无法验证oauth签名和令牌

时间:2010-09-06 14:39:28

标签: php curl twitter oauth php4

由于我无法控制的原因,我使用PHP4编写了一个推特客户端。请求无法正常工作 - 我很难看到什么是错的。有什么想法吗?

我已经抓住了代码并在一个非常简单的脚本中对其进行了抨击,以基本上说明发生了什么。我出于安全目的隐藏了OAuth密钥。

<?php

$requestTokenURL = 'https://api.twitter.com/oauth/request_token';
$consumerKey    = 'fLxA6J1111111111PnvVOg';
$consumerSecret = 'H5QxDHAOHn1111111111111Ozet1HRTtVAV1FM3oYk';
$callbackURL = 'http://www.example.com';
$signature = 'POST&' . urlencode($requestTokenURL) . '&';

$auth_params = array(
  'oauth_callback' => $callbackURL,
  'oauth_consumer_key' => $consumerKey,
  'oauth_nonce' => md5(time()),
  'oauth_signature_method' => 'HMAC-SHA1',
  'oauth_timestamp' => time(),
  'oauth_version' => '1.0'
);

ksort($auth_params);

foreach($auth_params as $k=>$v) {
  if ($k == 'oauth_callback') {
    $v = urlencode($v);
  }
  $signature .= urlencode($k) . '%3D' . urlencode($v) . '%26';
}
$signature = substr($signature, 0, strlen($signature) - 3);
$signing_key = $consumerSecret . '&';
$oauth_signature = hmac_sha1($signing_key, $signature);

$auth_params['oauth_signature'] = $oauth_signature;

$auth_string = 'OAuth ';
foreach($auth_params as $k=>$v) {
  $auth_string .= $k . '="' . urlencode($v);
  $auth_string .= ($k == 'oauth_signature') ? '&' : '';
  $auth_string .= '", ';
}
$auth_string = substr($auth_string, 0, strlen($auth_string) - 2);

echo 'Authorization header: <pre>';
echo $auth_string;
echo '</pre>';
echo '<br /><br />';
echo 'OAuth Signature: <pre>';
var_dump($oauth_signature);
echo '</pre>';
echo '<br /><br />';
//exit;

$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $requestTokenURL);
curl_setopt($curl, CURLOPT_POST, GET);
curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
curl_setopt($curl, CURLOPT_HTTPHEADER, array('Authorization: ' . $auth_string)
);

$response = curl_exec($curl);
curl_close($curl);

var_dump($response);

/* function from PHP.net - no PHP4 built-in function */
function hmac_sha1( $key, $data ) {
    $blocksize = 64;
    $hashfunc = 'sha1';
    if ( strlen( $key ) >$blocksize ) {
        $key = pack( 'H*', $hashfunc( $key ) );
    }

    $key = str_pad( $key, $blocksize, chr(0x00) );
    $ipad = str_repeat( chr( 0x36 ), $blocksize );
    $opad = str_repeat( chr( 0x5c ), $blocksize );
    $hash = pack( 'H*', $hashfunc( ( $key^$opad ).pack( 'H*',$hashfunc( ($key^$ipad).$data ) ) ) );

    return base64_encode($hash);
}
?>

问题是,我尝试使用http://dev.twitter.com/pages/auth#signing-requests中的值运行此脚本,并且签名和Authorization字符串完全相同 - 但是当我尝试使用我自己的值执行CURL时(使用完全相同的代码)它只是给了我相当无描述的“无法验证oauth签名和令牌”

1 个答案:

答案 0 :(得分:4)

无法相信 - 在发布此问题后发现它只是一两秒。事实上有两件事是错的:

1)我的开发服务器上的时间没有正确设置。但是,正确设置后,它仍然无法正常工作。 2)设置curl_setopt($ curl,CURLOPT_POST,true)后,一切都神奇地起作用了。 Hoorah!

相关问题
最新问题