Auth认证协议原理分析及使用方法
OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认证。
网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。
举个我们身边国内的例子吧:比如人人网想要调用QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的QQ号,QQ密码才能调用,虽然网站上可能都自谓“不保留QQ用户名密码”,但是大家信吗?
OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。
OAuth中有三方:一,用户;二,Consumer(不知杂翻译,类似上面的 twitterfeed 角色);三,服务提供商(如上例的twitter角色)。
可得到:Consumer Key,Consumer Secret。twitter申请oauth的话,在 setting - connection - developer 里面申请。 同时给出三个访问网址:
- request_token_url = 'http://twitter.com/oauth/request_token'
- access_token_url = 'http://twitter.com/oauth/access_token'
- authorize_url = 'http://twitter.com/oauth/authorize'
Consumer需要先取得 请求另牌(Request Token)。网址为上面的 request_token_url,参数为:
- oauth_consumer_key:Consumer Key
- oauth_signature_method:签名加密方法
- oauth_signature:加密的签名 (这个下面细说)
- oauth_timestamp:UNIX时间戳
- oauth_nonce:一个随机的混淆字符串,随机生成一个。
- oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
- oauth_callback:返回网址链接。
- 及其它服务提供商定义的参数
这样 Consumer就取得了 请求另牌(包括另牌名 oauth_token,另牌密钥 oauth_token_secret。
网址为 authorize_url?oauth_token=请求另牌名
那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token (就是请求另牌),及 oauth_verifier(验证码)。
NO。现在还需要再向 服务提供商 请求 访问另牌(Access Token)。网址为上面的 access_token_url,参数为:
- oauth_consumer_key:Consumer Key
- oauth_token:上面取得的 请求另牌的名
- oauth_signature_method:签名加密方法
- oauth_signature:加密的签名 (这个下面细说)
- oauth_timestamp:UNIX时间戳
- oauth_nonce:一个随机的混淆字符串,随机生成一个。
- oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
- oauth_verifier:上面返回的验证码。
- 请求 访问另牌的时候,不能加其它参数。
这样就可以取得 访问另牌(包括Access Token 及 Access Token Secret)。这个就是需要保存在 Consumer上面的信息(没有你的真实用户名,密码,安全吧!)
六,取得 访问另牌 后,
Consumer就可以作为用户的身份访问 服务提供商上被保护的资源了。提交的参数如下:
- oauth_consumer_key:Consumer Key
- oauth_token:访问另牌
- oauth_signature_method:签名加密方法
- oauth_signature:加密的签名 (这个下面细说)
- oauth_timestamp:UNIX时间戳
- oauth_nonce:一个随机的混淆字符串,随机生成一个。
- oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
- 及其它服务提供商定义的参数
OAuth安全机制是如何实现的?
OAuth 使用的签名加密方法有 HMAC-SHA1,RSA-SHA1 (可以自定义)。拿 HMAC-SHA1 来说吧,HMAC-SHA1这种加密码方法,可以使用 私钥 来加密 要在网络上传输的数据,而这个私钥只有 Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有 私钥 也是白搭。
私钥是:consumer secret&token secret (哈两个密码加一起)
要加密的字符串是:除 oauth_signature 外的其它要传输的数据。按参数名字符排列,如果一样,则按 内容排。如:domain=kejibo.com&oauth_consumer_key=XYZ& word=welcome......................
前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?
不,oauth_timestamp,oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce(混淆码)是否已经被使用。
那么这样攻击者就无法自已生成 签名,或者偷你的签名来使用了。
相关推荐
thinkphp权限认证auth分析,分析thinkphp权限认证原理及使用方法
nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务nsq auth 权限认证服务
通过base64加密方式将用户名和密码进行封装,生成basic auth的认证信息,再将该信息塞进请求头里,最后通过认证进行get请求。
服务器在收到这样的请求时,到达BasicAuthenticationFilter过滤器,将提取“authorization”的Header值,并使用用于验证用户身份的相同算法Base64进行解码。 解码结果与登录验证的用户名密码匹配,匹配成功则...
TUNet 2018 认证协议的纯 python 实现,含 auth4 / auth6 / net 认证。适用于服务器在无人交互时自动认证
主要介绍了详解在Spring-Boot中实现通用Auth认证的几种方式,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
对THINKPHP的auth认证功能类,默认的SQL表就是ThinkPHP auth类的默认表
auth开发汇总,原理汇总,从腾讯qq的角度理解授权机制。
接触auth认证这么久了,一开始就在网上搜auth的代码,看到很多大家分析的auth权限使用方法,但是就是没见过谁做过一个完整的auth认证的后台程序(或者高手做出来的更好的没有分享出来),正好公司项目需要,就研究做...
Sonar Auth GitLab Plugin,Enables user authentication and Single Sign-On via GitLab
Auth是采用Golang开发Web模块化认证系统,它提供了不同的认证后端来加速您的开发。
ThinkPHP5.0 php7 Auth权限认证管理模块 , 目前还没有人发THINKPHP5.0用的这个权限认证模块, 自己改造的thinkphp3.2里面用的auth授权验证模块为TP5.0 php7能用的模块, 免费分享给大家。 如果你也改造了次代码么...
基于 laravel 默认的 auth 实现 api 认证 现在微服务越来越流行了. 很多东西都拆分成独立的系统,各个系统之间没有直接的关系. 这样我们如果做用户认证肯定是统一的做一个独立的 用户认证 系统,而不是每个业务系统都...
本文以实例代码的形式深入剖析了ThinkPHP权限认证Auth的实现原理与方法,具体步骤如下: mysql数据库部分sql代码: -- ---------------------------- -- Table structure for think_auth_group -- ----------------...
passport-auth0, Passport.js的Auth0认证策略 passport-auth0 这是 Passport.js.的auth0认证策略安装npm install passport-auth0配置从仪表板的设置获取你的凭证,并按如下方式初始化策略:var
springcloud+auth2实现单点登录的认证机制,自定认证的方式
这是一个使用比较广泛的权限认证系统 可以结合CI框架使用
Java 实现HTTP BasicAuth服务端代码,压缩包为Eclipse工程,导入即可运行
基于thinkPHP架构的的Auth类,实现权限认证源码应用,思路清晰,对于初学者对thinkPHP及Auth认证的理解,有很大的帮助。 如有需要,可与我交流 注明ThinkPHP。