现在越来越多开放的互联网公司提供对外的 API 接口,使得第三方应用开发人员可以开发基于该平台接口的应用程序。国外有TwitterFlicker Service等;国内的,像腾讯微博开放平台新浪微博开放平台等等。

这些平台接口的认证方式,无一例外的,都采取了 OAuth 来实现(Twitter原来使用的是Basic Auth方式,后来全面转向OAuth)。

那么,OAuth 是什么?OAuth认证又有什么好处呢?

OAuth 是什么

关于OAuth的定义,在 OAuth官网 的首页上,有一行大大的文字说明:

An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.

(OAuth) 是一个开放协议,它以一种简单、标准的方式实现对桌面和 Web 的应用程序的安全 API 认证。

OAuth 1.0 协议(中文版 | 英文版)这样介绍OAuth:“OAuth 协议致力于使网站和应用程序(统称为消费方)能够在无须用户透露其认证证书的情况下,通过 API 访问某个web服务(统称为服务提供方)的受保护资源。更一般地说,OAuth 为 API 认证提供了一个可自由实现且通用的方法”。

关于 OAuth 的用途,OAuth 1.0 协议(中文版 | 英文版)上举了一个例子:某打印服务提供商 printer.example.com(消费方),希望在无须用户提供其照片存储站点密码的情况下,访问用户储存在 photos.example.net(服务提供方)上的个人照片。

假如没有 OAuth,用户必须要向消费方也就是 printer 提供自己在服务提供商 photos 上的授权资料(通常是密码),消费方利用这个授权资料,通过服务提供方的权限验证,从而获得要打印的图片。这样看似没有什么问题。但是用户的授权资料,通常在这一过程中被消费方有意或者无意地窃取或泄露,从而对用户和服务提供方的信息安全造成威胁。

而如果利用 OAuth 进行此过程的授权,用户的授权资料并不会传递给第三方(也就是消费方,通常是App应用),而消费方只需要将用户引导至服务提供方的授权页面进行授权,使得消费方获得访问受限资源的权限即可。而在此过程中,用户授权过程是在服务提供方进行的,消费方并不会直接接触到用户的授权资料,因此一般不会造成用户授权资料的泄密,从而既保证了用户和服务提供方的信息安全,又使得消费方完成了对受限资源的读取。可谓一举三得。

个人对 OAuth 授权过程的理解:服务提供方 SP 好比一个封闭院子,只有持卡人才能进入,用户 U 就是持卡人之一。而消费方 C 没有持卡,通常情况下是不能进入的。但是有一天,由于特殊原因,U 需要 C 帮忙去 SP 那里取一样东西。这个时候问题就来了:  C 没有持卡,不能进去院子,而 U 又不能把卡直接给 C (卡上面有很多个人机密信息,不方便外泄哦)。怎么办呢?

哦,对了,U 可以带着 C 去门口,告诉SP:这个人是我认识的,他需要进去帮我拿我的一样东西,请予放行。这样,U 既不用将带有个人私密信息的门卡交给 C,C 也通过验证拿到了属于 U 的东西。

有的人要问了,是不是下次 C 想要再进 SP 的拿 U 的东西的话,是不是就不用 U 的指引了呢?人类社会的情况通常是这样的。可惜,在 HTTP 的世界里,由于 HTTP 是无状态的协议,因此,SP 仍然不会认识 C。所以,每次 C 想要取东西,总是需要 U 的指引。是不是很麻烦呢?呵呵。但是为了安全,麻烦一点又有什何妨!

上面介绍了 OAuth 认证的基本思路,如果你还不理解,可以参考 OAuth认证流程图, 或者查看腾讯微博关于OAuth认证的介绍。OAuth 官方网站就有一篇文档教程《OAuth入门指南》,不过没有中文版本。有兴趣同学的也可以自己看看。

OAuth 认证授权有以下几个特点:

  • 1. 简单:不管是 OAuth 服务提供者还是应用开发者,都很容易于理解与使用;
  • 2. 安全:没有涉及到用户密钥等信息,更安全更灵活;
  • 3. 开放:任何服务提供商都可以实现 OAuth,任何软件开发商都可以使用 OAuth;

那么下面我们就作为服务提供商角色,来实现 OAuth 认证服务器的安装和搭建。

其实,很多先行者已经开发出了很多的 OAuth 消费方代码(客户端)和服务提供方代码(服务端),这里是它们的一些列表,其中包含了 .NET (C#/VB.NET), ColdFusion, Java, Javascript, Jifty, Objective-C, OCaml, Perl, PHP, Python, Ruby, Erlang 和其他语言的一些实现。

通过 Google,我找到了一个开源的 OAuth 服务端代码和消费方开源代码库项目——oauth-php. 我们就借此来实现。关于OAuth,项目主页的介绍是: OAuth Consumer And Server Library For PHP. 它包含一个完整实现的可扩展的OAuth存储,支持 MySQL/MySQLi,  Postgresql,  PDO 和 Oracle 等多种存储方式。

它实现了以下方法:

  • 认证进来的请求
  • 为出去的请求签名
  • 使用 body 为请求签名
  • 为多用户管理消费方的 key 和 token(服务端和消费端)
  • 记录经过类库处理的进出的请求(可以在数据库中进行可选配置)

很多网站都在使用oauth-php, 包括荷兰阿姆斯特丹Mediamatic Lab实验室出品的anyMeta CMS. 目前,oauth-php 的代码主要由Corollarium Technologies 负责维护。

为你的服务器增加 OAuth 非常简单。你需要检查进来的请求中 OAuth 认证细节。首先,我们需要四个控制器 controller 文件:

  • oauth_register.php 使消费方用户获得 key 和密钥
  • request_token.php 返回一个未认证的 request token
  • authorize.php 认证一个request token
  • access_token.php 将认证后的 request token 置换为 access token

以下的例子,假设使用的数据存储器是MySQL。你也可以使用其他数据库——当你第一次使用 OAuthStore 实例的时候指定一个参数,告诉它你要使用的数据库。

$store = OAuthStore::instance('MySQL');

然后,在每个请求被处理之前,都可以检查其是否带有 OAuth 认证信息:

getMessage();
                exit();
        }
}

每个消费方都使用 key 和密钥的组合和 token 和 token 密钥的组合来为它的请求进行签名。而在此之前,消费方必须要先获取属于它的消费方 key 和消费方密钥。 oauth_register.php 就是负责分发消费方 key 和密钥的控制器文件。

// 当前登录用户
$user_id = 1;

// 取得这个用户注册的全部消费方列表
$store = OAuthStore::instance();
$list = $store->listConsumers($user_id);

request_token.php 这个控制器文件负责返回请求 token(未认证的 request token)。当消费方获取了 key 和 secret 之后,它就可以向服务器端请求未认证的 request token 了:

// 当前登录用户
$user_id = 1;

// 取得OAuth存储器和OAtuh服务器对象
$store  = OAuthStore::instance();
$server = new OAuthServer();

try
{
    // 检查当前请求中是否包含合法的request token
    // 返回一个包含消费方key, 消费方secret, token, token secret 和 token 类型的数组.
    $rs = $server->authorizeVerify();

    if ($_SERVER['REQUEST_METHOD'] == 'POST')
    {
        // 检查用户是否点击了 'allow' 按钮或者其他你指定的按钮)
        $authorized = array_key_exists('allow', $_POST);

        // 设置 request token 的认证状态(已认证或者是未认证)
        // 当包含 oauth_callback 回调的时候,这些将传给消费方
        $server->authorizeFinish($authorized, $user_id);

        // 没有 oauth_callback 回调, 显示认证结果

        // ** 你的代码 **
   }
}
catch (OAuthException $e)
{
    // 没有需要认证的 request token, 显示一个可以输入 request token 的页面
    // ** 你的代码 **
}

access_token.php 控制器文件负责将认证的request token换成access token。access token 可以被用来为请求签名。

$server = new OAuthServer();
$server->accessToken();

可以继续阅读基于PHP&MySQL搭建OAuth Server