3

因此,我使用gadgets.io.makeRequest(url, callback, params)从 Gmail 上下文小工具发出请求并在服务器端验证这些请求。

为了澄清,我在小工具端使用了以下 makeRequest 参数:

params[gadgets.io.RequestParameters.CONTENT_TYPE] = gadgets.io.ContentType.DOM;
params[gadgets.io.RequestParameters.AUTHORIZATION] = gadgets.io.AuthorizationType.SIGNED;
params["OAUTH_SERVICE_NAME"] = "HMAC";
params[gadgets.io.RequestParameters.METHOD] = gadgets.io.MethodType.GET;

我从https://www.google.com/gadgets/directory/verify
获得了小工具的 consumerKey 和 consumerSecret根据 Google 的文档,请求是由容器根据OAuth 签名过程HMAC-SHA1 方法签名的。

在服务器端,我收到以下请求:

http://my.dev.machine.com/blapage.aspx?oauth_body_hash=2jmj7l5rSw0yVb/vlWAYkK/YBwk=&opensocial_owner_id=103030060674287937707&opensocial_viewer_id=103030060674287937707&opensocial_app_id=103129310198020657787&opensocial_app_url=http://my.dev.machine.com/gadget.xml&oauth_version=1.0&oauth_timestamp =1284403586&oauth_nonce=6436223395511631796&opensocial_container=http://mail.google.com&oauth_consumer_key=419336943235&oauth_signature_method=HMAC-SHA1&oauth_signature=bshZj9XOXECdYiyR1J8Etnadv5c=

然后我根据谷歌应该使用的相同 OAuth 规范签署这个请求,但签名不匹配。

我已经尝试使用 2 个不同的库对请求进行签名:

  1. 我们自己开发的 .Net 库,用于对 Gmail IMAP OAuth 授权请求进行签名(它使用相同的签名方法,并且在那里工作得很好)。
  2. 贡献的 opensocial 库之一(http://code.google.com/p/opensocial-net-client/

两个库都产生相似的签名基本字符串。然而,奇怪的是,它们产生了不同的签名,并且这些签名都不匹配谷歌在 oauth_signature 参数中发送的签名!

各位小工具开发者,我希望你们中的某个人比我更幸运,并且使这种签名验证方法起作用。请告诉我我在这里做错了什么。

提前谢谢,
布鲁

4

2 回答 2

1

我成功地使用了这个:

public Boolean ValidateSignature(String method, Uri url)
        {
            String normalizedUrl, normalizedRequestParameters;

            List<QueryParameter> parameters = new List<QueryParameter>();
            parameters.AddRange(GetQueryParameters(url.Query));

            var sigParam = parameters.Find(p => p.Name == OAuthSignatureKey);
            if (sigParam == null)
                return false;
            var expected = sigParam.Value;

            parameters.Remove(parameters.Find(p => p.Name == OAuthSignatureKey));
            parameters.Sort(new QueryParameterComparer());

            normalizedUrl = string.Format("{0}://{1}", url.Scheme, url.Host);
            if (!((url.Scheme == "http" && url.Port == 80) || (url.Scheme == "https" && url.Port == 443)))
            {
                normalizedUrl += ":" + url.Port;
            }
            normalizedUrl += url.AbsolutePath;
            normalizedRequestParameters = NormalizeRequestParameters(parameters);

            StringBuilder signatureBase = new StringBuilder();
            signatureBase.AppendFormat("{0}&", method.ToUpper());
            signatureBase.AppendFormat("{0}&", UrlEncode(normalizedUrl));
            signatureBase.AppendFormat("{0}", UrlEncode(normalizedRequestParameters));

            HMACSHA1 hmacsha1 = new HMACSHA1();
            hmacsha1.Key = Encoding.ASCII.GetBytes(string.Format("{0}&{1}", UrlEncode(ConsumerSecret), ""));//string.IsNullOrEmpty(tokenSecret) ? "" : UrlEncode(tokenSecret)));

            var computed = GenerateSignatureUsingHash(signatureBase.ToString(), hmacsha1);
            return expected == UrlEncode(computed);
        }

连同您可以在此处找到的代码:http: //oauth.googlecode.com/svn/code/csharp/OAuthBase.cs

编辑:通过 get 或 post 发出请求和发送参数时,这不起作用。问题似乎是Gmail对参数进行排序,大写字符在前。我只使用小写参数,但您可以轻松修复代码以确保大写在小写之前。

于 2011-05-19T12:10:09.303 回答
1

Daniels 方法只需稍作改动即可正常工作。

  • GetQueryParameters 需要一个实现来检索所有查询参数。OAuthBase 中的实现只返回那些不以 'oauth_' 为前缀的

我的主要问题是拨打电话的小工具使用 gadgets.io.makeRequest 到“http://myserver.com”,但处理页面是“http://myserver.com/default.aspx”。由于这种差异,签名未验证。使用 Gadget 中的 gadgets.io.makeRequest 调用“http://myserver.com/default.aspx”解决了问题。

于 2011-09-06T09:27:06.690 回答