开放平台_XAuth
xAuth
XAuth也是一種OAuth的認證方法
?
結構和流程上看XAuth是一種oauth1.0和oauth2.0的集合者
?
oauth2.0的access_token接口步驟 + oauth1.0的簽名方法
?
為什么出現XAuth?
?
現在需求是:
1 不希望有oauth1.0的三步復雜的認證流程,希望直接使用用戶名和密碼就可以完成(這對于移動設備的第三方應用非常需要)
2 不希望取得access_token之后使用https來調用接口
3 當然最總要緊的是還要保證數據的安全性
?
那么就有一種方法:
XAuth
?
特別說明:
1 xauth最早是twitter使用的,很多人都認為是由twitter開發的xauth,后在國內的網站weibo也使用了
2 xauth沒有正式成為ietf推廣的方案
3 xauth應該是在oauth1.0出現推廣之后,oauth2.0出現之前這個階段出現的產物
4 twitter和weibo并不是允許所有的應用都可以使用xauth,都要求第三方需要向網站提交申請,主要考慮到xauth的安全性和流程確實不如oauth可靠
5 xauth主要適用于非server的第三方
6 xauth的客戶端實現可以直接使用oauth1.0的實現,服務器端的實現也只是需要在access_token的接口中多增加一個分支,因此對應于實現了oauth1.0開發的第三方應用和網站來說是非常容易實現的
?
XAuth的步驟
?
XAuth的步驟非常簡便(twitter為例):
?
1 客戶端https請求access_token
?
https://api.twitter.com/oauth/access_token
?
oauth_consumer_key - JvyS7DO2qd6NNTsXJ4E7zA?//appkey,應用申請時候獲得
oauth_consumer_secret - 9z6157pUbOBqtbm0A0q4r29Y2EYzIHlUwbF4Cl9c //secrect 應用申請時獲得
oauth_nonce - 6AN2dKRzxyGhmIXUKSmp1JcB4pckM8rD3frKMTmVAo //防重放唯一數
oauth_signature_method - HMAC-SHA1 //加密算法
oauth_timestamp – 1284565601//時間戳
oauth_version - 1.0 //oauth版本
x_auth_mode - client_auth //xauth的標志
x_auth_password - twitter //用戶密碼
x_auth_username – testuser //用戶名
?
注:其中的簽名方法是和oauth1.0一樣的,所以客戶端的實現可以直接使用各大網站oauth1.0已有的框架和SDK(我認為這是導致xauth出現的原因之一)
?
這步和oauth2.0的username-password一樣,但是簽名和參數設置又是和oauth1.0一樣
?
2 服務器端接收到xauth請求
a 使用oauth1.0的簽名方式驗證
b 驗證用戶名和密碼
c 生成access_token,和secret
d 直接將access_token和secrect返回給客戶端
?
3 客戶端得到access_token和secret后直接使用oauth1.0的流程請求接口
?
?
?
參考資料:
http://open.weibo.com/wiki/XAuth
https://dev.twitter.com/docs/oauth/xauth
http://yourhead.tumblr.com/post/428643811/five-things-you-didnt-know-about-xauth
http://aralbalkan.com/3057
http://xauth.org/spec/
?
作者:yjf512(軒脈刃)
出處:http://www.cnblogs.com/yjf512/
本文版權歸yjf512和cnBlog共有,歡迎轉載,但未經作者同意必須保留此段聲明?
?
總結
以上是生活随笔為你收集整理的开放平台_XAuth的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 微博营销不可不知的微博六种人
- 下一篇: 如何控制Yahoo! Slurp蜘蛛的抓