oauth三方登陆的原理

一 说明

OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的，目的在于为API访问授权提供一个开放的标准(resful和webservice都可以)。OAuth规范的1.0版于2007年12月4日发布。

通过官方网址：https://oauth.net/可以阅读更多的相关信息。

 

二 OAUTH认证授权具有以下特点：

1. 简单：不管是OAUTH服务提供者还是应用开发者，都很容易于理解与使用；

2. 安全：没有涉及到用户密钥(账号/密码)等信息，更安全更灵活；

3. 开放：任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTH；

 

 

三、OAUTH相关术语

    在弄清楚OAUTH流程之前，我们先了解下OAUTH的一些术语的定义：

• OAUTH相关的三个URL：

• Request Token URL: 获取未授权的Request Token服务地址；
• User Authorization URL: 获取用户授权的Request Token服务地址；
• Access Token URL: 用授权的Request Token换取Access Token的服务地址；

• OAUTH相关的参数定义：

• oauth_consumer_key: 使用者的ID，OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用，再获取该应用的oauth_consumer_key。如Yahoo该值的注册地址为：https://developer.yahoo.com/dashboard/
• oauth_consumer_secret：oauth_consumer_key对应的密钥。
• oauth_signature_method: 请求串的签名方法，应用每次向OAUTH三个服务地址发送请求时，必须对请求进行签名。签名的方法有：HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种。
• oauth_signature: 用上面的签名方法对请求的签名。
• oauth_timestamp: 发起请求的时间戳，其值是距1970 00:00:00 GMT的秒数，必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。
• oauth_nonce: 随机生成的字符串，用于防止请求的重放，防止外界的非法攻击。
• oauth_version: OAUTH的版本号，可选，其值必须为1.0。

  OAUTH HTTP响应代码：

• HTTP 400 Bad Request 请求错误

• Unsupported parameter 参数错误
• Unsupported signature method 签名方法错误
• Missing required parameter 参数丢失
• Duplicated OAuth Protocol Parameter 参数重复

• HTTP 401 Unauthorized 未授权

• Invalid Consumer Key 非法key
• Invalid / expired Token 失效或者非法的token
• Invalid signature 签名非法
• Invalid / used nonce 非法的nonce

 

 

 

四、OAUTH认证授权流程(微博，微信，qq登陆都是如此)

    在弄清楚了OAUTH的术语后，我们可以对OAUTH认证授权的流程进行初步认识。其实，简单的来说，OAUTH认证授权就三个步骤，三句话可以概括：

1. 获取未授权的Request Token

2. 获取用户授权的Request Token

3. 用授权的Request Token换取Access Token

    当应用拿到Access Token后，就可以有权访问用户授权的资源了(可以选择只要三方登陆功能，不要数据)。

 

 

五 参数调用说明

具体每步执行信息如下：

A. 使用者（第三方软件）向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求，请求需要带上的参数见上图。

B. OAUTH服务提供商同意使用者的请求，并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret，并返回给使用者。

C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求，请求带上上步拿到的未授权的token与其密钥。

D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。

E. Request Token 授权后，使用者将向Access Token URL发起请求，将上步授权的Request Token换取成Access Token。请求的参数见上图，这个比第一步A多了一个参数就是Request Token。

F. OAUTH服务提供商同意使用者的请求，并向其颁发Access Token与对应的密钥，并返回给使用者。

G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。

 

 

从上面的步骤可以看出，用户始终没有将其用户名与密码等信息提供给使用者（第三方软件），从而更安全。