Twitter OAuth 2.0 by login-password

Сегодня расскажу как реализовывается работа приложения через OAuth, если пользователь передает просто логин и пароль. Прежде всего потребуется класс OAuthUtility, код которого есть в blogsapi.

На первом этапе мы проверяем производили ли мы аутентификацию пользователя ранее. Если нет, то обращаемся к твиттеру с логином и паролем, соответствующему нашему приложению (tokens.ConsumerKey,tokens.ConsumerSecret). Получаем назад ключ(response.Token), по которому мы можем построить запрос (OAuthUtility.BuildAuthorizationUri(response.Token)) на получение уникальных логина и пароля для пользователя нашего приложения. Назад возвращается страница, на которой пользователю предлагается ввести логин и пароль, но так как мы не хотим тревожить пользователя, то вводим их за него, незабывая извлечь со страницы authenticity_token. Если логин и пароль правильны, то нам возвращается уникальный PIN, который пользователь должен потом передать нашему приложению, в качестве единоразового пароля для получения постоянного пароля. Опять же парсим страницу вручную, чтобы не тревожить пользователя. И в завершение делаем запрос OAuthUtility.GetAccessToken, чтобы по разовому паролю наше приложение получило постоянный пароль. И сохраняем результат, чтобы больше не повторять этих действий.

В итоге наше приложение, чтобы сделать запрос от лица пользователя передает не логин и пароль, а аж 4 строчки, соответствующие 2м логинам и паролям от них. Основная выгода - безопастность, и то, что эти строчки намного сложнее чем первоначальные логин и пароль пользователя, что гарантирует сложность их подбора. Но с другой стороны, они не имеют срока давности, поэтому зная их с легкостью можно выполнить действия от лица пользователя-приложения, в отличии от куков или сессий для авторизованных клиентов сайтов.

И общая схема, демонстрирующая весь ужас того, во что превращается простая ранее операция по выполнению действий при помощи логина и пароля:


Код самой функции "залогинивания" в твиттер.
Copy Source | Copy HTML
  1. /// <summary>
  2.         /// Простая попытка залогинится
  3.         /// </summary>
  4.         /// <param name="user"></param>
  5.         /// <returns></returns>
  6.         public override bool LogInto(UserAccaunt user)
  7.         {
  8.             try
  9.             {
  10.                 OAuthTokens tokens = Configuration.GetTokens(user.username);
  11.                 if(String.IsNullOrEmpty(tokens.AccessToken))
  12.                 {
  13.                     //нет ключа, производим аутентификацию.
  14.                     //залогинимся в твиттер, получим куку и передадим ее дальше
  15.                     //0
  16.                     OAuthTokenResponse response = OAuthUtility.GetRequestToken(tokens.ConsumerKey,
  17.                         tokens.ConsumerSecret, String.Empty);
  18.                     //1
  19.                     HttpWebRequest myHttpWebRequest = (HttpWebRequest)
  20.                         WebRequest.Create(OAuthUtility.BuildAuthorizationUri(response.Token));
  21.                     myHttpWebRequest.Method = "GET";
  22.                     myHttpWebRequest.AllowAutoRedirect = false;
  23.                    // myHttpWebRequest.Headers.Add(HttpRequestHeader.Cookie, sCookie);
  24.                     HttpWebResponse myHttpWebResponse = (HttpWebResponse)myHttpWebRequest.GetResponse();
  25.                     string result = new StreamReader(myHttpWebResponse.GetResponseStream(), Encoding).ReadToEnd();
  26.                     sCookie = CookieParse(myHttpWebResponse.Headers[HttpResponseHeader.SetCookie]);
  27.                     myHttpWebResponse.Close();
  28.                     ///////////////////////
  29.                     Match m = new Regex(@"<input.*?name\W+authenticity_token.+?value\W+(\w+)\W", Regexoptions).Match(result);
  30.                     if (!m.Success) throw new Exception("Twitter authenticity_token problems!");
  31.                     myHttpWebRequest = MakeRequest("https://twitter.com/oauth/authorize");
  32.                     myHttpWebRequest.AllowAutoRedirect = false;
  33.                     myHttpWebRequest.Method = "POST";
  34.                     myHttpWebRequest.Referer = "http://twitter.com";
  35.                     string sQueryString =
  36.                         String.Format(
  37.                             "authenticity_token={0}&return_to_ssl=false&session%5Busername_or_email%5D={1}&session%5Bpassword%5D={2}&oauth_token={3}",
  38.                     m.Groups[1].Value,
  39.                     user.username,
  40.                     user.password,
  41.                     response.Token
  42.                             );
  43.                     //***************//
  44.                     byte[] byteArr = _encoding.GetBytes(sQueryString);
  45.                     myHttpWebRequest.ContentLength = byteArr.Length;
  46.                     myHttpWebRequest.GetRequestStream().Write(byteArr,  0, byteArr.Length);
  47.                     /////////////////////////
  48.                     myHttpWebResponse = (HttpWebResponse)myHttpWebRequest.GetResponse();
  49.                     sCookie = CookieParse(myHttpWebResponse.Headers[HttpResponseHeader.SetCookie]);
  50.                     result = new StreamReader(myHttpWebResponse.GetResponseStream(), Encoding).ReadToEnd();
  51.                     myHttpWebResponse.Close();
  52.                     //в теории отсюда нужно извлечь PIN для вставки
  53.                     m = new Regex(@"\Woauth_pin\W\D+(\d+)\D", Regexoptions).Match(result);
  54.                     if(!m.Success) throw new Exception("не удалось получить PIN!");
  55.  
  56.                     response = OAuthUtility.GetAccessToken(tokens.ConsumerKey,
  57.                                                 tokens.ConsumerSecret, response.Token, m.Groups[1].Value);
  58.                     if (response != null)
  59.                     {
  60.                         //сохраняем токен, чтобы следующий раз не проходить всю цепочку.
  61.                         Configuration.SetTokens(user.username, response);
  62.                     }
  63.                 }
  64.                 LogedInAs = user;
  65.                 //Log("Twitter uses only OAuth2.0 authentification. Take care.");
  66.                 return true;
  67.             }catch(Exception e1)
  68.             {
  69.                 Log("Twitter OAuth "+e1.Message);
  70.                 return false;
  71.             }
  72.         }

Метки:   Категории:Twitter | BlogsAPI | Code


blog comments powered by Disqus

Добавить комментарий

Кто я?

Программист. Я слежу за блогосферой и знаю, как будет развиваться интернет. Когда у меня есть время я даже прилагаю для этого усилия. Подробнее

Последние комментарии

Не отображать

Topbot at FeedsBurner

Облако тэгов

Мои Твиты

Twitter апреля 23, 18:27
⚫️Тематика черного цвета для России http://dlvr.it/QQWQ8B https://twitter.com/f1ashr/status/988484514685960195/photo/1

Twitter апреля 23, 10:44
Голосовой набор тэгов http://dlvr.it/QQSx71

Twitter апреля 19, 09:13
Польша сняла мини-фантастику про 2-й час http://dlvr.it/QQ36lD https://twitter.com/f1ashr/status/986895676582674432/photo/1

Twitter апреля 15, 09:31
Больше Ада на первом канале http://dlvr.it/QPb8Sf https://twitter.com/f1ashr/status/985450416811884545/photo/1

Twitter апреля 15, 08:59
Суперлайки в Перископе http://dlvr.it/QPb3HN

Twitter апреля 14, 08:51
Что американские военные забыли у берегов КНДР? http://dlvr.it/QPVZ8F https://twitter.com/f1ashr/status/985078070875832320/photo/1

Twitter апреля 13, 19:41
Текущая ситуация с инстаграммом http://dlvr.it/QPS7sy

Twitter апреля 13, 15:50
Русский youtube и твиты за день http://dlvr.it/QPR1dl https://twitter.com/f1ashr/status/984821028940427264/photo/1

Twitter апреля 13, 15:50
Как потратить валютные резервы России - Мыслить №50 http://dlvr.it/QPR1Xz

Twitter апреля 13, 14:12
Японское аниме в российских кинотеатрах http://dlvr.it/QPQSG3 https://twitter.com/f1ashr/status/984796468316815360/photo/1

Twitter апреля 13, 13:08
Полное затмение суперлуны 27 сентября (впервые с 1982 года) http://dlvr.it/QPQ5q6 https://twitter.com/f1ashr/status/984780360230649857/photo/1

Twitter апреля 13, 12:03
Реклама Андромеды http://dlvr.it/QPPkwn https://twitter.com/f1ashr/status/984764125942243328/photo/1

Twitter апреля 13, 11:31
Теневой бизнес ГИБДД http://dlvr.it/QPPZnf https://twitter.com/f1ashr/status/984755956763340800/photo/1

Twitter апреля 13, 10:27
В Ступино напечатали первый 3D дом http://dlvr.it/QPPG1p

Twitter апреля 13, 10:27
Google Glasses fail http://dlvr.it/QPPFz6 https://twitter.com/f1ashr/status/984739734407671808/photo/1

Twitter апреля 13, 08:49
Пришел ответ от Youtube по поводу видео http://dlvr.it/QPNpH6

Twitter апреля 12, 19:39
Автоматическое информирование о выходе новых сезонов http://dlvr.it/QPL4pB

Twitter апреля 11, 07:28
Разбор сериала "Молодой папа" (теория общего знания, часть 22) http://dlvr.it/QP7wlv https://twitter.com/f1ashr/status/983970149765038085/photo/1

Twitter апреля 11, 01:33
В бюджете Америки появились лишние 2 трлн. долларов http://dlvr.it/QP6nN4

Twitter апреля 11, 01:33
Про школьников и Навального http://dlvr.it/QP6nMt

Мой твиттер

Копирайт

Все мысли, высказанные в блоге, являются моим мнением и за это мнение меня никто не забанит! Кроме того, никто не имеет право копировать материалы блога без использования ctrl+C/V!

© Copyright 2008