実際のOAuth。 一般的なソーシャルネットワークを介したサイトユーザーの認証と承認

すべての機会に、またそれなしで登録を必要とするリソースに非常に疲れているのは、私だけではないと思います。 5回目からのみ正しく入力される必須のキャプチャ、電子メールによる確認、これは確実にスパムになり、1日後にのみになります。 新しいログインとパスワードのペアを忘れるたびに、すべてのサイトに同じものを入力することは安全ではありません。 一部の場所では、「qwerty：qwerty」や「login：password」のようなペアがロールバックされますが、悲しいかな、どこでもありません。 疲れた。 「登録ユーザーだけが****できる」という碑文を見た回数を数えません。単にこのサイトに二度とアクセスしないようにタブを曲げて閉じました。 リソース管理者自身はこれを理解していませんか？ しかし、OAuthテクノロジーはすでに6年前であり、インターネット視聴者の90％がOAuthをサポートするリソースの少なくとも1つにアカウントを持っています。 では、なぜ「ログイン」ボタンがすべてのリソースで利用できないのですか？ 私のサイトに調査をインストールしました それら。 少し投票しました（すべてのユーザーが独自の登録サイトを持っているわけではありません）が、承認にOAuthを使用するサイトが増えることを期待して、この記事を書くアイデアを得るのに十分です。 なぜなら：

• これは複雑な技術ではありません。 記事を最後まで読む力を見つけた人が、OAuthを1〜2日で独立してサイトにねじ込むことができるようになることを願っています。
• OAuthはHTTPに基づいています。 ほとんどのサービスプロバイダーは、デジタル署名すら必要ありません。つまり、GETおよびPOSTリクエストを作成する実際の機能は別として、何も必要ありません。 特別なライブラリなし。
• 彼らはあなたに登録します！ 別のサイトでユーザー名を使用するだけです。 サービスプロバイダーは、サイトで必要な特定のユーザー特性を提供していませんか？ したがって、最初の訪問とすべてのビジネスでこの特性を要求してください。 それ以外の場合、OAuthを介してログインしたユーザーは、通常の方法でログインしたユーザーと変わりません。
• OAuthプロトコルとその機能を詳細に説明することを目的としていませんでした。 これは、たとえばhereおよびhereのように、すでに繰り返し記述されています 。 特定の言語に縛られることなく、最も一般的なRunetソーシャルネットワークでのOAuthの実用的な実装の例を挙げたいと思います。
• さて、OAuthを必要としない7％については-この投稿を読んでいる100人の管理者のうち93人が自分のサイトにOAuthを実装していれば、私はもっと幸せになります:)

なぜOpenIDではなくOAuthなのですか？

OpenIDは、宣言された目的には実質的に役に立たないためです。 これは純粋に私の意見ですが、空きスペースに依存していません。
まず、OpenIDは主にオタクによって使用されます。オタクのインターネット上の割合は、サイトを再構築するほど高くありません（もちろん、いくつかの例外はありますが）:) OpenIDアカウントを取得するには、取得する必要があるためです。 OpenIDサーバーに移動し、いくつかのアクションを実行して、特定の、かなりわかりにくい文字セットを取得します。 （単純なユーザーの場合）複雑さにもかかわらず、使い慣れた絵文字が表示されたら忘れずに入力してください 。 さて、これを行うカジュアルユーザーは何でしょうか。 OAuthを使用すると、すべてがはるかに簡単になります。「VKontakte経由でログイン」ボタンが表示され、クリックするだけで、登録済みユーザーの権限で既にサイトにアクセスできます。 「もっとシンプルに」とクラシックは言いました、「そして人々はあなたのために手を伸ばすでしょう。」 彼が水をのぞき込んだとき。
第二に、OAuth機能は認証と承認に限定されるものではありません。 承認プロセス中にトークンを受け取ると、ソーシャルメディア機能をリソースにさらに統合するために使用できます-投稿の読み取り/書き込み、友人やウォールへのアクセスなど。
第三に、OpenIDはスパマーやハッカーによって積極的に使用されています。 多くの場合、リソースへのOpenID認証の実装は、既知の脆弱性に特別な注意を払うことなく、OpenIDプロバイダーのプロトコルの説明によって、または未知の誰かが作成したライブラリの助けを借りてのみ行われます。 たとえば、多くのサイトはOpenID入力からのキャプチャ入力を必要としません。 また、攻撃者がOpenIDサーバーを取得するのを妨げるものはありません。OpenIDサーバーは、すべての識別子を確認し、自動的に生成された識別子を使用して信頼できるサイトをスパムし始めます。 さらに、OpenID認証は、本質的に、クライアントに保証を与えるものではありません。 要求されたユーザーがOpenIDサーバーの1つに実際に登録されていることを確認するだけです-それだけです。 ユーザーに関する追加情報（電子メール、名前、年齢）を取得するメカニズムは使用可能ですが、サポートされているものはほとんどありません。 もちろん、OpenIDのアイデアに違反して、識別子を分析し、特定のOpenIDプロバイダー（たとえば、同じソーシャルネットワーク）のみを信頼することができます。 しかし、それらのほとんどすべてが（LJを除き、OpenIDによってユーザーについては何も語らない）OAuthをサポートしている場合、それは理にかなっています。 そこで、すべてのサイトからOpenIDサポートを削除しました。

ログインウィジェットではなくOAuthが使用されるのはなぜですか？

問題ありません。 ウィジェットの機能、設計、およびセキュリティレベルに満足している場合-実際にコードに組み込む方がはるかに簡単です-さらに読むことはできません。

どのように機能しますか？

すべての詳細に興味がある場合は、上記のリンクを参照してください。 一言で言えば：

1. サービスプロバイダーXXXにアクセスして、サイトを登録し、クライアントコードとシークレットコードを取得します。
2. サイトのボタン「XXXからログイン」をクリックすると、XXXサーバーとリクエストを交換し、ユーザーをXXXにリダイレクトしてパスワードを入力し、ログインしてWebサイトへのデータ転送を確認し、XXXサーバーから追加のユーザー情報をリクエストできるトークンを受け取ります。 詳細は、サービスプロバイダーでのOAuthの実装（サポートされているプロトコルバージョン、サポートされているストリームなど）に依存します。
3. 受信したトークンを使用して、名前、電子メール、生年月日、アバター、および登録時に通常必要なその他の情報がXXXサーバーから取得されます。 その後、標準関数を呼び出して新しいユーザーを追加できます。

OAuthライブラリを使用して、コードスニペットではなく生のHTTPを使用する理由

私は注文に苦しめられていたので、この非常に生のHTTPを1つまたは別のライブラリの使用を示すコードの断片からしばしば引き出しました。 各サーバーの特定のOAuth実装には独自の微妙な点があり、その前に最も柔軟なライブラリでも保存できます。 さらに、多くのウェブ言語、ライブラリがあります-さらに、すべての例を与えることは単に非現実的です。 また、任意のライブラリを使用するには、生のHTTP（ブレイン付き）で十分です。 反対は言えません。

実用的な実装ガイドライン

もちろん、まず第一に、ソーシャルネットワークに登録し、アカウントをアクティブにする必要があります。 時間をかけてください。 一部のサーバーは、新しく登録されたOAuthクライアントからの要求をすぐに正しく処理しません。 ここでは、成功したスレッドのみをペイントしましたが、エラー処理を忘れても価値はありません。 また、セキュリティの側面にもほとんど注意を払いませんでした-これは別の記事のトピックです。 少なくとも、各ユーザーのコールバックURLに一意のパラメーターを渡すことができる場合はいつでも、これを行う価値があります（メインコールバックアドレスは変更せず、パラメーターのみを変更する必要があります。 mod_rewrite）を使用する必要があります。また、stateパラメーターを使用して、追加のデータをコールバックスクリプト（このパラメーターがサポートされている場合）に転送する必要があります。 とりあえずこれらすべてを残しました。

VKontakte

1. ここに来てください 。 タイプ-「ウェブサイト」。 基本ドメインとWebサイトのアドレスを入力します。 設定ページで、client_id（アプリケーションID）とsecret_key（セキュアキー）を取得します。 2.次のようなボタンをコードに挿入します

<a href="http://oauth.vk.com/authorize?client_id={client_id}&redirect_uri=mysite.com/vklogin&response_type=code" title="  ">  </a>

response_type=code, token? response_type=token. vklogin? , , .
3. vklogin?
3.1. vklogin get- ( ) .

http://mysite.com/vklogin?code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a

http://mysite.com/vklogin?error=invalid_request&error_description=Invalid+display+parameter

, code,
3.2. https- ( POST, GET. , ) :

GET https://oauth.vk.com/access_token?client_id={client_id}&client_secret={secret_key}& code=7a6fa4dff77a228eeda56603b8f53806c883f011c40b72630bb50df056f6479e52a//

3.3. . , 200 OK . JSON, access_token user_id. ( ) GET — users.get API :

GET https://api.vk.com/method/users.get?uids={user_id}&fields=uid,first_name,last_name,nickname,screen_name,sex,bdate,city,country,timezone,photo&access_token={access_token}

3.4. ( ) - JSON . . — utf8, — , .
, , . API .

1. . OAuth . -. , , . , . «», ...
2. , , .
. «» , client_id(Application ID), public_key( ) secret_key( )
3. :

<a href="http://www.odnoklassniki.ru/oauth/authorize?client_id={client_id}&response_type=code&redirect_uri=http://mysite.com/oklogin" title="">  </a>

4. oklogin
3.1. code.
3.2. POST :

http://api.odnoklassniki.ru/oauth/token.do

:

code={code}&redirect_uri=http://mysite.com/oklogin&grant_type=authorization_code&client_id={client_id}&client_secret={secret_key}

3.3. JSON , access_token. GET-:

GET http://api.odnoklassniki.ru/fb.do?method=users.getCurrentUser&access_token={access_token}&application_key={public_key}&sig={sign}

sign — md5-

sign=hex_md5('application_key={public_key}method=users.getCurrentUser'+hex_md5({access_token}+{secret_key}))

-, .
3.4. JSON- , , , . — utf8;
users.getCurrentUser . API . , , .

Facebook

1. « ». App Domains () (). «Website with Facebook Login» url . client_id (App ID) secret_key (App Secret). «Auth Dialog» «Authenticated Referrals» «code» «Auth Token Parameter».
2. :

https://www.facebook.com/dialog/oauth?client_id={client_id}&redirect_uri=mysite.com/fblogin&response_type=code

3.fblogin.
3.1. code.
3.2. GET

GET https://graph.facebook.com/oauth/access_token?client_id={client_id}&redirect_uri=http://mysite.com/fblogin&client_secret={client_secret}&code={code}

3.3. (param1=value1¶m2=value2). access_token, GET-:

GET https://graph.facebook.com/me?access_token={access_token}

3.4. JSON- , , , . — NFC ( \u0410\u0401\u0419)
API ( ) .

Twitter

1. . , , -. «Create my access token».

, . . ??? twitter - OAuth-. , ( Net::OAuth ) .

1. OAuth 1.0 . « Twitter» , POST-

https://api.twitter.com/oauth/request_token

:

Authorization:OAuth oauth_callback=«http%3A%2F%2Fmysite.com%2Ftwlogin», oauth_consumer_key="{consumer_key}", oauth_nonce="{nonce}", oauth_signature_method=«HMAC-SHA1», oauth_timestamp="{time}", oauth_signature="{sign}", oauth_version=«1.0»

oauth_callback — escape-uri - ;
consumer_key ;
nonce — base64 , , , 32, , ;
time — unix- ( , , «» , « »);
sign — HMAC-SHA1 .
nonce — .
1.1. . , escape-, '&'. :

{_}&{escape-uri }&{escape- }

, escape- . , , :

str='POST&https%3A%2F%2Fapi.twitter.com%2Foauth%2Frequest_token&oauth_callback%3D{http%253A%252F%252Fmysite.com%252Ftwlogin}%26oauth_consumer_key%3D{consumer_key}%26oauth_nonce%3D{random base64 srting}%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D{time}%26oauth_version%3D1.0'

1.2. , hmac_sha1 (, , ) 64. - :

str1=hmac_sha1(str,Consumer_secret+'&'+OAuth_token_secret,64).

OAuth token secret- , , Consumer secret '&'. ( ) base_64 , escape-. . .
2. , oauth_token=XXXXX.

https://api.twitter.com/oauth/authenticate?oauth_token=XXXXX

3. twlogin, :
3.1. oauth_token oauth_verifier ( )
3.2. POST-

https://api.twitter.com/oauth/access_token

Authorization:OAuth oauth_consumer_key="{consumer_key}", oauth_nonce="{random base64 string}", oauth_signature_method=«HMAC-SHA1», oauth_timestamp="{time}", oauth_signature="{sign}", oauth_token="{oauth_token}", oauth_version=«1.0»'

, :

oauth_verifier={oauth_verifier}

oauth_token oauth_verifier , , sign

str='POST&https%3A%2F%2Fapi.twitter.com%2Foauth%2Faccess_token&oauth_consumer_key%3D{consumer_key}%26oauth_nonce%3D{random base64 string}%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D{time}%26oauth_token%3D{oauth_token}%26oauth_verifier%3D{oauth_verifier}%26oauth_version%3D1.0';

3.3. , . GET-

GET https://api.twitter.com/1/users/lookup.json?user_id={user_id}

Authorization:OAuth oauth_consumer_key="{consumer_key}", oauth_nonce="{random base64 string}", oauth_signature_method=«HMAC-SHA1», oauth_timestamp="{time}", oauth_signature="{sign}", oauth_token="{oauth_token}", oauth_version=«1.0»'

user_id oauth_token ,

str='GET&https%3A%2F%2Fapi.twitter.com%2F1%2Flookup.json&oauth_consumer_key%3D{consumer_key}%26oauth_nonce%3D{random base64 string}%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D{time}%26oauth_token%3D{oauth_token}%26oauth_version%3D1.0%26user_id%3D{user_id}'

, , oauth_token_secret:

str1=hmac_sha1(str,Consumer_secret+'&'+OAuth_token_secret,64)

3.4. JSON- , , . API .

Mail.ru ()

1. . , receiver.html, . receiver.html — , JS API, , , , receiver.html , . client_id (ID) secret_key ( ).2. :

<a href="https://connect.mail.ru/oauth/authorize?client_id={client_id}&response_type=code&redirect_uri=http%3A%2F%2Fmysite.com%2Fmmlogin">  MailRu</a>

3. mmlogin
3.1. code.
3.2. POST :

https://connect.mail.ru/oauth/token

:

client_id={client_id}&client_secret={secret_key}&grant_type=authorization_code&code={code}&redirect_uri=http://mysite.com/mmlogin

3.3. JSON , access_token. GET-:

GET http://www.appsmail.ru/platform/api?method=users.getInfo&secure=1&app_id={client_id}&session_key={access_token}&sig={sign}

sign — md5-

sign=hex_md5('app_id={client_id}method=users.getInfosecure=1session_key={access_token}{secret_key}')

hex string.
3.4. JSON- , , , . — utf8;
API ( ) .

1. . .. .
client_id(Id ) secret_key( ).
2. :

<a href="https://oauth.yandex.ru/authorize?response_type=code&client_id={client_id}" title="">  </a>

3. yalogin
3.1. code.
3.2. POST :

https://oauth.yandex.ru/token

:

grant_type=authorization_code&code={code}&client_id={client_id}&client_secret={secret_key}

3.3. JSON , access_token. GET-:

GET https://login.yandex.ru/info?format=json&oauth_token={access_token}

3.4. JSON- , , email, . (, . . . — c, — « » .) — NFC-. , json- . , ,

email : xxx@ttt.com

. , RFC JSON , — - .
API yandex.login .

Google

1. . . API access «Create an OAuth2 client ID». client_id(Client ID) secret_key(Client Secret).
2. :

<a href="https://accounts.google.com/o/oauth2/auth?redirect_uri=http%3A%2F%2Fmysite.com%2Fgglogin&response_type=code&client_id={client_id}&scope=https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.profile" title="  Google">  Google</a>

3. gglogin
3.1. code.
3.2. POST :

https://accounts.google.com/o/oauth2/token

:

code={code}&client_id={client_id}&client_secret={secret_key}&redirect_uri=http://mysite.com/gglogin&grant_type=authorization_code

Content-type:application/x-www-form-urlencoded

3.3. JSON , access_token. GET-:

GET https://www.googleapis.com/oauth2/v1/userinfo?access_token={access_token}

3.4. JSON- .
API - .

. , .
, , OAuth. , , .
perl, , OAuth — . — .