QQ第三方登录.doc

上传人:sk****8 文档编号:2329403 上传时间:2019-05-06 格式:DOC 页数:11 大小:85KB
下载 相关 举报
QQ第三方登录.doc_第1页
第1页 / 共11页
QQ第三方登录.doc_第2页
第2页 / 共11页
QQ第三方登录.doc_第3页
第3页 / 共11页
QQ第三方登录.doc_第4页
第4页 / 共11页
QQ第三方登录.doc_第5页
第5页 / 共11页
点击查看更多>>
资源描述

1、自己整的 QQ,新浪第三方登录以下 是自己花了几天时间整的第三方登录,不知道怎么样 只是效果出来了,但具体各个方面有待大家指导。自己倒是学了一些东西。拿出来分享哈。效果演示可登录:www.suridea.tv/这里的 data-appid=“100294957“其中的值你得自己到腾讯开发平台申请 ,如果你对那些流程很熟悉了你就不会费劲了QC.Login(/按默认样式插入 QQ 登录按钮btnId:“qqLoginBtn“ /插入按钮的节点 id,size: “B_M“, function(reqData, opts)/登录成功/根据返回数据,更换按钮显示状态方法var dom = docume

2、nt.getElementById(optsbtnId),_logoutTemplate=/头像,/昵称nickname,/退出退出 .join(“);dom , function(opts)/注销var msg=“嗯嗯,希望下次再看到你的光临哦!“;var openId=signOut;/给一个标识 到 Handle.aspx 里面处理如果是退出也退出你绑定到你网站的用户注销$.post(“Handle.aspx“,/异步请求的页面 GETDATE:new Date().getDate(),openId:openId,function (data)isResult=false;if(wind

3、ow.location.href!=data)/这句话最好加上 ,要不然不断的请求,我没找到好的处理方法请大家 指教window.location.href=data;); );var opid;var isResult=true;if(QC.Login.check()/如果已登录QC.Login.getMe(function(openId, accessToken)opid=openId;/登录成功后腾讯会返回一个唯一标识的 openid 可用于你自己网站绑定的用户存档。$.post(“Handle.aspx“,/如果是首次登录你的网站注册,再次登录直接登录首页GETDATE:new Dat

4、e().getDate(),openId:openId,function (data)isResult=false;if(window.location.href!=data)window.location.href=data;); );/appkey=300958505 同腾讯一样你的到新浪开发平台上申请一个 appkey 具体操作新浪开发平台有 介绍。WB2.anyWhere(function(W)W.widget.connectButton(id: “wb_connect_btn“, type:“3,2“,callback : login:function(o) /登录后的回调函数var

5、 screen_name=o.screen_name;$.post(“Handle.aspx“,GETDATE:new Date().getDate(),screen_name:screen_name,function (data)if(window.location.href!=data)window.location.href=data;); , logout:function() /退出后的回调函数var openId=signOut;$.post(“Handle.aspx“,GETDATE:new Date().getDate(),openId:openId,function (dat

6、a)isResult=false;if(window.location.href!=data)window.location.href=data;); ););oAuth简介OAUTH 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用 OAUTH 认证服务,任何服务提供商都可以实现自身的 OAUTH 认证服务,因而 OAUTH 是开放的。业界提供了 OAUTH 的多种实现如 PHP、JavaScript ,Java,Ruby等各种语言开发包,大大节约了程序员的时间,因而 OAUTH 是简易的。目前互联网很多服务如 Open API,很多大公司如 Google

7、,Yahoo,Microsoft 等都提供了 OAUTH 认证服务,这些都足以说明 OAUTH 标准逐渐成为开放资源授权的标准。在官方网站的首页,可以看到下面这段简介:An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.大概意思是说 OAUTH 是一种开放的协议,为桌面程序或者基于 BS 的 web 应用提供了一种简单的,标准的方式去访问需要用户授权的 API 服务。OAUTH 类似于 Flickr Auth、Go

8、ogles AuthSub1、 Yahoos BBAuth、 Facebook Auth 等。协议特点(1). 简单:不管是 OAUTH 服务提供者还是应用开发者,都很容易于理解与使用;(2). 安全:没有涉及到用户密钥等信息,更安全更灵活;(3). 开放:任何服务提供商都可以实现 OAUTH,任何软件开发商都可以使用 OAUTH;相关术语OAUTH 相关的三个 URL:Request Token URL: 获取未授权的 Request Token 服务地址;User Authorization URL: 获取用户授权的 Request Token 服务地址;Access Token URL:

9、 用授权的 Request Token 换取 Access Token 的服务地址;OAUTH 相关的参数定义:OAUTH_consumer_key: 使用者的 ID,OAUTH 服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去 OAUTH 服务提供商处注册一个应用,再获取该应用的 OAUTH_consumer_key。OAUTH_consumer_secret:OAUTH_consumer_key 对应的密钥。OAUTH_token:OAUTH 进行到最后一步得到的一个“令牌” ,通过此“令牌”请求,就可以去拥有资源的网站抓取任意有权限可以被抓取的资源。 OAUTH_to

10、ken_secret:OAUTH_token 对应的私钥。OAUTH_signature_method: 请求串的签名方法,应用每次向 OAUTH 三个服务地址发送请求时,必须对请求进行签名。签名的方法有:HMAC-SHA1、RSA-SHA1 与 PLAINTEXT等三种。OAUTH_signature: 用上面的签名方法对请求的签名。OAUTH_timestamp: 发起请求的时间戳,其值是距 1970 00:00:00 GMT 的秒数,必须是大于 0 的整数。本次请求的时间戳必须大于或者等于上次的时间戳。OAUTH_nonce: 随机生成的字符串,用于防止请求的重复,防止外界的非法攻击。O

11、AUTH_version: OAUTH 的版本号。OAUTH HTTP 响应代码:HTTP 400 Bad Request 请求错误Unsupported parameter 参数错误Unsupported signature method 签名方法错误Missing required parameter 参数丢失Duplicated OAUTH Protocol Parameter 参数重复HTTP 401 Unauthorized 未授权Invalid Consumer Key 非法 keyInvalid / expired Token 失效或者非法的 tokenInvalid signa

12、ture 签名非法Invalid / used nonce 非法的 nonceOAUTH 授权认证流程获取未授权的 request token请求参数:OAUTH_consumer_key:消费方键值。OAUTH_signature_method:消费方签署本请求所用的签名方法。OAUTH_signature:签名,定义于签署请求 (签署请求)。OAUTH_timestamp:定义于 Nonce and Timestamp (单次值与时间戳)。OAUTH_nonce:定义于 Nonce and Timestamp (单次值与时间戳)。OAUTH_version:可选。额外参数:由服务提供方定义

13、的任意额外参数服务方返回结果,响应包含如下参数:OAUTH_token:请求令牌OAUTH_token_secret:令牌密钥附加参数:由服务提供方定义的任意参数。获取用户授权的 request token请求参数:OAUTH_token:可选。在前述步骤中获得的请求令牌。服务提供方可以声明此参数为必须,也可以允许不包含在授权 URL 中并提示用户手工输入。OAUTH_callback:可选。消费方可以指定一个 URL,当 获取用户授权 (获取用户授权)成功后,服务提供方将重定向用户到这个 URL。附加参数:由服务提供方定义的任意参数。服务提供方将用户引导回消费方如果消费方在 OAUTH_ca

14、llback 中提供了回调 URL(在消费方引导用户至服务提供方 (消费方引导用户至服务提供方)中描述 ),则服务提供方构造一个 HTTP GET 请求 URL,重定向用户浏览器到该 URL,并包含如下参数:OAUTH_token:被用户授权或否决的请求令牌回调 URL 可以包含消费方提供的查询参数,服务提供方必须保持已有查询不变并追加OAUTH_token 参数。用授权的 request token 换取 Access Token消费方请求访问令牌参数:OAUTH_consumer_key:消费方键值。OAUTH_token:之前获取的请求令牌。OAUTH_signature_method:

15、消费方使用的签署方法。OAUTH_signature:签署请求 (签署请求)中定义的签名。OAUTH_timestamp:在单次值与时间戳 (单次值与时间戳)中定义。OAUTH_nonce:在单次值与时间戳 (单次值与时间戳) 中定义。OAUTH_version:版本号,可选。返回参数:OAUTH_token:访问令牌。OAUTH_token_secret:令牌密钥。 访问受保护资源请求参数:OAUTH_consumer_key:消费方键值。OAUTH_token:访问令牌。OAUTH_signature_method:消费方使用的签署方法。OAUTH_signature:签署请求 (签署请求

16、)中定义的签名。OAUTH_timestamp:定义于单次值与时间戳 (单次值与时间戳 ).OAUTH_nonce:定义于单次值与时间戳 (单次值与时间戳 ).OAUTH_version:版本号,可选。附加参数:服务提供方指定的附加参数。授权流程在弄清楚了 OAUTH 的术语后,我们可以对 OAUTH 认证授权的流程进行初步认识。其实,简单的来说,OAUTH 认证授权就三个步骤,三句话可以概括:1. 获取未授权的 Request Token2. 获取用户授权的 Request Token3. 用授权的 Request Token 换取 Access Token当应用拿到 Access Toke

17、n 后,就可以有权访问用户授权的资源了。大家可能看出来了,这三个步骤不就是对应 OAUTH 的三个 URL 服务地址嘛。一点没错,上面的三个步骤中,每个步骤分别请求一个 URL,并且收到相关信息,并且拿到上步的相关信息去请求接下来的URL 直到拿到 Access Token。具体每步执行信息如下:A. 使用者(第三方软件)向 OAUTH 服务提供商请求未授权的 Request Token。向 Request Token URL 发起请求,请求需要带上的参数见上图。B. OAUTH 服务提供商同意使用者的请求,并向其颁发未经用户授权的 oauth_token 与对应的 oauth_token_s

18、ecret,并返回给使用者。C. 使用者向 OAUTH 服务提供商请求用户授权的 Request Token。向 User Authorization URL 发起请求,请求带上上步拿到的未授权的 token 与其密钥。D. OAUTH 服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的 Request Token 也可能不返回。如 Yahoo OAUTH就不会返回任何信息给使用者。E. Request Token 授权后,使用者将向 Access Token URL 发起请求,将上步授权的 Request Token 换取成 Access

19、 Token。请求的参数见上图,这个比第一步 A 多了一个参数就是Request Token。F. OAUTH 服务提供商同意使用者的请求,并向其颁发 Access Token 与对应的密钥,并返回给使用者。G. 使用者以后就可以使用上步返回的 Access Token 访问用户授权的资源。从上面的步骤可以看出,用户始终没有将其用户名与密码等信息提供给使用者(第三方软件) ,从而更安全。用 OAUTH 实现背景一节中的典型案例:当服务 B(打印服务)要访问用户的服务 A(图片服务)时,通过 OAUTH 机制,服务 B 向服务 A 请求未经用户授权的Request Token 后,服务 A 将引

20、导用户在服务 A 的网站上登录,并询问用户是否将图片服务授权给服务 B。用户同意后,服务 B 就可以访问用户在服务 A 上的图片服务。整个过程服务 B 没有触及到用户在服务 A 的帐号信息。如下图所示,图中的字母对应 OAUTH 流程中的字母:版本OAuth Core 1.0 版本发布于 2007 年 12 月 4 日,由于存在可被会话定向攻击(session fixation attack)的缘故,2009 年 6月 24 日发布了 OAuth Core 1.0 Revision A 版本。最终在 2010 年 4 月,OAuth 成为了 RFC 标准: RFC 5849: The OAut

21、h 1.0 Protocol。OAuth 2.0 的草案是在 2010 年 5 月初在 IETF 发布的。OAuth 2.0 是 OAuth 协议的下一版本,但不向后兼容 OAuth 1.0。 OAuth 2.0 关注客户端 开发者的简易性,同时为 Web 应用,桌面应用和手机,和起居室设备提供专门的认证流程。规范还在IETF OAuth 工作组的开发中,按照 Eran Hammer-Lahav 的说法,OAuth 将于 2010 年末完成。简介OAUTH 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用 OAUTH 认证服务,任何服务提供商都可以实现自身的

22、 OAUTH 认证服务,因而 OAUTH 是开放的。业界提供了 OAUTH 的多种实现如PHP、JavaScript,Java,Ruby 等各种语言开发包,大大节约了程序员的时间,因而 OAUTH 是简易的。目前互联网很多服务如 Open API,很多大公司如 Google,Yahoo ,Microsoft 等都提供了 OAUTH 认证服务,这些都足以说明 OAUTH 标准逐渐成为开放资源授权的标准。在官方网站的首页,可以看到下面这段简介:An open protocol to allow secure API authorization in a simple and standard me

23、thod from desktop and web applications.大概意思是说 OAUTH 是一种开放的协议,为桌面程序或者基于 BS 的 web 应用提供了一种简单的,标准的方式去访问需要用户授权的 API 服务。OAUTH 类似于 Flickr Auth、Googles AuthSub1、Yahoos BBAuth、 Facebook Auth 等。编辑本段协议特点(1). 简单:不管是 OAUTH 服务提供者还是应用开发者,都很容易于理解与使用;(2). 安全:没有涉及到用户密钥等信息,更安全更灵活;(3). 开放:任何服务提供商都可以实现 OAUTH,任何软件开发商都可以使

24、用 OAUTH;编辑本段产生背景典型案例:如果一个用户拥有两项服务:一项服务是图片在线存储服务 A,另一个是图片在线打印服务 B。如下图所示。由于服务 A 与服务 B 是由两家不同的服务提供商提供的,所以用户在这两家服务提供商的网站上各自注册了两个用户,假设这两个用户名各不相同,密码也各不相同。当用户要使用服务 B 打印存储在服务 A 上的图片时,用户该如何处理?法一:用户可能先将待打印的图片从服务 A 上下载下来并上传到服务 B 上打印,这种方式安全但处理比较繁琐,效率低下;法二:用户将在服务 A 上注册的用户名与密码提供给服务B,服务 B 使用用户的帐号再去服务 A 处下载待打印的图片,这

25、种方式效率是提高了,但是安全性大大降低了,服务 B 可以使用用户的用户名与密码去服务 A 上查看甚至篡改用户的资源。很多公司和个人都尝试解决这类问题,包括 Google、Yahoo、Microsoft,这也促使 OAUTH 项目组的产生。OAuth 是由Blaine Cook、Chris Messina、Larry Halff 及 David Recordon 共同发起的,目的在于为 API 访问授权提供一个开放的标准。OAuth 规范的 1.0 版于 2007 年 12 月 4 日发布。编辑本段相关术语OAUTH 相关的三个 URL:Request Token URL: 获取未授权的 Req

26、uest Token 服务地址;User Authorization URL: 获取用户授权的 Request Token 服务地址;Access Token URL: 用授权的 Request Token 换取 Access Token 的服务地址;OAUTH 相关的参数定义:OAUTH_consumer_key: 使用者的 ID,OAUTH 服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去 OAUTH 服务提供商处注册一个应用,再获取该应用的 OAUTH_consumer_key。OAUTH_consumer_secret:OAUTH_consumer_key 对应的密

27、钥。OAUTH_token:OAUTH 进行到最后一步得到的一个 “令牌”,通过此“ 令牌”请求,就可以去拥有资源的网站抓取任意有权限可以被抓取的资源。 OAUTH_token_secret:OAUTH_token 对应的私钥。OAUTH_signature_method: 请求串的签名方法,应用每次向 OAUTH 三个服务地址发送请求时,必须对请求进行签名。签名的方法有:HMAC-SHA1 、RSA-SHA1 与 PLAINTEXT 等三种。OAUTH_signature: 用上面的签名方法对请求的签名。OAUTH_timestamp: 发起请求的时间戳 ,其值是距 1970 00:00:0

28、0 GMT 的秒数,必须是大于 0 的整数。本次请求的时间戳必须大于或者等于上次的时间戳。OAUTH_nonce: 随机生成的字符串,用于防止请求的重复,防止外界的非法攻击。OAUTH_version: OAUTH 的版本号。OAUTH HTTP 响应代码:HTTP 400 Bad Request 请求错误Unsupported parameter 参数错误Unsupported signature method 签名方法错误Missing required parameter 参数丢失Duplicated OAUTH Protocol Parameter 参数重复HTTP 401 Unaut

29、horized 未授权Invalid Consumer Key 非法 keyInvalid / expired Token 失效或者非法的 tokenInvalid signature 签名非法Invalid / used nonce 非法的 nonceOAUTH 授权认证流程获取未授权的 request token请求参数:OAUTH_consumer_key:消费方键值。OAUTH_signature_method:消费方签署本请求所用的签名方法。OAUTH_signature:签名,定义于签署请求 (签署请求)。OAUTH_timestamp:定义于 Nonce and Timestam

30、p (单次值与时间戳)。OAUTH_nonce:定义于 Nonce and Timestamp (单次值与时间戳)。OAUTH_version:可选。额外参数:由服务提供方定义的任意额外参数服务方返回结果,响应包含如下参数:OAUTH_token:请求令牌OAUTH_token_secret:令牌密钥附加参数:由服务提供方定义的任意参数。获取用户授权的 request token请求参数:OAUTH_token:可选。在前述步骤中获得的请求令牌。服务提供方可以声明此参数为必须,也可以允许不包含在授权 URL中并提示用户手工输入。OAUTH_callback:可选。消费方可以指定一个 URL,当

31、 获取用户授权 (获取用户授权) 成功后,服务提供方将重定向用户到这个 URL。附加参数:由服务提供方定义的任意参数。服务提供方将用户引导回消费方如果消费方在 OAUTH_callback 中提供了回调 URL(在消费方引导用户至服务提供方 (消费方引导用户至服务提供方) 中描述),则服务提供方构造一个 HTTP GET 请求 URL,重定向用户浏览器到该 URL,并包含如下参数:OAUTH_token:被用户授权或否决的请求令牌回调 URL 可以包含消费方提供的查询参数,服务提供方必须保持已有查询不变并追加 OAUTH_token 参数。用授权的 request token 换取 Acces

32、s Token消费方请求访问令牌参数:OAUTH_consumer_key:消费方键值。OAUTH_token:之前获取的请求令牌。OAUTH_signature_method:消费方使用的签署方法。OAUTH_signature:签署请求 (签署请求)中定义的签名。OAUTH_timestamp:在单次值与时间戳 (单次值与时间戳)中定义。OAUTH_nonce:在单次值与时间戳 (单次值与时间戳)中定义。OAUTH_version:版本号,可选。返回参数:OAUTH_token:访问令牌。OAUTH_token_secret:令牌密钥。 访问受保护资源请求参数:OAUTH_consumer

33、_key:消费方键值。OAUTH_token:访问令牌。OAUTH_signature_method:消费方使用的签署方法。OAUTH_signature:签署请求 (签署请求)中定义的签名。OAUTH_timestamp:定义于单次值与时间戳 (单次值与时间戳).OAUTH_nonce:定义于单次值与时间戳 (单次值与时间戳).OAUTH_version:版本号,可选。附加参数:服务提供方指定的附加参数。编辑本段授权流程在弄清楚了 OAUTH 的术语后,我们可以对 OAUTH 认证授权的流程进行初步认识。其实,简单的来说,OAUTH 认证授权就三个步骤,三句话可以概括:1. 获取未授权的 R

34、equest Token2. 获取用户授权的 Request Token3. 用授权的 Request Token 换取 Access Token当应用拿到 Access Token 后,就可以有权访问用户授权的资源了。大家可能看出来了,这三个步骤不就是对应 OAUTH的三个 URL 服务地址嘛。一点没错,上面的三个步骤中,每个步骤分别请求一个 URL,并且收到相关信息,并且拿到上步的相关信息去请求接下来的 URL 直到拿到 Access Token。具体每步执行信息如下:A. 使用者(第三方软件)向 OAUTH 服务提供商请求未授权的 Request Token。向 Request Toke

35、n URL 发起请求,请求需要带上的参数见上图。B. OAUTH 服务提供商同意使用者的请求,并向其颁发未经用户授权的 oauth_token 与对应的 oauth_token_secret,并返回给使用者。C. 使用者向 OAUTH 服务提供商请求用户授权的 Request Token。向 User Authorization URL 发起请求,请求带上上步拿到的未授权的 token 与其密钥。D. OAUTH 服务提供商将引导用户授权。该过程可能会提示用户,你想将哪些受保护的资源授权给该应用。此步可能会返回授权的 Request Token 也可能不返回。如 Yahoo OAUTH 就不会

36、返回任何信息给使用者。E. Request Token 授权后,使用者将向 Access Token URL 发起请求,将上步授权的 Request Token 换取成 Access Token。请求的参数见上图,这个比第一步 A 多了一个参数就是 Request Token。F. OAUTH 服务提供商同意使用者的请求,并向其颁发 Access Token 与对应的密钥,并返回给使用者。G. 使用者以后就可以使用上步返回的 Access Token 访问用户授权的资源。从上面的步骤可以看出,用户始终没有将其用户名与密码等信息提供给使用者(第三方软件) ,从而更安全。用 OAUTH实现背景一节中的典型案例:当服务 B(打印服务)要访问用户的服务 A(图片服务)时,通过 OAUTH 机制,服务 B 向服务A 请求未经用户授权的 Request Token 后,服务 A 将引导用户在服务 A 的网站上登录,并询问用户是否将图片服务授权给服

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育教学资料库 > 精品笔记

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。