6

我在向 Yammer ( https://www.yammer.com/api_doc.html ) 发出简单的 API 请求时遇到问题。我需要获取https://www.yammer.com/api/v1/groups.xml(组:组列表)。

我正在尝试使用 Net::OAuth::Simple。这是我的 Yammer.pm:

package Yammer;
use strict;
use base qw(Net::OAuth::Simple);
sub new {
    my $class  = shift;
    my %tokens = @_;
    return $class->SUPER::new( tokens => \%tokens, 
        urls   => {
             authorization_url => "https://www.yammer.com/oauth/authorize",
             request_token_url => "https://www.yammer.com/oauth/request_token",
             access_token_url  => "https://www.yammer.com/oauth/access_token",
        },
        protocol_version => '1.0a',
    );
}
sub view_restricted_resource {

    my $self = shift;
    my $url  = shift;
    return $self->make_restricted_request( $url, 'GET' );
}
sub update_restricted_resource {

    my $self         = shift;
    my $url          = shift;
    my %extra_params = @_;
    return $self->make_restricted_request($url, 'POST', %extra_params);    
}

1;

这是我的主要程序:

use Yammer;

# Get the tokens from the command line, a config file or wherever 
my %tokens  = (

    consumer_key => 'Baj7MciMhmnDTwj6kaOV5g',
    consumer_secret => 'ejFlGBPtXwGJrxrEnwGvdRyokov1ncN1XxjmIm34M',
    callback => 'https://www.yammer.com/oauth/authorize',

); 
my $app     = Yammer->new(%tokens);
# Check to see we have a consumer key and secret
unless ($app->consumer_key && $app->consumer_secret) {
    die "You must go get a consumer key and secret from App\n";
} 

# If the app is authorized (i.e has an access token and secret)
# Then look at a restricted resourse
if ($app->authorized) {
    my $response = $app->view_restricted_resource;
    print $response->content."\n";
    exit;
}
# Otherwise the user needs to go get an access token and secret
print "Go to " . $app->get_authorization_url( callback => 'https://www.yammer.com/oauth/authorize?rand=' . rand() ) . "\n";
print "Then hit return after\n";
<STDIN>;
my ($access_token, $access_token_secret) = $app->request_access_token($_);

我收到类似的消息

转到 https://www.yammer.com/oauth/authorize?oauth_token=2sxBkKW1F1iebF2TT5Y7g&callback=https%3A%2F%2Fwww.yammer.com%2Foauth%2Fauthorize%3Frand%3D0.0045166015625

并在此 URL 上授权应用程序。之后,我看到如下消息:

您已成功授权以下应用程序:2GIS_yammer

要完成授权,请返回 2GIS_yammer 应用程序并输入以下代码:

869A

但接下来呢?我必须在哪里输入这个号码?如何执行我需要的请求?

谢谢。罗马

4

1 回答 1

6

您在授权步骤后获得的数字可能是oauth_verifier字符串,需要与 REQUEST 令牌一起发送才能获得 ACCESS 令牌。

这是 oAuth 1.0a 实现的强制性部分(我认为这是现在最常用的实现,因为 2.0 仍然是一个草案,并且没有很多库实现它)。

我猜您没有向提供者发送回调URL,并且他不知道授权后将用户重定向到哪里。当提供者不知道回调 URL 时,他无法将用户重定向回您的(消费者)应用程序。在这种情况下,规范说它应该在屏幕上打印验证器字符串,因此您(用户)可以手动获取它并将其提供给您的(消费者)应用程序,从而构建对 ACCESS TOKEN 的请求。

如果您确实提供了回调 URL(在您对 REQUEST 令牌的第一个请求中),那么您很可能不会看到带有此号码的屏幕,而是您(用户)将自动重定向到带有它的回调 URL。

例如,如果您的回调 url 是:http://myapp.com/oauth/callback,那么提供者将使用查询字符串中的正确值将用户重定向到您的回调 url。

重定向:http://myapp.com/oauth/callback?oauth_token=xxxx&oauth_verifier=yyyy

然后,您的应用程序应获取验证器字符串并将其作为参数添加到 ACCESS TOKEN 请求中(就像您之前使用其他参数(如 nonce、timestamp、oauth_token 等)所做的那样)

作为对最后一个请求的响应(包括oauth_verifier字符串),您应该获得 ACCESS TOKEN。

这是关于oauth_verifier字符串以及为什么在协议中引入它 的一个很好的解释: http ://hueniverse.com/2009/04/explaining-the-oauth-session-fixation-attack/

于 2011-03-09T15:16:02.027 回答