1

我正在尝试oauth2在 Pyramid 应用程序中生成一个请求令牌,以控制对我正在开发的 API 的访问。我一直试图验证我的消费者密钥和秘密工作从这个例子。在 Pyramid request_token 端点上,我有以下内容:

@view_config(route_name = "api_request_token", request_method = "GET")
def api_request_token(request):
    auth_header = {}
    if ('Authorization' in request.headers):
        auth_header = {'Authorization': request.headers['Authorization']}

    req = oauth2.Request.from_request(
        request.method,
        request.url,
        headers = auth_header,
        query_string = request.query_string)

    try:
        oauth_server.verify_request(req, ConsumerKeySecret.getByConsumerKey(request.params.get('oauth_consumer_key')), None)
    except oauth2.Error, e:
        print e
    except KeyError, e:
        print e
    except Exception, e:
        print e

ConsumerKeySecret.getByConsumerKey是一个 SQLAlchemy 模型类方法,它为给定的key和设置实例变量。)secretkey

在消费者方面,再次遵循前面提到的博客文章,我正在执行以下操作:

def build_request(url, method='GET'):
    params = {                                            
        'oauth_version': "1.0",
        'oauth_nonce': oauth2.generate_nonce(),
        'oauth_timestamp': int(time.time()),
        'oauth_signature_method': 'HMAC-SHA1',
    }
    consumer = oauth2.Consumer(key='b9085cb942dc427c92dd', secret='1735fd5b090381dcaf57')
    params['oauth_consumer_key'] = consumer.key
    req = oauth2.Request(method=method, url=url, parameters=params)
    signature_method = oauth2.SignatureMethod_HMAC_SHA1()
    req.sign_request(signature_method, consumer, None)
    return req

request = build_request("http://localhost:6543/api/01/request_token")
u = urllib2.urlopen(request.to_url())

但是,验证失败,并出现以下错误:

Invalid signature. Expected signature base string: GET&http%3A%2F%2Flocalhost%3A6543%2Fapi%2F01%2Frequest_token&oauth_body_hash%3D2jmj7l5rSw0yVb%252FvlWAYkK%252FYBwk%253D%26oauth_body_hash%3D2jmj7l5rSw0yVb%252FvlWAYkK%252FYBwk%253D%26oauth_consumer_key%3Db9085cb942dc427c92dd%26oauth_consumer_key%3Db9085cb942dc427c92dd%26oauth_nonce%3D42023151%26oauth_nonce%3D42023151%26oauth_signature_method%3DHMAC-SHA1%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1310338562%26oauth_timestamp%3D1310338562%26oauth_version%3D1.0%26oauth_version%3D1.0

然而,我在这里感到困惑,因为每个查询字符串参数在“预期”签名中出现两次。可能出了什么问题?

如果这是一个容易回答的问题,我有一个跟进:一旦我实际验证了请求,我如何生成请求令牌?该oauth2库在有关这一点的文档上有点粗略,并且大多数示例似乎都是针对实现消费者的,而不是创建提供者。

谢谢!

更新 回答我自己的问题,给出我认为的答案。从这个错误报告oauth2看来,自从oauth_body_hash我使用GET. 更改它以POST解决问题。奇怪的是,鉴于我也在使用这个库进行测试,无论如何都会发生这种情况。

为了回答第二部分,我相信您可以生成任何随机且足够长的密钥/秘密对。我见过人们将一些随机源的 sha1 散列分成两个 20 个字符的部分。然后,您可以让我们oauth2.Token自动创建您可以在您的authorize_token步骤中使用的 URL。

当然,如果我在这方面有任何错误,请务必让我知道。

4

1 回答 1

1

这听起来就像我遇到的一个问题,但我找到了一个不同的(可能的)解决方案。

看起来所有查询字符串参数都被包含了两次,这在此错误报告中进行了描述:https ://github.com/simplegeo/python-oauth2/issues/21

删除查询字符串参数作为描述的问题为我修复了它。

于 2012-01-27T03:49:37.673 回答