我正在尝试在我正在从事的一个项目中实现OAuth 2.0。我能够使用身份验证服务器进行身份验证,但是资源服务器出现问题。我们正在使用 MAC 令牌(规范)。您可以在规范的 3.1 中看到我需要发送一个授权请求标头,其中包括以下内容。我无法理解这一点。有人可以告诉我我应该在这里做什么吗?
credentials = "MAC" [ RWS 1#param ]
param = id /
nonce /
body-hash /
ext /
mac
id = "id" "=" <"> plain-string <">
nonce = "nonce" "=" <"> 1*DIGIT ":" plain-string <">
body-hash = "bodyhash" "=" <"> plain-string <">
ext = "ext" "=" <"> plain-string <">
mac = "mac" "=" <"> plain-string <">
plain-string = 1*( %x20-21 / %x23-5B / %x5D-7E )
更新
我觉得我正在到达某个地方,但感觉我离解决这个问题还很远。
所以我正在构建如下的东西
StringBuilder header = new StringBuilder("MAC ").append("id="").append(sharedPrefs.getString(Constants.ACCESS_TOKEN, "error")).append("",nonce="").append(createNonce()).
append("",bodyhash="").append(bodyHash).append("",mac="").append(mac).append(""");
我这样计算正文哈希
public static String SHA256(String text) throws UnsupportedEncodingException {
MessageDigest md = null;
try {
md = MessageDigest.getInstance("SHA-256");
} catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
byte[] shahash = new byte[40];
md.update(text.getBytes("iso-8859-1"), 0, text.length());
shahash = md.digest();
return Base64.encodeToString(shahash, Base64.DEFAULT);
}
而像这样的Mac
电脑private String hmacSHA256(String data) throws Exception {
String key = sharedPrefs.getString(Constants.SECRET, "error");
SecretKeySpec secretKey = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA256");
Mac mac = Mac.getInstance("HmacSHA256");
mac.init(secretKey);
byte[] hmacData = mac.doFinal(data.getBytes("UTF-8"));
//Log.i(TAG, "BYTE ARRAY TO STRING: " + Base64.encodeToString(hmacData, Base64.DEFAULT));
String value = Base64.encodeToString(hmacData, Base64.DEFAULT);
return value;
}
我遇到了问题,因为服务器没有响应。这真的让我发疯,我无法想象这个文档对任何人都清楚。
您需要
注意,MAC 访问身份验证方案是 oauth2 协议的扩展,类似于 HTTP Basic 访问,但可选,因此无需在每个资源服务器中实现这一点。
因此,如果您发出未经身份验证的请求,并且资源服务器响应如下:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: MAC
MAC 表示允许您使用此身份验证方案。
目前,基于 oauth2 的资源服务器实现的最常见的身份验证方案是:持有者。
<小时 />如果你仍然担心如何实现这个规范,Github上的Android有一个很好的来源来完成它。可能你需要的java类就是这个。
玩得愉快!