Twitter OAuth 2.0 by login-password

Сегодня расскажу как реализовывается работа приложения через OAuth, если пользователь передает просто логин и пароль. Прежде всего потребуется класс OAuthUtility, код которого есть в blogsapi.

На первом этапе мы проверяем производили ли мы аутентификацию пользователя ранее. Если нет, то обращаемся к твиттеру с логином и паролем, соответствующему нашему приложению (tokens.ConsumerKey,tokens.ConsumerSecret). Получаем назад ключ(response.Token), по которому мы можем построить запрос (OAuthUtility.BuildAuthorizationUri(response.Token)) на получение уникальных логина и пароля для пользователя нашего приложения. Назад возвращается страница, на которой пользователю предлагается ввести логин и пароль, но так как мы не хотим тревожить пользователя, то вводим их за него, незабывая извлечь со страницы authenticity_token. Если логин и пароль правильны, то нам возвращается уникальный PIN, который пользователь должен потом передать нашему приложению, в качестве единоразового пароля для получения постоянного пароля. Опять же парсим страницу вручную, чтобы не тревожить пользователя. И в завершение делаем запрос OAuthUtility.GetAccessToken, чтобы по разовому паролю наше приложение получило постоянный пароль. И сохраняем результат, чтобы больше не повторять этих действий.

В итоге наше приложение, чтобы сделать запрос от лица пользователя передает не логин и пароль, а аж 4 строчки, соответствующие 2м логинам и паролям от них. Основная выгода - безопастность, и то, что эти строчки намного сложнее чем первоначальные логин и пароль пользователя, что гарантирует сложность их подбора. Но с другой стороны, они не имеют срока давности, поэтому зная их с легкостью можно выполнить действия от лица пользователя-приложения, в отличии от куков или сессий для авторизованных клиентов сайтов.

И общая схема, демонстрирующая весь ужас того, во что превращается простая ранее операция по выполнению действий при помощи логина и пароля:


Код самой функции "залогинивания" в твиттер.
Copy Source | Copy HTML
  1. /// <summary>
  2.         /// Простая попытка залогинится
  3.         /// </summary>
  4.         /// <param name="user"></param>
  5.         /// <returns></returns>
  6.         public override bool LogInto(UserAccaunt user)
  7.         {
  8.             try
  9.             {
  10.                 OAuthTokens tokens = Configuration.GetTokens(user.username);
  11.                 if(String.IsNullOrEmpty(tokens.AccessToken))
  12.                 {
  13.                     //нет ключа, производим аутентификацию.
  14.                     //залогинимся в твиттер, получим куку и передадим ее дальше
  15.                     //0
  16.                     OAuthTokenResponse response = OAuthUtility.GetRequestToken(tokens.ConsumerKey,
  17.                         tokens.ConsumerSecret, String.Empty);
  18.                     //1
  19.                     HttpWebRequest myHttpWebRequest = (HttpWebRequest)
  20.                         WebRequest.Create(OAuthUtility.BuildAuthorizationUri(response.Token));
  21.                     myHttpWebRequest.Method = "GET";
  22.                     myHttpWebRequest.AllowAutoRedirect = false;
  23.                    // myHttpWebRequest.Headers.Add(HttpRequestHeader.Cookie, sCookie);
  24.                     HttpWebResponse myHttpWebResponse = (HttpWebResponse)myHttpWebRequest.GetResponse();
  25.                     string result = new StreamReader(myHttpWebResponse.GetResponseStream(), Encoding).ReadToEnd();
  26.                     sCookie = CookieParse(myHttpWebResponse.Headers[HttpResponseHeader.SetCookie]);
  27.                     myHttpWebResponse.Close();
  28.                     ///////////////////////
  29.                     Match m = new Regex(@"<input.*?name\W+authenticity_token.+?value\W+(\w+)\W", Regexoptions).Match(result);
  30.                     if (!m.Success) throw new Exception("Twitter authenticity_token problems!");
  31.                     myHttpWebRequest = MakeRequest("https://twitter.com/oauth/authorize");
  32.                     myHttpWebRequest.AllowAutoRedirect = false;
  33.                     myHttpWebRequest.Method = "POST";
  34.                     myHttpWebRequest.Referer = "http://twitter.com";
  35.                     string sQueryString =
  36.                         String.Format(
  37.                             "authenticity_token={0}&return_to_ssl=false&session%5Busername_or_email%5D={1}&session%5Bpassword%5D={2}&oauth_token={3}",
  38.                     m.Groups[1].Value,
  39.                     user.username,
  40.                     user.password,
  41.                     response.Token
  42.                             );
  43.                     //***************//
  44.                     byte[] byteArr = _encoding.GetBytes(sQueryString);
  45.                     myHttpWebRequest.ContentLength = byteArr.Length;
  46.                     myHttpWebRequest.GetRequestStream().Write(byteArr,  0, byteArr.Length);
  47.                     /////////////////////////
  48.                     myHttpWebResponse = (HttpWebResponse)myHttpWebRequest.GetResponse();
  49.                     sCookie = CookieParse(myHttpWebResponse.Headers[HttpResponseHeader.SetCookie]);
  50.                     result = new StreamReader(myHttpWebResponse.GetResponseStream(), Encoding).ReadToEnd();
  51.                     myHttpWebResponse.Close();
  52.                     //в теории отсюда нужно извлечь PIN для вставки
  53.                     m = new Regex(@"\Woauth_pin\W\D+(\d+)\D", Regexoptions).Match(result);
  54.                     if(!m.Success) throw new Exception("не удалось получить PIN!");
  55.  
  56.                     response = OAuthUtility.GetAccessToken(tokens.ConsumerKey,
  57.                                                 tokens.ConsumerSecret, response.Token, m.Groups[1].Value);
  58.                     if (response != null)
  59.                     {
  60.                         //сохраняем токен, чтобы следующий раз не проходить всю цепочку.
  61.                         Configuration.SetTokens(user.username, response);
  62.                     }
  63.                 }
  64.                 LogedInAs = user;
  65.                 //Log("Twitter uses only OAuth2.0 authentification. Take care.");
  66.                 return true;
  67.             }catch(Exception e1)
  68.             {
  69.                 Log("Twitter OAuth "+e1.Message);
  70.                 return false;
  71.             }
  72.         }

Метки:   Категории:Twitter | BlogsAPI | Code


blog comments powered by Disqus

Добавить комментарий

Кто я?

Программист. Я слежу за блогосферой и знаю, как будет развиваться интернет. Когда у меня есть время я даже прилагаю для этого усилия. Подробнее

Последние комментарии

Не отображать

Topbot at FeedsBurner

Мои Твиты

Twitter июля 21, 06:27
Украина готовит на Евровидение песню с быками http://dlvr.it/QcGlCH

Twitter июля 21, 06:27
Суммарная капитализация криптовалют http://dlvr.it/QcGl8J

Twitter июля 21, 06:27
В Твиттере начался обвал фолловеров http://dlvr.it/QcGl9p

Twitter июля 20, 13:36
Разбор трилогии Матрицы (The Matrix Trilogy) http://dlvr.it/QcBwFH https://twitter.com/f1ashr/status/1020301316550086656/photo/1

Twitter июля 20, 01:04
Чем белые отличаются от черных? http://dlvr.it/Qc7sJx https://twitter.com/f1ashr/status/1020112062507233281/photo/1

Twitter июля 19, 23:57
Победа свободы над здравым смыслом http://dlvr.it/Qc7fVm https://twitter.com/f1ashr/status/1020095354983731201/photo/1

Twitter июля 19, 22:17
Роскомнадзор планирует заблокировать IP сайта t30p http://dlvr.it/Qc7JG9

Twitter июля 19, 20:39
коломенский кремль: альтернативная история 2 http://dlvr.it/Qc6v6H https://twitter.com/f1ashr/status/1020045378324914176/photo/1

Twitter июля 18, 22:44
Трансляции Одноклассников (http://Ok.ru/live) добавлены в t30p http://dlvr.it/Qc18JK https://twitter.com/f1ashr/status/1019714458350891009/photo/1

Twitter июля 18, 22:44
Теневой бизнес ГИБДД http://dlvr.it/Qc18HP https://twitter.com/f1ashr/status/1019714453678436352/photo/1

Twitter июля 18, 22:44
Непонятные конкурсы в Твиттере http://dlvr.it/Qc188b https://twitter.com/f1ashr/status/1019714448993337344/photo/1

Twitter июля 18, 22:44
Текущая ситуация с инстаграммом http://dlvr.it/Qc186r

Twitter июля 18, 22:12
Пользователи умудрились поломать гео-локацию в Инстаграм http://dlvr.it/Qc12Fq

Twitter июля 18, 22:12
Разбор сериала Рассказ служанки http://dlvr.it/Qc1228 https://twitter.com/f1ashr/status/1019706394503667714/photo/1

Twitter июля 18, 22:12
Разбор сериала "Мир Дикого Запада" http://dlvr.it/Qc120F

Twitter июля 18, 21:08
Google Lunar X Prize - за 10 лет никто не смог запуститься на Луну http://dlvr.it/Qc0myX https://twitter.com/f1ashr/status/1019690286862102528/photo/1

Twitter июля 18, 21:08
Китайский интернет http://dlvr.it/Qc0mtX https://twitter.com/f1ashr/status/1019690280860053504/photo/1

Twitter июля 18, 20:34
Левитирующие объекты в Японии http://dlvr.it/Qc0dvs

Twitter июля 14, 22:59
Диджеи будущего http://dlvr.it/QbZSKL

Twitter июля 14, 20:46
Китай: скрытая угроза http://dlvr.it/QbZ5XZ

Мой твиттер

Копирайт

Все мысли, высказанные в блоге, являются моим мнением и за это мнение меня никто не забанит! Кроме того, никто не имеет право копировать материалы блога без использования ctrl+C/V!

© Copyright 2008