不信任的一方。

OAuth原理

OAuth中有三方：一，用戶；二，Consumer（中間商，類似上面的 twitterfeed 角色）；三，服務提供商（如上例的twitter角色）。

一，Consumer 向 服務提供商 申請接入權限

可得到：Consumer Key，Consumer Secret。twitter申請oauth的話，在 setting – connection – developer 裏面申請。 同時給出三個訪問網址：

1. request_token_url = 'http://twitter.com/oauth/request_token'
2. access_token_url = 'http://twitter.com/oauth/access_token'
3. authorize_url = 'http://twitter.com/oauth/authorize'

二，當Consumer接到用戶請求想要訪問第三方資源（如twitter）的時候

Consumer需要先取得 請求另牌（Request Token）。網址爲上面的 request_token_url，參數爲：

1. oauth_consumer_key：Consumer Key
2. oauth_signature_method：簽名加密方法
3. oauth_signature：加密的簽名 （這個下面細說）
4. oauth_timestamp：UNIX時間戳
5. oauth_nonce：一個隨機的混淆字符串，隨機生成一個。
6. oauth_version：OAuth版本，可選，如果設置的話，一定設置爲 1.0
7. oauth_callback：返回網址鏈接。
8. 及其它服務提供商定義的參數

這樣 Consumer就取得了 請求另牌（包括另牌名 oauth_token，另牌密鑰 oauth_token_secret。

三，瀏覽器自動轉向服務提供商的網站：

網址爲 authorize_url?oauth_token=請求另牌名

四，用戶同意 Consumer訪問 服務提供商資源

那麼會自動轉回上面的 oauth_callback 裏定義的網址。同時加上 oauth_token （就是請求另牌），及 oauth_verifier（驗證碼）。

五，現在總可以開始請求資源了吧？

NO。現在還需要再向 服務提供商 請求 訪問另牌（Access Token）。網址爲上面的 access_token_url，參數爲：

1. oauth_consumer_key：Consumer Key
2. oauth_token：上面取得的 請求另牌的名
3. oauth_signature_method：簽名加密方法
4. oauth_signature：加密的簽名 （這個下面細說）
5. oauth_timestamp：UNIX時間戳
6. oauth_nonce：一個隨機的混淆字符串，隨機生成一個。
7. oauth_version：OAuth版本，可選，如果設置的話，一定設置爲 1.0
8. oauth_verifier：上面返回的驗證碼。
9. 請求 訪問另牌的時候，不能加其它參數。

這樣就可以取得 訪問另牌（包括Access Token 及 Access Token Secret）。這個就是需要保存在 Consumer上面的信息（沒有你的真實用戶名，密碼，安全吧！）

六，取得 訪問另牌 後，

Consumer就可以作爲用戶的身份訪問 服務提供商上被保護的資源了。提交的參數如下：

1. oauth_consumer_key：Consumer Key
2. oauth_token：訪問另牌
3. oauth_signature_method：簽名加密方法
4. oauth_signature：加密的簽名 （這個下面細說）
5. oauth_timestamp：UNIX時間戳
6. oauth_nonce：一個隨機的混淆字符串，隨機生成一個。
7. oauth_version：OAuth版本，可選，如果設置的話，一定設置爲 1.0
8. 及其它服務提供商定義的參數

OAuth安全機制是如何實現的？

OAuth 使用的簽名加密方法有 HMAC-SHA1,RSA-SHA1 （可以自定義）。拿 HMAC-SHA1 來說吧，HMAC-SHA1這種加密碼方法，可以使用 私鑰 來加密 要在網絡上傳輸的數據，而這個私鑰只有 Consumer及服務提供商知道，試圖攻擊的人即使得到傳輸在網絡上的字符串，沒有 私鑰 也是白搭。

私鑰是：consumer secret&token secret  （哈兩個密碼加一起）

要加密的字符串是：除 oauth_signature 外的其它要傳輸的數據。按參數名字符排列，如果一樣，則按 內容排。如：domain=kejibo.com&oauth_consumer_key=XYZ& word=welcome………………….

前面提的加密裏面都是固定的字符串，那麼攻擊者豈不是直接可以偷取使用嗎？

不，oauth_timestamp，oauth_nonce。這兩個是變化的。而且服務器會驗證一個 nonce（混淆碼）是否已經被使用。

那麼這樣攻擊者就無法自已生成 簽名，或者偷你的簽名來使用了。

本文系原創，轉換請註明鏈接，謝謝！

轉自http://kejibo.com/oauth/