浅谈开发中使用OAuth2.0获得GitHub授权

一、问题来源

最近学习安卓开发，正在进行的项目是复刻OpenHub，复刻OpenHub中，需要使用GitHub的开放API，得不到授权的话，无法使用其API，这里就要我们想办法获取GitHub的授权。

二、为什么使用OAuth2.0？

使用OAuth2.0有两个原因，其一当然是因为OAuth2.0的优点，与OAuth1.0相比，OAuth2.0更为简单且规范，适合移动端开发。但最重要的一点还是因为GitHub将在11月13日关闭账户密码的验证API，要求开发者必须通过OAuth2.0来获取认证信息。如下图：

GitHub对认证的说明

三、OAuth2.0认证的流程

GitHub提供了授权码方式来进行授权认证，这种方式主要包括以下几步流程：

1. 第三方应用先申请应用ID和应用密钥
2. 应用通过这对ID和密钥以及一串随机字符串，引导用户跳转到GitHub的授权页面
3. 用户在授权页面完成登录授权，网站跳转回第三方应用的指定网站，同时携带code
4. 应用拿到code后，使用授权码向GitHub请求令牌（access_token）
5. GitHub根据授权码返回access_token

经过以上5步，第三方应用客户端便可以通过把access_token放到请求头的Authorization字段的方式，去使用GitHub的开放API了。

四、具体的开发实现

4.1 第一步，申请GitHub的应用授权码

在GitHub的Setting页面，找到左侧的 Developer settings，再点击页面中的OAuth Apps，点击New OAuth App注册需要进行授权的App。以我目前做的项目ExtraHub为例，在页面中填好name，URL，和callback信息，其中的callback就是授权后跳转到的页面，跳转时会携带code参数。因为我们做的是安卓app，所以这里需要填写应用的schema信息，所谓schema，就是通过浏览器打开这个网址，会主动吊起相应app的地址，只需要在app设置好即可。如果做的是前端开发，这里可以暂时填写locahost，跳转到进行登录鉴权处理的页面。如下图：

注册app信息

点击注册后，github会返回Client ID和Client secrets信息，这两串代码需要保存好，我们跳转到GitHub的授权界面，靠的就是它们。如图：

image.png

同时，应用名称，URL以及callback的地址，都是可以更改的，后期项目可以随时修改。

4.2 第二步 使用Client ID和Client secrets跳转到鉴权页面

此处我们使用WebView的方式打开登录鉴权页面，首先拼接登录鉴权页面链接，其中的OAUTH2_URL是https://github.com/login/oauth/authorize，这个页面就是GitHub用来鉴权的页面，后面需要附带申请得到的Client ID，以及需要授权的范围信息sope，同时还要有一段随机字符串，用来代表state，这个字符串可以在GitHub跳转回来时，用来判断是否通过此链接进行过授权。

    //拼接登录鉴权页面链接
    private String getOAuth2Url(){
        String randomState = UUID.randomUUID().toString();
        return AppConfig.OAUTH2_URL +
                "?client_id=" + AppConfig.EXTRAHUB_CLIENT_ID +
                "&scope=" + AppConfig.OAUTH2_SCOPE +
                "&state=" + randomState;
    }

然后通过这个页面打开WebView:

public static void openInWebview(@NonNull Context context, @NonNull String url){
        Intent intent = new Intent(context, LoginWeb.class);
        intent.putExtra("url",url);
        ((Activity)context).startActivityForResult(intent,1);
    }

在这个页面便可以进行登录授权，如图

登录授权页面

4.3 拿到网站跳转带回的code

输入账号密码，点击授权，会跳转到之前设置的callback页面，当然，在安卓app开发中，我们可以截获这次跳转，只需要拿到code就完成了我们的目的。
我们可以这样截获跳转：

webView.setWebViewClient(new WebViewClient(){
            @Override
            public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
                if ("extrahub".equals(request.getUrl().getScheme())) {
                    Intent intent = new Intent();
                    intent.putExtra("code", request.getUrl().getQueryParameter("code"));
                    intent.putExtra("state",request.getUrl().getQueryParameter("state"));
                    setResult(RESULT_OK, intent);
                    finish();
                    return true;
                }else {
                    return false;
                }
            }
        });

里面的state就是我们上一步发送的随机字符串，而这个code就是我们获取token的关键。

4.4 使用code向GitHub请求access_token

GitHub对这一步说明的很详细，这一步需要发送post请求，包括5个参数如下：

请求参数

其中的redirect_uri是不必须的，因为我们是app，所以可以没有返回链接只需要记录下返回的access_token、scope和token_type就好了，需要的话，也可以请求得到expires_in、refresh_token、refresh_token_expires_in等信息。

4.5 使用access_token发送请求

拿到access_token后，就需要将access_token和token_type放到以后的请求头里面，为了方便以后的请求方便，我建立了单例的Request.Builder，代码如下：

private static Request.Builder builder;
    public static Request.Builder getBuilder(String token_type, String access_token){
        if (builder == null) {
            synchronized (BaseRequestBuilder.class) {
                if (builder == null) {
                    builder = new Request.Builder()
                            .url(AppConfig.GITHUB_API_BASE_URL)
                            .addHeader("Accept", "application/json")
                            .addHeader("Content-Type", "application/json")
                            .addHeader("Authorization", token_type + " " + access_token);
                }
            }
        }
        return builder;
    }
    public static Request.Builder getBuilder(){
        return builder;
    }

注意token_type和access_token之间有一个空格。这样以后每次发请求，只需要调用BaseRequestBuilder.getBuilder();就可以得到Builder，然后构建自己的请求体。

五、总结

这一次做OAuth2.0的鉴权，走了很多坑，光是打开鉴权页面，就换了三种方式最后才成功，只能说国内生态对谷歌的开发风格还是不够友好。想到目前网上并没有很详细的OAuth2.0鉴权流程，于是就写了出来，也方便大家查阅指正。这种实现方案当然不够优美，只是够用而已。