OAuth 在图书馆的应用 厦门大学图书馆技术部 肖铮
OAuth在图书馆的应用 OAuth介绍 利用OAuth实现第三方账号在图书馆系统的登录 基于OAuth的应用扩展
OAuth是什么 Open Authentication OAuth是一个开放标准 http://oauth.net OAuth是user,consumer, provider组成的三方体系。OAuth用来授权需要登录访问某些服务,基于令牌模式的授权。
OAuth产生的背景 随着Web服 务的增多,用户希望这些服务能够协同工作来满足新的需求。没 有任何一个站点可以完美地满足用户的所有需求,用户可以使用一个站点保 存照片,一个存放视频, 一个收发邮件等等。为了实现这种整合,一个站点 需要访问另一个站点的用户资源,而这些资源经常是受保护的(家庭照片、 工作文档、银行记录)。他们需要一个 能进入这些站点的授权。 一个实例:Basic Auth要求Twitter应用把用户名和口令直接附加在HTTP或 HTTPS协议头中发送给Twitter API。这样,Twitter应用势必要求用户在其 应用中输入自己的Twitter用户名和口令,从而可以把Twitter的用户名和口 令附加在 HTTP(S)协议中发送给Twitter。这样Twitter应用开发者就能知道 使用了他的Twitter应用的用户的所有用户名和密码,这样开发者就 能随意 使用这些Twitter账号登陆Twitter做任何操作了。比如,可以修改用户的 Twitter密码,甚至直接去Twitter的 Settings中删除这个帐号。这将带来潜 在的安全性题。 http://zh.wikipedia.org/wiki/OAuth OAuth开始于2006年11月,当时布莱恩·库克(Blaine Cook)正在开发Twitter的OpenID实现。与此同时,Ma.gnolia(一个已经关闭的书签服务网站)需要一个解决方案允许使用OpenID的成员授权Dashboard访问他们的服务。这样库克、克里斯·梅西纳(Chris Messina)和来自Ma.gnolia的拉里·哈尔夫(Larry Halff)与戴维·雷科尔顿(David Recordon)会面讨论在Twitter和Ma.gnolia API上使用OpenID进行委托授权。 他们讨论得出还没有一个开放标准完成API访问的授权。 2007年4月,成立了OAuth讨论组,这个由实现者组成的小组撰写了一个开放协议的提议草案。来自Google的德维特·克林顿(DeWitt Clinton)获悉OAuth项目后,表示他有兴趣支持这个工作。2007年7月,团队起草了最初的规范。随后,Eran Hammer-Lahav加入团队并协调了许多OAuth的稿件,创建了更为正式的规范。2007年10月3日, OAuth核心 1.0最后的草案发布了。 2008年11月,在明尼阿波利斯举行的互联网工程任务组第73次会议上, 举行了OAuth的BoF[1]讨论将该协议纳入IETF做进一步的规范化工作。 这个会议参加的人很多,关于正式地授权在IETF设立一个OAuth工作组这一议题得到了广泛的支持。 2010年4月,OAuth 1.0协议发表为RFC 5849,一个非正式RFC。
OAuth的版本 2007年12月4日发布了OAuth Core 1.0: 此版本的协议存在严重的安全漏洞:OAuth Security Advisory: 2009.1,更详细的介绍可以参考:Explaining the OAuth Session Fixation Attack。 2009年6月24日发布了OAuth Core 1.0 Revision A: 2010年4月,OAuth 1.0协议发表为RFC 5849,一个非正式RFC。 目前,OAuth2.0协议是OAuth的下一个全新版本,与OAuth1.0并 不兼容,目前还不稳定。OAuth 2.0能够同时支持“Web应用、桌面 应用、移动终端、家庭设备”等等。OAuth 2.0将成为未来开放平台 领域标准的授权协议,并且随着技术发展,这将不仅仅是一个简单的 协议,而会成为一个解决各种环境下授权问题的标准的协议族。
OAuth中的三种角色 Service Providers(服务提供方):拥有某些需要 授权才能使用的API的一方 Consumers(应用程序方):希望使用API的一方 Users(最终用户):资源的拥有者
OAuth工作流程
OAuth应用现状 Twitter,Google,Facebook, Flickr,MSN, Foursquare …… Sina,QQ,人人,豆瓣,网易,百度,天涯,淘 宝,Sohu,开心网……
OAuth在图书馆的应用 图书馆是否需要OAuth? 图书馆如何应用OAuth?
Sina微博账号登录 http://open.weibo.com/authentication/
Sina微博账号登录技术实现
Sina微博账号OAuth流程图 http://open.weibo.com/wiki/Oauth
Sina微博账号OAuth技术细节 新浪微博要求所有的OAuth请求都使用HMAC- SHA1算法生成签名。 关于具体技术细节可参加 http://open.weibo.com/wiki/Oauth
图书馆账号与Sina微博账号的关联
通过Sina微博OAuth获取微博账号
绑定Sina微博账号与图书馆账号
成功绑定后,可使用微博账号登录
使用效果 sina绑定数:342 qq绑定数:256 renren绑定数:174
开发心得 与现有系统账号的绑定处理流程 使用SDK
使用Sina微博API还可以…… 广播借阅信息 私信超期提醒 ……
谢谢 肖 铮 zhx@xmulib.org