PHP版OAuth认证协议中的HMACSHA1加密算法(签名方法)

2010-8-3 寒川 网页编程

鼓捣微博API的时候接触到OAuth认证协议,其中的HMACSHA1加密算法(签名方法)百度上找的,分享出来,也许以后有用。呵呵。。。。

<?php

function hmacsha1($key,$data) {
    $blocksize=64;
    $hashfunc='sha1';
    if (strlen($key)>$blocksize)
        $key=pack('H*', $hashfunc($key));
    $key=str_pad($key,$blocksize,chr(0x00));
    $ipad=str_repeat(chr(0x36),$blocksize);
    $opad=str_repeat(chr(0x5c),$blocksize);
    $hmac = pack(
                'H*',$hashfunc(
                    ($key^$opad).pack(
                        'H*',$hashfunc(
                            ($key^$ipad).$data
                        )
                    )
                )
            );
    return $hmac;
}

?>

标签: 微博API OAUTH HMACSHA1签名方法 HMACSHA1

评论(1) 浏览(15012)

OAuth认证协议原理分析及使用方法(转)

2010-8-3 寒川 网页编程

随着微博的盛行,各大网站都推出了自己的微博,而且大多微博都开放自己的API,怎样才能更安全地使用这些微博API是个问题。昨晚看了新浪、搜狐、嘀咕的API,发现都提供BASIC、OAUTH两种认证方式,BASIC倒是很好用,不过貌似安全性能比OAUTH认证方式差了好多。现在有空,转点OAUTH认证的放在博客中,慢慢研究。下面内容为转载:


OAuth是什么?

OAuth是一个开放的认证协议,让你可以在Web或桌面程序中使用简单而标准的,安全的API认证。

OAuth有什么用?为什么要使用OAuth?

网络开放是一个不变的趋势,那么不可避免的会有各种网络服务间分享内容的需要。

举个我们身边国内的例子吧:比如人人网想要调用QQ邮箱的联系人列表,现在的方法是你需要在人人网输入你的QQ号,QQ密码才能调用,虽然网站上可能都自谓“不保留QQ用户名密码”,但是大家信吗?

OAuth就是为了解决这个问题而诞生的,用户访问第三方资源,不再需要网站提交你的用户名,密码。这样好处自己是安全,而且不会泄露你的隐私给不信任的一方。

OAuth原理

OAuth中有三方:一,用户;二,Consumer(不知杂翻译,类似上面的 twitterfeed 角色);三,服务提供商。

一,Consumer 向 服务提供商 申请接入权限

可得到:Consumer Key,Consumer Secret。twitter申请oauth的话,在 setting - connection - developer 里面申请。 同时给出三个访问网址:

  1. request_token_url = 'http://twitter.com/oauth/request_token'
  2. access_token_url = 'http://twitter.com/oauth/access_token'
  3. authorize_url = 'http://twitter.com/oauth/authorize'

二,当Consumer接到用户请求想要访问第三方资源(如twitter)的时候

Consumer需要先取得 请求另牌(Request Token)。网址为上面的 request_token_url,参数为:

  1. oauth_consumer_key:Consumer Key
  2. oauth_signature_method:签名加密方法
  3. oauth_signature:加密的签名 (这个下面细说)
  4. oauth_timestamp:UNIX时间戳
  5. oauth_nonce:一个随机的混淆字符串,随机生成一个。
  6. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
  7. oauth_callback:返回网址链接。
  8. 及其它服务提供商定义的参数

这样 Consumer就取得了 请求另牌(包括另牌名 oauth_token,另牌密钥 oauth_token_secret。

三,浏览器自动转向服务提供商的网站:

网址为 authorize_url?oauth_token=请求另牌名

四,用户同意 Consumer访问 服务提供商资源

那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token (就是请求另牌),及 oauth_verifier(验证码)。 

五,现在总可以开始请求资源了吧?

NO。现在还需要再向 服务提供商 请求 访问另牌(Access Token)。网址为上面的 access_token_url,参数为:

  1. oauth_consumer_key:Consumer Key
  2. oauth_token:上面取得的 请求另牌的名
  3. oauth_signature_method:签名加密方法
  4. oauth_signature:加密的签名 (这个下面细说)
  5. oauth_timestamp:UNIX时间戳
  6. oauth_nonce:一个随机的混淆字符串,随机生成一个。
  7. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
  8. oauth_verifier:上面返回的验证码。
  9. 请求 访问另牌的时候,不能加其它参数。

这样就可以取得 访问另牌(包括Access Token 及 Access Token Secret)。这个就是需要保存在 Consumer上面的信息(没有你的真实用户名,密码,安全吧!)

六,取得 访问令牌 后,

Consumer就可以作为用户的身份访问 服务提供商上被保护的资源了。提交的参数如下:

  1. oauth_consumer_key:Consumer Key
  2. oauth_token:访问另牌
  3. oauth_signature_method:签名加密方法
  4. oauth_signature:加密的签名 (这个下面细说)
  5. oauth_timestamp:UNIX时间戳
  6. oauth_nonce:一个随机的混淆字符串,随机生成一个。
  7. oauth_version:OAuth版本,可选,如果设置的话,一定设置为 1.0
  8. 及其它服务提供商定义的参数

OAuth安全机制是如何实现的?

OAuth 使用的签名加密方法有 HMAC-SHA1,RSA-SHA1 (可以自定义)。拿 HMAC-SHA1 来说吧,HMAC-SHA1这种加密码方法,可以使用 私钥 来加密 要在网络上传输的数据,而这个私钥只有 Consumer及服务提供商知道,试图攻击的人即使得到传输在网络上的字符串,没有 私钥 也是白搭。

私钥是:consumer secret&token secret  (哈两个密码加一起)

要加密的字符串是:除 oauth_signature 外的其它要传输的数据。按参数名字符排列,如果一样,则按 内容排。如:domain=kejibo.com&oauth_consumer_key=XYZ&word=welcome......................

前面提的加密里面都是固定的字符串,那么攻击者岂不是直接可以偷取使用吗?

不,oauth_timestamp,oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce(混淆码)是否已经被使用。

那么这样攻击者就无法自已生成 签名,或者偷你的签名来使用了。


转载源:http://kejibo.com/oauth/

标签: 微博API 微博 OAUTH

评论(4) 浏览(12654)

php curl利用嘀咕、搜狐微博API发布微博

2010-8-3 寒川 网页编程

嘀咕、搜狐微博API使用昨晚简单地研究了一下,下面是用php curl利用嘀咕、搜狐微博API发布微博,具体如下:

<?php

$username = 'xieyanwei51';
$password = '123456;
$content='别怕,这是PHP利用API发送的微博!';

//以下是SOHU微博API的使用。 
$url = 'http://api.t.sohu.com/statuses/update.xml';
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($curl, CURLOPT_USERPWD, "$username:$password");
curl_setopt($curl, CURLOPT_POSTFIELDS,'status='.urlencode($content)) ;
curl_setopt($curl, CURLOPT_HEADER, 0);//1显示头,0不显示头。
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);//禁止返回status的状态。
curl_exec($curl);
curl_close($curl);

//以下是嘀咕API的使用。
$url = 'http://api.minicloud.com.cn/statuses/update.format';
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($curl, CURLOPT_USERPWD, "$username:$password");
curl_setopt($curl, CURLOPT_POSTFIELDS,'content='.urlencode('sorry for emlog')) ;
curl_setopt($curl, CURLOPT_HEADER, 0);//1显示头,0不显示头。
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);//禁止返回status的状态。
curl_exec($curl);
curl_close($curl);

?>

标签: php api 微博 嘀咕API 搜狐微博API

评论(0) 浏览(25169)

php curl写个新浪发sina微博的API接口

2010-7-31 寒川 网页编程

一直没得到新浪微博API Key,自己用php curl写个新浪发sina微博的API接口,发出来分享,和《封装一个php发QQ微博的类 》是一个原理,几乎一模一样了。废话不多说,直接上菜:
<?php

/*

*How to use?

*publish("username","password","have a test.");

*Copy Right 寒川

*URL:http://huikon.cn

*/

function publish($username, $password, $content=''){//发布
    $referURL = 'http://t.sina.com.cn';
    $url = 'http://t.sina.com.cn/mblog/publish.php';
    $fields = array(
    'content'=>urlencode($content) ,
    );
    $fields_string = '';
    foreach($fields as $key=>$value) { $fields_string .= $key.'='.$value.'&amp;' ; }
    rtrim($fields_string ,'&amp;') ;
    $fields_string = substr($fields_string, 0,-5);
   
    $cookie_jar = login($username, $password);

    $curl = curl_init($url) ;
    curl_setopt($curl, CURLOPT_POST,count($fields)) ;
    curl_setopt($curl, CURLOPT_POSTFIELDS,$fields_string) ;
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEFILE, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_REFERER, $referURL);
    curl_exec($curl);
    curl_close($curl);
    unlink($cookie_jar);
}

function login($username, $password){//登录
    $loginURL = 'https://login.sina.com.cn/sso/login.php?username='.$username.'&password='.$password.'&returntype=TEXT';
    $curl = curl_init($loginURL);
    $cookie_jar = tempnam('.', 'cookie');
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_HEADER, 0);
    curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_TIMEOUT, 10);
    curl_exec($curl);
    curl_close($curl);
    return $cookie_jar;
}

?>

标签: php api curl 新浪微博 微博API

评论(4) 浏览(14856)

Qzone日志插件发布了

2010-7-30 寒川 网页编程

昨天一朋友生日,晚出来了一点发布此插件。现在试试效果如何。。。。同时愿鹏生日快乐!

标签: Qzone emlog插件

评论(10) 浏览(9293)

php过滤html标签

2010-7-23 寒川 网页编程

要过过滤html标签,php是很容易办到的,strip_tags()函数就能解决,但是有时候还是不够,网上百度来了一个更爽的,贴出来。。。。
<?php

function kill_html($str){   //清除HTML标签
$st=-1; //开始
$et=-1; //结束
$stmp=array();
$stmp[]="&nbsp;";
$len=strlen($str);
for($i=0;$i<$len;$i++){
   $ss=substr($str,$i,1);
   if(ord($ss)==60){ //ord("<")==60
    $st=$i;
   }
   if(ord($ss)==62){ //ord(">")==62
    $et=$i;
    if($st!=-1){
     $stmp[]=substr($str,$st,$et-$st+1);
    }
   }
}
$str=str_replace($stmp,"",$str);
return $str;
}

?>

标签: 脚本 编程 php过滤 html标签

评论(0) 浏览(13450)

php判断远程文件是否存在

2010-7-21 寒川 网页编程

<?php
function check_file($host,$file)
{
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if (!$fp) {
   echo "$errstr ($errno)<br />\n";
} else {
    $out = "HEAD /$file HTTP/1.1\r\n";// or $out = "HEAD /index.xxx HTTP/1.1\r\n";
    $out .= "Host: $host\r\n";
    $out .= "Connection: Close\r\n\r\n";
    fwrite($fp, $out);
        $response = explode(" ",fgets($fp, 128));
    fclose($fp);
      return $response[2];
}
}

echo check_file('huikon.cn','index.php');
?>

本函数用于判断远程文件是否存在。

标签: php 编程

评论(2) 浏览(13493)

Powered by emlog 蜀ICP备12030225号

川公网安备 51042102000001号

sitemap