[转载]在.NET中实现OAuth身份认证 - 白袍秀士 - 博客园

[转载][转载]在.NET中实现OAuth身份认证 – 白袍秀士 – 博客园.

来源:李会军

 

OAuth为 开放API的授权提供了一个安全且开放的标准,它的第一个版本发布于2007年,OAuth 2.0协议版本还在处于草稿状态。到现在为止,大多数开放API的互联网站都采用OAuth方式来进行授权,如前一段时间Twitter取消HTTP Basic认证方式而采用OAuth,国内的豆瓣应该是使用OAuth的先 行者,而新浪微博开放平台同时支持HTTP Basic和OAuth两种方式。使用OAuth最大的好处在于第三方应用无需知道用户的账号信息(如用户名与密码)就可以申请获得该用户资源的授权。本 文首先我会简单介绍一下HTTP Basic认证方式,而后面详细介绍在.NET中如何使用OAuth方式进行认证。

HTTP Basic认证如果采用HTTP Basic认证方式,一般的做法是在HTTP请求头中添加Authorization标头,把用户名和密码装换为Base64编码放在HTTP请求头中,用.NET非常简单的就可以实现,如下代码所示:

string url = “http://terrylee.me/blog”;
HttpWebRequest request = HttpWebRequest.Create(url) as HttpWebRequest;

string username = “myusername”;
string password = “mypassword”;

string up = username + “:” + password;
CredentialCache cache = new CredentialCache();
cache.Add(new Uri(url), “Basic”, new NetworkCredential(username, password));
request.Credentials = cache;
request.Headers.Add(“Authorization”, “Basic ” + Convert.ToBase64String(new ASCIIEncoding().GetBytes(up)));

HttpWebResponse response = request.GetResponse() as HttpWebResponse;
Stream stream = response.GetResponseStream();
StreamReader reader = new StreamReader(stream, Encoding.UTF8);
Console.WriteLine(reader.ReadToEnd());在发起请求后,可以看到HTTP头中的Authorization标头:


关于HTTP Basic认证的详细内容大家可以参考RFC2617。可以看到使用HTTP Basic认证的缺点在于第三方应用需要知道用户账号信息,存在着很多的不安全因素。

OAuth认证在使用OAuth认证时,有3个常用的URL需要首先了解一下:

A. 获取未授权的Request Token B. 请求用户对Request Token授权 C. 使用授权Request Token换取Access Token整个认证过程可以分为3步,我们用下面的流程图来表示:

接下来我们以豆瓣的OAuth认证为例,具体看一下每一步需要做什么。首先可以在http://code.google.com/p/oauth/下载到各种语言实现OAuth类库,因为我们的示例用C#来实现(完整的示例代码在这里能够下载到),所以只用下载到的OAuthBase类就够了,另外在开始之前还需要到豆瓣去创建一个应用,以便能够拿到api_key和api_Secret。

第一步,获取未授权的Request Token,请求的地址为http://www.douban.com/service/auth/request_token,在这一步里的请求参数oauth_consumer_key就是我们在上面创建应用时得到的api_key,而计算签名使用的Secret也就是上面创建应用时得到的api_secret:

//1. 获取Request Token,该步骤使用API Key和API Key Secret签名
public void getRequestToken()
{
Uri uri = requestTokenUri;
string nonce = oAuth.GenerateNonce();
string timeStamp = oAuth.GenerateTimeStamp();
string normalizeUrl, normalizedRequestParameters;

// 签名
string sig = oAuth.GenerateSignature(
uri,
apiKey,
apiKeySecret,
string.Empty,
string.Empty,
“GET”,
timeStamp,
nonce,
OAuthBase.SignatureTypes.HMACSHA1,
out normalizeUrl,
out normalizedRequestParameters);
sig = HttpUtility.UrlEncode(sig);

//构造请求Request Token的url
StringBuilder sb = new StringBuilder(uri.ToString());
sb.AppendFormat(“?oauth_consumer_key={0}&”, apiKey);
sb.AppendFormat(“oauth_nonce={0}&”, nonce);
sb.AppendFormat(“oauth_timestamp={0}&”, timeStamp);
sb.AppendFormat(“oauth_signature_method={0}&”, “HMAC-SHA1”);
sb.AppendFormat(“oauth_version={0}&”, “1.0”);
sb.AppendFormat(“oauth_signature={0}”, sig);

Console.WriteLine(“请求Request Token的url: \n” + sb.ToString());

//请求Request Token
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(sb.ToString());
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
StreamReader stream = new StreamReader(response.GetResponseStream(), System.Text.Encoding.UTF8);
string responseBody = stream.ReadToEnd();
stream.Close();
response.Close();

Console.WriteLine(“请求Request Token的返回值: \n” + responseBody);

//解析返回的Request Token和Request Token Secret
Dictionary<string, string> responseValues = parseResponse(responseBody);
requestToken = responseValues[“oauth_token”];
requestTokenSecret = responseValues[“oauth_token_secret”];
}通过这一步我们可以得到Request Token和Request Token Secret。

第 二步,请求用户对Request Token授权,跳转到服务提供方授权页面(本例中指豆瓣http://www.douban.com/service/auth /authorize),在跳转到授权页面时需要传递第一步获取的Request Token。另外,在请求授权页面时还有一个可选参数oauth_callback,指用户授权完全后跳转回的页面,对于Web应用来说,这一步不是什么 问题,使用浏览器进行跳转就可以了。但是如果第三方应用是客户端程序,就显的有些麻烦,新浪微博API使用的解决方案是如果第三方应用是客户端应用,则在 用户授权完成后,生成一个PIN码,第三方应用会要求用户输入这个PIN码。

// 2. 用户确认授权
public void authorization()
{
//生成引导用户授权的url
string url =  authorizationUri + requestToken;

Console.WriteLine(“请将下面url粘贴到浏览器中,并同意授权,同意后按任意键继续:”);
Console.WriteLine(url);
}第三步,使用授权的Request Token换取Access Token,请求的地址为http://www.douban.com/service/auth/access_token,这一步的请求过程与第一步大同小异,唯一不同的地方在于计算签名时需要同时使用创建应用时获取的api_secret和第一步获取的Request Token Secret,在请求的结果中将会包含Access Token和Access Token Secret。

// 3. 换取Access Token,该步骤使用API Key、API Key Secret、Request Token和Request Token Secret签名
public void getAccessToken()
{
Uri uri = accessTokenUri;
string nonce = oAuth.GenerateNonce();
string timeStamp = oAuth.GenerateTimeStamp();
string normalizeUrl, normalizedRequestParameters;

// 签名
string sig = oAuth.GenerateSignature(
uri,
apiKey,
apiKeySecret,
requestToken,
requestTokenSecret,
“GET”,
timeStamp,
nonce,
OAuthBase.SignatureTypes.HMACSHA1,
out normalizeUrl,
out normalizedRequestParameters);
sig = HttpUtility.UrlEncode(sig);

//构造请求Access Token的url
StringBuilder sb = new StringBuilder(uri.ToString());
sb.AppendFormat(“?oauth_consumer_key={0}&”, apiKey);
sb.AppendFormat(“oauth_nonce={0}&”, nonce);
sb.AppendFormat(“oauth_timestamp={0}&”, timeStamp);
sb.AppendFormat(“oauth_signature_method={0}&”, “HMAC-SHA1”);
sb.AppendFormat(“oauth_version={0}&”, “1.0”);
sb.AppendFormat(“oauth_signature={0}&”, sig);
sb.AppendFormat(“oauth_token={0}&”, requestToken);

Console.WriteLine(“请求Access Token的url: \n” + sb.ToString());

//请求Access Token
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(sb.ToString());
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
StreamReader stream = new StreamReader(response.GetResponseStream(), System.Text.Encoding.UTF8);
string responseBody = stream.ReadToEnd();
stream.Close();
response.Close();

Console.WriteLine(“请求Access Token的返回值: \n” + responseBody);

//解析返回的Request Token和Request Token Secret
Dictionary<string, string> responseValues = parseResponse(responseBody);
accessToken = responseValues[“oauth_token”];
accessTokenSecret = responseValues[“oauth_token_secret”];
}到 这一步为止,整个认证过程就已经完成了。现在有了Access Token和Access Token Secret,就可以访问受限资源了,在计算签名时需要使用创建应用时得到的api_secret和这一步得到的Access Token Secret,OAuth认证信息推荐添加在HTTP请求标头中,如使用豆瓣API发送广播:

POST http://api.douban.com/miniblog/saying HTTP/1.1
Authorization: OAuth realm=””,
oauth_consumer_key=0c7c3ca26a68d2ad2574b5e73f3a7807,
oauth_nonce=8559837,
oauth_timestamp=1284995469,
oauth_signature_method=HMAC-SHA1,
oauth_version=1.0,
oauth_signature=HmkcQjhd6B3pZ%2fRWkJ23VAxlHKQ%3d,
oauth_token=136c07ebc88d53ec3a4417c359a7fbc4

Content-Type: application/atom+xml
Host: api.douban.com
Content-Length: 172

<?xml version=’1.0′ encoding=’UTF-8′?>
<entry xmlns:ns0=”http://www.w3.org/2005/Atom” xmlns:db=”http://www.douban.com/xmlns/”>
<content>C# OAuth认证成功</content>
</entry>OAuth的认证过程虽然相比较HTTP Basic稍显有些复杂,但只要弄清楚了整个过程,还是比较简单的,总结起来就是获取Request Token,请求用户授权,换取Access Token三个步骤。

参考资料:

1. OAuth官方网站http://oauth.net/

2. OAuth规范中文描述:http://www.rollingcode.org/blog/f/oauth-core-1.0-final-cn.html

3. 豆瓣OAuth认证示例:http://code.google.com/p/douban-oauth-sample/

4. 豆瓣API OAuth认证:http://www.douban.com/service/apidoc/auth

赞(0) 打赏
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏