xAuth
XAuth也是一种OAuth的认证方法
结构和流程上看XAuth是一种oauth1.0和oauth2.0的集合者
oauth2.0的access_token接口步骤 + oauth1.0的签名方法
为什么出现XAuth?
现在需求是:
1 不希望有oauth1.0的三步复杂的认证流程,希望直接使用用户名和密码就可以完成(这对于移动设备的第三方应用非常需要)
2 不希望取得access_token之后使用https来调用接口
3 当然最总要紧的是还要保证数据的安全性
那么就有一种方法:
XAuth
特别说明:
1 xauth最早是twitter使用的,很多人都认为是由twitter开发的xauth,后在国内的网站weibo也使用了
2 xauth没有正式成为ietf推广的方案
3 xauth应该是在oauth1.0出现推广之后,oauth2.0出现之前这个阶段出现的产物
4 twitter和weibo并不是允许所有的应用都可以使用xauth,都要求第三方需要向网站提交申请,主要考虑到xauth的安全性和流程确实不如oauth可靠
5 xauth主要适用于非server的第三方
6 xauth的客户端实现可以直接使用oauth1.0的实现,服务器端的实现也只是需要在access_token的接口中多增加一个分支,因此对应于实现了oauth1.0开发的第三方应用和网站来说是非常容易实现的
XAuth的步骤
XAuth的步骤非常简便(twitter为例):
1 客户端https请求access_token
https://api.twitter.com/oauth/access_token
oauth_consumer_key - JvyS7DO2qd6NNTsXJ4E7zA //appkey,应用申请时候获得
oauth_consumer_secret - 9z6157pUbOBqtbm0A0q4r29Y2EYzIHlUwbF4Cl9c //secrect 应用申请时获得
oauth_nonce - 6AN2dKRzxyGhmIXUKSmp1JcB4pckM8rD3frKMTmVAo //防重放唯一数
oauth_signature_method - HMAC-SHA1 //加密算法
oauth_timestamp – 1284565601//时间戳
oauth_version - 1.0 //oauth版本
x_auth_mode - client_auth //xauth的标志
x_auth_password - twitter //用户密码
x_auth_username – testuser //用户名
注:其中的签名方法是和oauth1.0一样的,所以客户端的实现可以直接使用各大网站oauth1.0已有的框架和SDK(我认为这是导致xauth出现的原因之一)
这步和oauth2.0的username-password一样,但是签名和参数设置又是和oauth1.0一样
2 服务器端接收到xauth请求
a 使用oauth1.0的签名方式验证
b 验证用户名和密码
c 生成access_token,和secret
d 直接将access_token和secrect返回给客户端
3 客户端得到access_token和secret后直接使用oauth1.0的流程请求接口
参考资料:
http://open.weibo.com/wiki/XAuth
https://dev.twitter.com/docs/oauth/xauth
http://yourhead.tumblr.com/post/428643811/five-things-you-didnt-know-about-xauth
http://xauth.org/spec/
作者:yjf512(轩脉刃)
出处:http://www.cnblogs.com/yjf512/
本文版权归yjf512和cnBlog共有,欢迎转载,但未经作者同意必须保留此段声明
