2

我正在尝试使用 twitter 创建一个应用程序,但我陷入了第一步。

我正在尝试发布到https://api.twitter.com/oauth/request_token,但每次我收到 401。

我正在使用各种 Apache Commns HTTPClient 的 POST 方法,非常特定于我的工具,所以我只发布高级图片。

My Header:   'oAuth '+
             'oauth_callback="oob",'+
             'oauth_consumer_key="zhaD2Y6RrQaaZQSz21RShA",'+// fake
             'oauth_nonce="'+ <random string of 32Characters>  +'",'+
             'oauth_signature="'+ a.signature +'",'+
             'oauth_signature_method="HMAC-SHA1",'+
             'oauth_timestamp="'+ <Time in seconds since UNIX epoc> +'"';

我正在用这种方法生成签名:

第 1 步:对键值对进行百分比编码,并按照 Twitter 的签名页面中给出的方式附加它们。

Step2:在百分比编码后附加POST和URL。这就是我剩下的:

POST&https%3A%2F%2Fapi.twitter.com%2Foauth%2Frequest_token&oauth_callback%3Doob%26oauth_consumer_key%20%3D%20zhaD2Y6RrQaaZQSz21RShA%26oauth_nonce%3DkYjzVBB8Y0ZFabxSWbWovY3uYSQ2pTgmZeNu2VS4%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1318622958,

到现在为止还挺好..

我的问题从这里开始,下一步是签署密钥,它需要两件事:

  1. 您的应用程序的消费者秘密
  2. 访问令牌(正如这个https://dev.twitter.com/docs/auth/creating-signature页面所说)

用 & 附加这两个,然后执行 HMAC-SHA1。但是我如何获得我的访问令牌?

我还没有将我的帖子发送到推特,对吧?这里的访问令牌是指不记名令牌吗?

该页面甚至没有提到如何获取访问令牌(实际上确实如此,但我正在做一个 POST 来获取这个访问令牌吗?!)

感谢你的帮助!

4

1 回答 1

2

首先要了解的是 Twitter 使用的 OAuth 1.0a 有几个步骤:

第 1 步:从 Twitter 请求未经授权的请求令牌

第 2 步:Twitter 将使用请求令牌和请求令牌秘密进行响应

第 3 步:使用请求令牌将用户发送到 Twitter,以获得用户对您的应用程序的授权

第 4 步:Twitter 将回复验证码

步骤 5:将请求令牌和验证码发送到 Twitter 以获取访问令牌

第 6 步:Twitter 将使用访问令牌和访问令牌秘密进行响应

第 7 步:使用访问令牌和访问令牌秘密向 Twitter api 发出请求

在流程的每个阶段,必须使用消费者密钥和适当的令牌秘密对请求进行签名。在第 1 步,我们只有消费者机密,因此签名密钥是通过将 & 字符附加到百分比编码的消费者机密来构造的。这里还值得注意的是,您上面的签名基本字符串缺少 oauth_version 参数,并且基本字符串不应以逗号结尾。

一旦您获得了请求令牌和请求令牌秘密(步骤 2),您可以将用户发送到 Twitter 授权 url 以授予您的应用程序的授权。这是通过将请求令牌作为查询字符串附加到授权 url 并让用户访问该 url 来实现的(步骤 3)。IE

https://api.twitter.com/oauth/authorize?request_token=NPxxxxy0yU5T3tBzho7iCotZ3cnetKwcTIRlX0iwRl0 注意这个请求不需要签名。

用户登录 Twitter 并授权您的应用程序后,他们将收到一个验证码 (oauth_verifier) 以传回您的应用程序(第 4 步)。

然后,您向 Twitter 发出请求以将请求令牌交换为访问令牌。这是通过将包含 oauth_verifier 代码的签名请求发布到 Twitter 访问令牌 url ( https://api.twitter.com/oauth/access_token ) 来实现的。签名密钥是使用百分比编码的消费者秘密构造的,该百分比编码的消费者秘密附加到使用 & 字符的百分比编码的请求令牌秘密(步骤 5)。

如果一切正常,Twitter 将使用 access_token 和 access_token_secret 进行响应(步骤 6)。您可以使用这些令牌代表用户发出所有未来的请求(步骤 7)。这些请求的签名密钥是使用百分比编码的消费者秘密构造的,该百分比编码的消费者秘密附加到使用与号字符的百分比编码的访问令牌秘密。

最后一点,不记名令牌是 OAuth 2 的一部分,其授权流程与 OAuth 1.0a 完全不同。

如果您需要检查您的 OAuth 签名,您可以使用这样的实用程序

于 2013-05-20T09:08:50.533 回答