OAuth2.0实践之foursquare客户端登录
之前谈的两篇《Authentication和Authrization(上)、(下)》以空谈为主,算是一个开头,原文最后有说要一一整些实现出来的。那么现在就开始吧,不过介绍的顺序则先从相对简单的OAuth 2.0开始。
foursquare 第一版的API是基于BasicAuth的,也就是基于HTTP Authentication的一种基本验证方式,这种方式的优点是非常简单,只要在HTTP Header里加一个字段就行了,但缺点是用户名密码会被直接暴露在传输过程中,虽然经过了Base64编码,但是解码它是一件非常容易的事情,除非使用 HTTPS,否则是非常不安全的。
之前因为我用的手机是智障机,跑不了官方客户端,官方网页端又被墙,用起来很不方便,所以自己参考了dabr的代码,用PHP4写过一个网页客户端程序。
不 过后来foursquare出于安全和功能考虑,完全抛弃了第一版的API,推出了全新的第二版API。这个版本的特点是:完全重新设计了API的架构, 更加符合REST规范,特别是身份验证改用了更安全的OAuth 2.0,并且使用了HTTPS。到今年8月1号的时候,foursquare关闭了对第一版API的支持,全面转到第二版API。为了让我的程序能够继续 使用,我不得不赶在这一转换之前几天,把程序完全改写了——顺便增加了一些功能。
当然,本文不打算详细讨论foursquare的API,只谈谈登录的部分。
根据foursquare的Authentication文档说明,全部的过程可以分为三大步:
1、在foursquare注册一个应用,取得一个client_id;
2、通过OAuth 2.0验证,取得access_token;
3、使用access_token调用foursquare API。
其中第一步没什么好说的,照着说明去做就是了,这里要从技术上讨论的主要是第二步,并且需要用第三步来验证第二步的结果。
单就第二步取得access_token来说,也可以分为以下步骤:
1、 先转向到foursquare的授权页面,并提交client_id和redirect_uri(其它参数见文档或代码)。redirect_uri为验 证通过后的回调链接,即在注册应用时提供的那个回调链接,通常二者需要保持一致,不过只要client_secret保管好,即使这里允许不一致(说明: 我倒没试过不一致会如何)也不会导致client_id被盗用;
2、foursquare收到请求后根据以下情况作出判断:如果你还未登录foursquare,则提示你登录;如果你已经登录,但未授权此应用,则提示你是否要授权;如果已经授权,则重向到redirect_uri,并同时提交一个code;
3、 应用收到转来的请求后就可以向foursquare请求获取access_token了,请求参数包括 client_id,client_secret(相当于应用密码,这个一定要保管好),code等(其它参数见文档或代码),只要这个code没错,就 可以取得access_token。
之后就可以用这个access_token去调用foursquare API了。
需要注意的是:这个access_token是一个用户对一个应用授权的唯一标识,一定要保管好,不可泄露。当然,如果万一泄露,应用的开发者应该及时到foursquare的应用管理页面重新生成client_id/client_secret。
具体的登录代码如下:
function login_foursquare() {
session_start();
$GLOBALS['user']['type'] = 'oauth';
$oauth_code = $_GET['code'];
if (isset($oauth_code)) { // 来自foursquare的回调请求含有code参数
$params = array('client_id' => OAUTH2_CLIENT_ID,
'client_secret' => OAUTH2_CLIENT_SECRET,
'grant_type' => 'authorization_code',
'redirect_uri' => CALLBACK_URL,
'code' => $oauth_code);
$result = do_sf_process(SF_OAUTH2.'access_token?'.http_build_query($params)); // 向foursquare请求access_token
$access_token = $result->access_token;
$redir = $_SESSION['redir'];
unset($_SESSION['redir']);
$GLOBALS['user']['password'] = $access_token;
sf_user_info();
_user_save_cookie(1);
header('Location: '. $redir);
exit();
} else { // 来自用户的登录访问,不含code参数
_user_decrypt_cookie($_COOKIE['USER_AUTH']);
$redir = isset($_GET['redir']) ? $_GET['redir'] : $_SERVER['HTTP_REFERER'];
$_SESSION['redir'] = $redir;
$authorise_url = SF_OAUTH2.'authenticate?'.http_build_query(
array( 'client_id' => OAUTH2_CLIENT_ID,
'response_type' => 'code',
'redirect_uri' => CALLBACK_URL));
header("Location: $authorise_url"); // 重定向到foursquare的授权页面
}
}
至于取得access_token以后的API调用,所要做的事情就只是把access_token附加到每次调用的参数里即可。
function user_oauth_sign(&$url, &$args) {
$method = $args !== false ? 'POST' : 'GET';
if (preg_match_all('#[?&]([^=]+)=([^&]+)#', $url, $matches, PREG_SET_ORDER)) {
foreach ($matches as $match) {
$args[$match[1]] = $match[2];
}
$url = substr($url, 0, strpos($url, '?'));
}
$args['oauth_token'] = $GLOBALS['user']['password'];
if ($method == 'GET'){
$url = $url."?".http_build_query($args);
$args = false;
}
}
function sf_process($url, $post_data = false) {
if (user_type() == 'oauth' && (strpos($url, SF_API) !== false)) {
user_oauth_sign($url, $post_data);
}
$result = do_sf_process($url, $post_data);
return $result->response;
}
整个客户端代码下载在Google Code。
推送到[go4pro.org]