授权请求标头OAuth 2.0

时间:2012-04-11 08:22:36

标签: android oauth oauth-2.0

我正在尝试在我正在处理的项目上实施OAuth 2.0。我能够使用身份验证服务器进行身份验证但是我遇到资源服务器问题。我们正在使用MAC令牌(spec)。您可以在规范3.1中看到我需要发送包含以下内容的授权请求标头。我无法理解这一点。有人能告诉我我在这里想做什么吗?

credentials = "MAC" [ RWS 1#param ]
param = id /
nonce /
body-hash /
ext /
mac
id = "id" "=" <"> plain-string <">
nonce = "nonce" "=" <"> 1*DIGIT ":" plain-string <">
body-hash = "bodyhash" "=" <"> plain-string <">
ext = "ext" "=" <"> plain-string <">
mac = "mac" "=" <"> plain-string <">
plain-string = 1*( %x20-21 / %x23-5B / %x5D-7E )

更新

我觉得我到了某个地方,但觉得我还没有解决这个问题。

所以我正在构建类似下面的内容

StringBuilder header = new StringBuilder("MAC ").append("id=\"").append(sharedPrefs.getString(Constants.ACCESS_TOKEN, "error")).append("\",nonce=\"").append(createNonce()).
                append("\",bodyhash=\"").append(bodyHash).append("\",mac=\"").append(mac).append("\"");

我像这样计算身体哈希

public static String SHA256(String text) throws  UnsupportedEncodingException  { 
        MessageDigest md = null;
        try {
            md = MessageDigest.getInstance("SHA-256");
        } catch (NoSuchAlgorithmException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        byte[] shahash = new byte[40];
        md.update(text.getBytes("iso-8859-1"), 0, text.length());
        shahash = md.digest();
        return Base64.encodeToString(shahash, Base64.DEFAULT);
}

和mac一样

private String hmacSHA256(String data) throws Exception {
    String key = sharedPrefs.getString(Constants.SECRET, "error");
    SecretKeySpec secretKey = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256");
    Mac mac = Mac.getInstance("HmacSHA256");
    mac.init(secretKey);
    byte[] hmacData = mac.doFinal(data.getBytes("UTF-8"));
    //Log.i(TAG, "BYTE ARRAY TO STRING: " + Base64.encodeToString(hmacData, Base64.DEFAULT));
    String value = Base64.encodeToString(hmacData, Base64.DEFAULT);
    return value;
}

我遇到问题,因为服务器没有响应。这真的让我发疯,我无法想象这个文档对任何人都很清楚。

1 个答案:

答案 0 :(得分:1)

您需要注意 MAC access authentication scheme 是oauth2协议的扩展,类似于 HTTP基本访问 ,但是是可选的,因此不需要在每个资源服务器中实现它。

因此,如果您发出未经身份验证的请求资源服务器会回复:

HTTP/1.1 401 Unauthorized 
WWW-Authenticate: MAC

MAC表示您允许使用此方案进行身份验证。

目前为基于oauth2的资源服务器实施的最常见的身份验证方案是:bearer


如果您仍然担心如何实现此规范,Github上有excelent source for Android来完成它。可能你需要的java类是this

玩得开心!