6

正如标题所述,我想从本机 Java 桌面应用程序访问bitbucket API 。Bitbucket 要求应用程序使用 OAuth2,为此我发现Oltu应该可以完成这项工作。

但是,我对 OAuth 的了解非常有限,因此我还处于很早的阶段。这是我到目前为止所做的:

第 1 步:我使用我的 Bitbucket 帐户注册了一个 OAuth 消费者,并提供了以下详细信息:

Name: jerseytestapp
Description:
CallbackURL: http://localhost:8080/
URL:

问题一:我可以自动执行此步骤吗?

第 2 步:我运行了以下 Java 代码:

package jerseytest;

import org.apache.oltu.oauth2.client.request.OAuthClientRequest;
import org.apache.oltu.oauth2.common.exception.OAuthSystemException;

public class BitbucketJersey {

    public static void main(String[] args) {
    OAuthClientRequest request;
    try {
        request = OAuthClientRequest
                .authorizationLocation("https://bitbucket.org/site/oauth2/authorize")
                .setClientId("jerseytestapp")
                .setRedirectURI("http://localhost:8080")
                .buildQueryMessage();

            System.out.println(request.getLocationUri());

        } catch (OAuthSystemException e) {
            e.printStackTrace();
        }
    }

}

第 3 步:我收到以下 locationURI 并在 Firefox 中打开

https://bitbucket.org/site/oauth2/authorize?redirect_uri=http%3A%2F%2Flocalhost%3A8080&client_id=jerseytestapp

问题 2:我需要使用浏览器还是可以从 Java 应用程序执行此操作?

我在 Firefox 中收到以下回复消息:

Invalid client_id
This integration is misconfigured. Contact the vendor for assistance.

问题 3:接下来正确的步骤是什么,我的方法有什么问题?

4

2 回答 2

7

答案 1:您可以自动创建 OAuth 消费者,但您可能不想这样做。

Bitbucket 提供了有关如何通过其 API 创建消费者的文档,尽管该文档缺少许多相关字段。即便如此,您仍然可以以编程方式制作 HTTP 请求,该请求模仿 Bitbucket 的 Web 界面为创建消费者所做的任何事情。所以是的,它可以是自动化的。

这就是您可能不想这样做的原因。在您的情况下,您需要协同工作的三件事:您的应用程序、最终用户和 Bitbucket。(或者根据此流程的 OAuth 术语,它们分别是客户端、资源所有者和授权服务器。)做事的正常方式是您的应用程序由您创建的 OAuth 使用者唯一标识您的帐户,以及您的应用程序对 Bitbucket 的所有使用都将使用该单个 OAuth 消费者来识别您的应用程序。因此,除非您正在开发生成其他 Bitbucket 应用程序的 Bitbucket 应用程序,否则您无需自动创建其他 OAuth 使用者。

答案 2:您可以直接从 Java 应用程序进行授权。

Bitbucket 声明它支持RFC-6749中定义的所有四种授权流/类型。您的代码当前正在尝试使用授权代码授予类型。使用此授权类型将强制您使用浏览器。但这并不是桌面应用程序的这种授权类型的唯一问题。如果没有公共网络服务器指向,您将不得不在回调 URL 中使用 localhost,正如您已经在做的那样。这是一个很大的安全漏洞,因为恶意软件可能会拦截到您的回调 URL 的流量,以获取对最终用户仅授予您的应用程序的令牌的访问权限。(有关该主题的更多讨论,请参阅有关此 stackoverflow 问题的评论。)相反,您应该使用Resource Owner Password Credentials 授予类型,允许您直接在应用程序中验证 Bitbucket 的用户名和密码,无需外部浏览器或回调 URL。Bitbucket 在此处提供了有关如何使用该授权类型的示例 curl 命令。

答案 3:正确的下一步是按照以下示例对代码进行建模。您的方法有什么问题是您尝试使用不适合您需求的授权类型,并且您尝试使用 OAuth 使用者的名称来识别您的应用程序,而不是您的使用者的密钥和秘密。

以下代码示例使用我自己的用户名/密码/密钥/秘密组合成功检索了访问令牌,其值已被替换。代码使用 JDK 1.8.0_45 和 org.apache.oltu.oauth2:org.apache.oltu.oauth2.client:1.0.0 进行了测试。

OAuthClientRequest request = OAuthClientRequest
    .tokenLocation("https://bitbucket.org/site/oauth2/access_token")
    .setGrantType(GrantType.PASSWORD)
    .setUsername("someUsernameEnteredByEndUser")
    .setPassword("somePasswordEnteredByEndUser")
    .buildBodyMessage();
String key = "yourConsumerKey";
String secret = "yourConsumerSecret";
byte[] unencodedConsumerAuth = (key + ":" + secret).getBytes(StandardCharsets.UTF_8);
byte[] encodedConsumerAuth = Base64.getEncoder().encode(unencodedConsumerAuth);
request.setHeader("Authorization", "Basic " + new String(encodedConsumerAuth, StandardCharsets.UTF_8));
OAuthClient oAuthClient = new OAuthClient(new URLConnectionClient());
OAuthResourceResponse response = oAuthClient.resource(request, OAuth.HttpMethod.POST, OAuthResourceResponse.class);
System.out.println("response body: " + response.getBody());
于 2015-07-06T06:32:24.393 回答
4

您的主要问题是您提供的是客户名称而不是客户 ID:

.setClientId("jerseytestapp")

获取我知道的客户端 ID 的唯一方法是查询: https: //bitbucket.org/api/1.0/users/ your_account_name /consumers

但是,即使那样它仍然无法正常工作,所以我联系了 bitbucket 支持。事实证明,该文档具有误导性。您实际上需要使用客户端密钥。

.setClientId("ydrqABCD123QWER4567") // or whatever your case might be

https://bitbucket.org/site/oauth2/authorize?client_id=client_key & response_type =token

于 2015-07-07T16:52:23.173 回答