厦门大学图书馆技术部 肖铮

OAuth 介绍 利用 OAuth 实现第三方账号在图书馆系统的登录 基于 OAuth 的应用扩展

Open Authentication OAuth 是一个开放标准 OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。

随着 Web 服 务的增多，用户希望这些服务能够协同工作来满足新的需求。没有任何一个站点可以完美地满足用户的所有需求，用户可以使用一个站点保存照片，一个存放视频， 一个收发邮件等等。为了实现这种整合，一个站点需要访问另一个站点的用户资源，而这些资源经常是受保护的（家庭照片、工作文档、银行记录）。他们需要一个 能进入这些站点的授权。 一个实例： Basic Auth 要求 Twitter 应用把用户名和口令直接附加在 HTTP

或 HTTPS 协议头中发送给 Twitter API 。这样， Twitter 应用势必要求用户在其应用中输入自己的 Twitter 用户名和口令，从而可以把 Twitter 的用户名和口令附加在 HTTP(S) 协议中发送给 Twitter 。这样 Twitter 应用开发者就能知道使用了他的 Twitter 应用的用户的所有用户名和密码，这样开发者就 能随意使用这些 Twitter 账号登陆 Twitter 做任何操作了。比如，可以修改用户的 Twitter 密码，甚至直接去 Twitter 的 Settings 中删除这个帐号。这将带来潜在的安全性题。

2007 年 12 月 4 日发布了 OAuth Core 1.0： 此版本的协议存在严重的安全漏洞：

OAuth Security Advisory: 2009.1，更详细的介绍可以参考：Explaining the OAuth Session Fixation Attack。

2009 年 6 月 24 日发布了 OAuth Core 1.0 Revision A： 2010年4 月， OAuth 1.0 协议发表为 RFC 5849，一个非正式

RFC。 目前， OAuth2.0 协议是 OAuth 的下一个全新版本，与 OAuth1.0并不兼容，目前还不稳定。 OAuth 2.0 能够同时支持“ Web 应用、桌面应用、移动终端、家庭设备”等等。 OAuth 2.0 将成为未来开放平台领域标准的授权协议，并且随着技术发展，这将不仅仅是一个简单的协议，而会成为一个解决各种环境下授权问题的标准的协议族。

Service Providers （服务提供方）：拥有某些需要授权才能使用的 API 的一方 Consumers （应用程序方）：希望使用 API 的一方 Users （最终用户）：资源的拥有者

Twitter ， Google ， Facebook ， Flickr ， MSN ， Foursquare ……

Sina ， QQ ，人人，豆瓣，网易，百度，天涯，淘宝， Sohu ，开心网……

图书馆是否需要 OAuth？ 图书馆如何应用 OAuth？

新浪微博要求所有的 OAuth请求都使用HMAC-SHA1算法生成签名。

关于具体技术细节可参加 http://open.weibo.com/wiki/Oauth

sina绑定数： 342 qq绑定数： 256 renren绑定数： 174

与现有系统账号的绑定处理流程 使用 SDK

广播借阅信息私信超期提醒 ……

肖 铮zhx@xmulib.org