是否可以在没有重定向服务器的情况下使用OAuth 2.0？

Question

我正在尝试创建一个与SurveyMonkey API交互的本地基于Java的客户端。

SurveyMonkey需要使用OAuth 2.0的长期访问令牌，我不太熟悉。

我一直在谷歌搜索这几个小时，我认为答案是否定的，但我只想确定：

我是否可以编写一个与SurveyMonkey交互的简单Java客户端，而无需在某个云中设置我自己的重定向服务器？

我觉得必须拥有自己的在线服务才能收到OAuth 2.0生成的持有人令牌。我是否可以让SurveyMonkey直接向我的客户发送承载令牌？

如果我要在某处设置我自己的自定义Servlet，并将其用作redirect_uri，那么正确的流程如下：

1. 来自SurveyMonkey的Java客户端请求承载令牌，带有 redirect_uri是我自己的自定义servlet URL。
2. SurveyMonkey将令牌发送到我的自定义servlet URL。
3. Java-client轮询自定义servlet URL，直到令牌可用？

这是对的吗？

Answer 1

不完全是，OAuth流程的重点在于用户（您代表其访问数据的客户端）需要授予您访问其数据的权限。

请参阅authentication instructions。您需要将用户发送到OAuth授权页面：

https://api.surveymonkey.net/oauth/authorize?api_key<your_key>&client_id=<your_client_id>&response_type=code&redirect_uri=<your_redirect_uri>

这将向用户显示一个页面，告诉他们您要求访问其帐户的哪些部分（例如，查看他们的调查，查看他们的回复等）。一旦用户通过点击＆＃34;授权＆＃34;在该页面上，SurveyMonkey将自动转到您设置的任何重定向URI（确保上面的URL中的一个与您在应用程序的设置中设置的匹配）与代码。

因此，如果您的重定向网址为https://example.com/surveymonkey/oauth，则SurveyMonkey会使用以下代码将用户重定向到该网址：

https://example.com/surveymonkey/oauth?code=<auth_code>

您需要获取该代码，然后通过以下邮件参数向https://api.surveymonkey.net/oauth/token?api_key=<your_api_key>发送POST请求来交换访问令牌：

client_secret=<your_secret>
code=<auth_code_you_just_got>
redirect_uri=<same_redirect_uri_as_before>
grant_type=authorization_code

这将返回访问令牌，然后您可以使用该访问令牌访问用户帐户上的数据。您不会将访问令牌提供给用户，以便您访问该用户的帐户。无需投票或其他任何事情。

如果您只是访问自己的帐户，则可以使用应用设置页面中提供的访问令牌。否则，如果没有设置您自己的重定向服务器，则无法为用户获取访问令牌（除非所有用户与您在同一组中，即同一帐户下的多个用户;但我赢了＆＃39;进入那个）。 SurveyMonkey需要一个地方在用户授权后向您发送代码，您只能请求代码。

Answer 2

是的，可以在没有回调网址的情况下使用OAuth2。 RFC6749引入了几个流程。 Implicit和Authorization Code授权类型需要重定向URI。但是，Resource Owner Password Credentials授权类型不会。

自RFC6749以来，已发布不需要任何重定向URI的其他规范：

• RFC7522：OAuth 2.0客户端身份验证和授权授权的安全声明标记语言（SAML）2.0配置文件
• RFC7523：OAuth 2.0客户端身份验证和授权授权的JSON Web令牌（JWT）配置文件

还有另一个IETF草案试图为有限设备（https://tools.ietf.org/html/draft-ietf-oauth-device-flow）引入另一种授权类型，该类型不需要任何重定向URI。

在任何情况下，如果上述授权类型不符合您的需求，则不会阻止您创建custom grant type。

Answer 3

你做需要实现一些充当redirect_uri的东西，它不一定需要托管在客户以外的其他地方（正如你所说，在某些云中）。

我对Java和Servelets不是很熟悉，但如果我假设正确，那将是可以处理http://localhost:some_port的东西。在这种情况下，您描述的流程是正确的。

我在C＃中成功实现了相同的流程。这是实现该流程的类。我希望它有所帮助。

class OAuth2Negotiator
{
    private HttpListener _listener = null;
    private string _accessToken = null;
    private string _errorResult = null;
    private string _apiKey = null;
    private string _clientSecret = null;
    private string _redirectUri = null;

    public OAuth2Negotiator(string apiKey, string address, string clientSecret)
    {
        _apiKey = apiKey;
        _redirectUri = address.TrimEnd('/');
        _clientSecret = clientSecret;

        _listener = new HttpListener();
        _listener.Prefixes.Add(address + "/");
        _listener.AuthenticationSchemes = AuthenticationSchemes.Anonymous;
    }

    public string GetToken()
    {
        var url = string.Format(@"https://api.surveymonkey.net/oauth/authorize?redirect_uri={0}&client_id=sm_sunsoftdemo&response_type=code&api_key=svtx8maxmjmqavpavdd5sg5p",
                HttpUtility.UrlEncode(@"http://localhost:60403"));
        System.Diagnostics.Process.Start(url);

        _listener.Start();
        AsyncContext.Run(() => ListenLoop(_listener));
        _listener.Stop();

        if (!string.IsNullOrEmpty(_errorResult))
            throw new Exception(_errorResult);
        return _accessToken;
    }

    private async void ListenLoop(HttpListener listener)
    {
        while (true)
        {
            var context = await listener.GetContextAsync();
            var query = context.Request.QueryString;
            if (context.Request.Url.ToString().EndsWith("favicon.ico"))
            {
                context.Response.StatusCode = (int)HttpStatusCode.NotFound;
                context.Response.Close();
            }
            else if (query != null && query.Count > 0)
            {
                if (!string.IsNullOrEmpty(query["code"]))
                {
                    _accessToken = await SendCodeAsync(query["code"]);
                    break;
                }
                else if (!string.IsNullOrEmpty(query["error"]))
                {
                    _errorResult = string.Format("{0}: {1}", query["error"], query["error_description"]);
                    break;
                }
            }
        }
    }

    private async Task<string> SendCodeAsync(string code)
    {
        var GrantType = "authorization_code";
        //client_secret, code, redirect_uri and grant_type. The grant type must be set to “authorization_code”
        var client = new HttpClient();
        client.BaseAddress = new Uri("https://api.surveymonkey.net");
        var request = new HttpRequestMessage(HttpMethod.Post, string.Format("/oauth/token?api_key={0}", _apiKey));

        var formData = new List<KeyValuePair<string, string>>();
        formData.Add(new KeyValuePair<string, string>("client_secret", _clientSecret));
        formData.Add(new KeyValuePair<string, string>("code", code));
        formData.Add(new KeyValuePair<string, string>("redirect_uri", _redirectUri));
        formData.Add(new KeyValuePair<string, string>("grant_type", GrantType));
        formData.Add(new KeyValuePair<string, string>("client_id", "sm_sunsoftdemo"));

        request.Content = new FormUrlEncodedContent(formData);
        var response = await client.SendAsync(request);
        if (!response.IsSuccessStatusCode)
        {
            _errorResult = string.Format("Status {0}: {1}", response.StatusCode.ToString(), response.ReasonPhrase.ToString());
            return null;
        }

        var data = await response.Content.ReadAsStringAsync();
        if (data == null)
            return null;
        Dictionary<string, string> tokenInfo = JsonConvert.DeserializeObject<Dictionary<string, string>>(data);
        return(tokenInfo["access_token"]);
    }
}