OAuth avec Vérification .NET

Je suis en train de créer un .NET-based application cliente (en WPF - bien que pour le moment je fais juste comme une application console) pour l'intégration avec OAuth application activée, spécifiquement Mendeley (http://dev.mendeley.com), qui utilise apparemment 3 pattes OAuth.

C'est ma première fois en utilisant OAuth, et je vais avoir beaucoup de difficultés à commencer avec elle. J'ai trouvé plusieurs .NET OAuth bibliothèques ou des aides, mais ils semblent être plus compliqué que je pense que j'ai besoin. Tout ce que je veux faire est d'être en mesure d'émettre des requêtes REST à la Mendeley API et d'obtenir des réponses!

Jusqu'à présent, j'ai essayé:

La première (DotNetOpenAuth) semble comme il pourrait éventuellement faire ce dont j'ai besoin si j'ai passé des heures et des heures à essayer de trouver comment. La deuxième et la troisième, du mieux que je peux dire, ne prennent pas en charge les codes de validation que Mendeley est l'envoi de retour, même si j'ai peut-être tort sur ce point 🙂

J'ai une clé et le secret de Mendeley, et avec DotNetOpenAuth j'ai réussi à obtenir un navigateur lancé avec la Mendeley page fournissant un code de vérification pour l'utilisateur de saisir dans l'application. Toutefois, à ce stade, je suis perdu et ne savait plus comment raisonnablement prévoir que le retour à l'application.

Je suis très disposé à admettre que je n'ai aucune idée de par où commencer avec ça (bien qu'il semble qu'il y a une courbe d'apprentissage abrupte) - si quelqu'un peut me pointer dans la bonne direction, je l'apprécie!

InformationsquelleAutor John | 2010-10-23
  1. 178

    Je suis d'accord avec vous. L'open-source OAuth des cours de soutien disponibles pour .NET applications sont difficiles à comprendre, trop compliqué (nombre de méthodes sont exposées par DotNetOpenAuth?), mal conçu (regardez les méthodes avec 10 paramètres de la chaîne dans le OAuthBase.cs module de google le lien que vous avez fourni - il n'y a pas de gestion de l'état à tous), ou de façon peu satisfaisante.

    Il n'a pas besoin d'être compliqué.

    Je ne suis pas un expert sur le protocole OAuth, mais j'ai produit un client OAuth gestionnaire de côté classe, que j'utilise avec succès avec Twitter et TwitPic. C'est relativement simple à utiliser. Il est open source et disponible ici: Oauth.cs

    Pour examen, dans OAuth 1.0 a...plutôt drôle, il y a un nom spécial, et il ressemble à un "standard", mais autant que je sache, le seul service qui implémente "OAuth 1.0 a" est Twitter. Je suppose que c'est la norme assez. ok, de toute façon dans OAuth 1.0 a, la façon dont il fonctionne pour les applications de bureau est-ce:

    1. Vous, le développeur de l'application, inscrire l'application et d'obtenir un "consommateur" et le "code secret". Sur Arstechnica, il y a un bien écrit, d'une analyse des raisons pour lesquelles ce modèle n'est pas le meilleur, mais comme ils le disent, c'est ce qu'il est.

    2. Votre application s'exécute. La première fois qu'il fonctionne, il a besoin d'obtenir de l'utilisateur explicitement d'accorder l'agrément pour l'application de faire oauth authentifié RESTE demandes de Twitter et de sa sœur (services comme TwitPic). Pour ce faire, vous devez passer par un processus d'approbation, impliquant l'autorisation expresse de l'utilisateur. Cela se produit uniquement la première fois que l'application s'exécute. Comme ceci:

      • demande un "jeton de demande". Aka jeton temporaire.
      • pop une page web, en passant, que la demande de jeton de la requête en tant que param. Cette page web présente une INTERFACE utilisateur pour l'utilisateur, en demandant "voulez-vous accorder l'accès à cette application?"
      • l'utilisateur se connecte à twitter page web, et accorde ou refuse l'accès.
      • la réponse page html s'affiche. Si l'utilisateur a accès, il y a un code PIN affiché dans un délai de 48-pt police
      • l'utilisateur doit maintenant couper/coller ce code dans un formulaire windows, puis cliquez sur "Suivant" ou quelque chose de similaire.
      • l'application de bureau, puis un oauth demande authentifiée par un "jeton d'Accès". Un autre RESTE de la demande.
      • l'application de bureau, reçoit le "jeton d'accès" et "accès secret".

    Après l'approbation de la danse, de l'application de bureau peut simplement utiliser l'utilisateur spécifique "jeton d'accès" et "accès secret" (avec l'application spécifique de "consommateur" et le "code secret") à faire authentifié demandes au nom de l'utilisateur de Twitter. Ces n'ont pas d'échéance, même si l'utilisateur de-autorise l'application, ou si Twitter est pour une raison de-autorise votre application, ou si vous perdez votre jeton d'accès et/ou de secret, vous devez faire l'approbation de la danse à nouveau.

    Si vous n'êtes pas intelligent, le flux d'INTERFACE utilisateur peut sorte de miroir de la multi-étape d'authentification OAuth flux de messages. Il ya une meilleure façon.

    Utiliser un contrôle WebBrowser, et ouvrir l'autoriser page web dans l'application de bureau. Lorsque l'utilisateur clique sur "Autoriser", saisir le texte de la réponse à partir de ce contrôle WebBrowser, extraire le code PIN automatiquement, puis obtenir les jetons d'accès. Vous envoyer 5 ou 6 requêtes HTTP, mais l'utilisateur doit voir qu'une seule Autoriser/Refuser le dialogue. Simple.

    Comme ceci:

    OAuth avec Vérification .NET

    Si vous avez de l'INTERFACE utilisateur triées, le seul problème qui reste est de produire oauth signé demandes. Cette voyages jusqu'à beaucoup de gens parce que la oauth exigences de signature sont un peu particulier. C'est ce que l'simplifié OAuth Gestionnaire de classe.

    Exemple de code pour demander un jeton:

    var oauth = new OAuth.Manager();
//the URL to obtain a temporary "request token"
var rtUrl = "https://api.twitter.com/oauth/request_token";
oauth["consumer_key"] = MY_APP_SPECIFIC_KEY;
oauth["consumer_secret"] = MY_APP_SPECIFIC_SECRET;    
oauth.AcquireRequestToken(rtUrl, "POST");

    QUE C'EST. Simple. Comme vous pouvez le voir dans le code, le chemin pour se rendre à oauth paramètres est par l'intermédiaire d'une chaîne à l'indexeur, quelque chose comme un dictionnaire. Le AcquireRequestToken méthode envoie un oauth demande signée à l'URL du service de subventions de demander des jetons, aka temporaire des jetons. Pour Twitter, cette URL est "https://api.twitter.com/oauth/request_token". Oauth spec dit que vous avez besoin pour emballer l'ensemble des paramètres d'authentification oauth (jeton, token_secret, nonce, timestamp, consumer_key, la version, et le rappel), d'une certaine manière (url-encodée, et rejoint par des esperluettes ( & ), et dans une lexicographiquement-de l'ordre de tri, de générer une signature sur ce résultat, puis emballer ces mêmes paramètres avec la signature, stockée dans la nouvelle oauth_signature paramètre, d'une manière différente (rejoint par des virgules). OAuth gestionnaire de classe le fait pour vous automatiquement. Il génère des nonces et les horodatages et les versions et signatures automatiquement votre application n'a pas besoin de soins ou d'être conscient de ce genre de choses. Il suffit de régler le oauth les valeurs de paramètre et de faire un simple appel de méthode. le gestionnaire de classe envoie la demande et analyse de la réponse pour vous.

    Ok, alors quoi? Une fois que vous obtenir le jeton de demande, vous pop le navigateur web de l'INTERFACE utilisateur dans laquelle l'utilisateur est explicitement d'accorder l'approbation. Si vous le faites correctement, vous aurez la pop dans un navigateur intégré. Pour Twitter, l'URL de ce qui est "https://api.twitter.com/oauth/authorize?oauth_token=" avec la oauth_token ajouté. Le faire dans le code comme ceci: 

    var url = SERVICE_SPECIFIC_AUTHORIZE_URL_STUB + oauth["token"];
webBrowser1.Url = new Uri(url);

    (Si vous faisiez cela dans un navigateur externe que vous souhaitez utiliser System.Diagnostics.Process.Start(url).)

    Paramètre de l'Url de propriété entraîne le contrôle WebBrowser pour naviguer jusqu'à la page automatiquement.

    Lorsque l'utilisateur clique sur le bouton "Autoriser" une nouvelle page va être chargé. C'est un formulaire HTML et il fonctionne de la même comme dans un navigateur complet. Dans votre code, enregistrer un gestionnaire pour l'DocumentedCompleted cas de contrôle WebBrowser, et dans ce gestionnaire, saisir le code pin:

    var divMarker = "<div id=\"oauth_pin\">"; //the div for twitter's oauth pin
var index = webBrowser1.DocumentText.LastIndexOf(divMarker) + divMarker.Length;
var snip = web1.DocumentText.Substring(index);
var pin = RE.Regex.Replace(snip,"(?s)[^0-9]*([0-9]+).*", "$1").Trim();

    C'est un peu de HTML capture d'écran.

    Après avoir saisi le code pin, vous n'avez pas besoin de le navigateur web, pas plus, donc: 

    webBrowser1.Visible = false; //all done with the web UI

    ...et vous pouvez en Disposer() sur elle ainsi.

    La prochaine étape consiste à obtenir le jeton d'accès, par l'envoi d'un autre message HTTP avec code pin. C'est un autre signé le protocole oauth appel, construit avec oauth de commande et de mise en forme que j'ai décrit ci-dessus. Mais encore une fois c'est vraiment simple avec OAuth.Le gestionnaire de classe:

    oauth.AcquireAccessToken(URL_ACCESS_TOKEN,
                         "POST",
                         pin);

    Pour Twitter, l'URL est "https://api.twitter.com/oauth/access_token".

    Vous avez maintenant accès à jetons, et vous pouvez les utiliser dans signé des requêtes HTTP. Comme ceci: 

    var authzHeader = oauth.GenerateAuthzHeader(url, "POST");

    ...où url est la ressource de point de terminaison. Pour mettre à jour le statut de l'utilisateur, il serait "http://api.twitter.com/1/statuses/update.xml?status=Hello".

    Ensuite, réglez cette chaîne dans l'en-Tête HTTP nommée Autorisation.

    Pour interagir avec les services de tiers, comme TwitPic, vous devez construire un légèrement différentes OAuth en-tête, comme ceci: 

    var authzHeader = oauth.GenerateCredsHeader(URL_VERIFY_CREDS,
                                            "GET",
                                            AUTHENTICATION_REALM);

    Pour Twitter, les valeurs pour le vérifier creds url et le royaume "https://api.twitter.com/1/account/verify_credentials.json", et "http://api.twitter.com/", respectivement.

    ...et mettre que autorisation chaîne dans un en-tête HTTP appelée X-Vérifiez-les informations d'Identification de l'Autorisation. Ensuite, envoyez-le à votre service, comme TwitPic, ainsi que tout ce que demande que vous envoyez.

    Que c'est.

    Tous ensemble, le code de mise à jour de statut twitter pourrait être quelque chose comme ceci: 

    //the URL to obtain a temporary "request token"
var rtUrl = "https://api.twitter.com/oauth/request_token";
var oauth = new OAuth.Manager();
//The consumer_{key,secret} are obtained via registration
oauth["consumer_key"] = "~~~CONSUMER_KEY~~~~";
oauth["consumer_secret"] = "~~~CONSUMER_SECRET~~~";
oauth.AcquireRequestToken(rtUrl, "POST");
var authzUrl = "https://api.twitter.com/oauth/authorize?oauth_token=" + oauth["token"];
//here, should use a WebBrowser control. 
System.Diagnostics.Process.Start(authzUrl);  //example only!
//instruct the user to type in the PIN from that browser window
var pin = "...";
var atUrl = "https://api.twitter.com/oauth/access_token";
oauth.AcquireAccessToken(atUrl, "POST", pin);

//now, update twitter status using that access token
var appUrl = "http://api.twitter.com/1/statuses/update.xml?status=Hello";
var authzHeader = oauth.GenerateAuthzHeader(appUrl, "POST");
var request = (HttpWebRequest)WebRequest.Create(appUrl);
request.Method = "POST";
request.PreAuthenticate = true;
request.AllowWriteStreamBuffering = true;
request.Headers.Add("Authorization", authzHeader);

using (var response = (HttpWebResponse)request.GetResponse())
{
    if (response.StatusCode != HttpStatusCode.OK)
        MessageBox.Show("There's been a problem trying to tweet:" +
                        Environment.NewLine +
                        response.StatusDescription);
}

    OAuth 1.0 est un peu compliqué sous les couvertures, mais son utilisation n'a pas besoin d'être.
    Le Protocole OAuth.Le gestionnaire gère la génération de sortants oauth demandes, et la réception et le traitement de l'authentification oauth contenu dans les réponses. Lorsque le Request_token demande vous donne un oauth_token, votre application n'a pas besoin de le stocker. Le Protocole Oauth.Le gestionnaire est assez intelligent pour le faire automatiquement. De même, lorsque l'access_token demande récupère un jeton d'accès et de secret, vous n'avez pas besoin de stocker explicitement ces. Le Protocole OAuth.Manager traite que de l'état pour vous.

    Dans les passages suivants, lorsque vous avez déjà le jeton d'accès et de secret, vous pouvez instancier la OAuth.Gestionnaire comme ceci: 

    var oauth = new OAuth.Manager();
oauth["consumer_key"] = CONSUMER_KEY;
oauth["consumer_secret"] = CONSUMER_SECRET;
oauth["token"] = your_stored_access_token;
oauth["token_secret"] = your_stored_access_secret;

    ...et puis de générer l'autorisation des en-têtes ci-dessus. 

    //now, update twitter status using that access token
var appUrl = "http://api.twitter.com/1/statuses/update.xml?status=Hello";
var authzHeader = oauth.GenerateAuthzHeader(appUrl, "POST");
var request = (HttpWebRequest)WebRequest.Create(appUrl);
request.Method = "POST";
request.PreAuthenticate = true;
request.AllowWriteStreamBuffering = true;
request.Headers.Add("Authorization", authzHeader);

using (var response = (HttpWebResponse)request.GetResponse())
{
    if (response.StatusCode != HttpStatusCode.OK)
        MessageBox.Show("There's been a problem trying to tweet:" +
                        Environment.NewLine +
                        response.StatusDescription);
}

    Vous pouvez télécharger une DLL contenant les OAuth.Le gestionnaire de classe ici. Il y a également un fichier d'aide dans le téléchargement. Ou vous pouvez afficher le fichier d'aide en ligne.

    Voir un exemple d'un Formulaire Windows qui utilise ce gestionnaire de ici.

    EXEMPLE DE TRAVAIL

    Télécharger un exemple de travail d'un outil de ligne de commande qui utilise la classe et de la technique décrite ici:

    • Salut, merci beaucoup pour votre réponse! En fait, j'ai passé de l'OAuth (j'ai renoncé à Mendeley et sont allés avec un autre) - mais j'ai lu sur votre réponse, cela fait beaucoup de sens et est très complet. J'ai aussi marqué la classe que vous avez écrit pour l'avenir toute fois je peut en avoir besoin! Encore un grand merci.
    • Salut Cheeso, merci pour le partage de votre code et les explications détaillées. Vous avez fourni un excellent encore la solution la plus simple. Cependant, vous aurez envie de faire un petit changement dans votre GetSignatureBase méthode à l'appui d'un "oob" des solutions. Pour les non "oob", vous devez encoder le rappel, de sorte que vous aurez envie d'ajouter quelque chose comme cela, lorsque vous êtes parcourant ce._params: si (p1.Key == "callback") {p.Add("oauth_" + p1.Clé, UrlEncode(p1.Valeur));continue;}
    • +1 Merci pour la réponse détaillée. Une chose tho: je suis une exception dans votre classe lorsque j'utilise "oauth_callback", elle ressemble à une option valable, mais votre code ne l'aime pas (ArgumentException).
    • Est la vérification du code PIN peut être fait une fois? Dans mon application, j'ai trouvé que je peux vérifier avec code PIN correct une fois. Si j'essaie avec de la fausse pin, puis essayez avec code PIN correct, il n'est pas de travail.
    • L'homme que j'ai été tellement frustré par les différents OAuth des exemples et des outils que j'ai rencontré et il était prêt à renoncer à elle mais votre post, et Oauth.cs vraiment clarifié les choses.
    • Utilisé aujourd'hui pour Twitter connexions. Simple et sympathique, merci. J'ai utilisé la dernière version du code à partir d'ici: cropperplugins.codeplex.com/SourceControl/... qui a la mise à jour pour l'encodage url de callback mentionné dans les commentaires ci-dessus.
    • C'est de loin la plus simple explication de l'exemple simple d'authentification OAuth pour .NET je suis venu à travers. Mais j'ai eu la même question que Kaitlyn: est-ce de travailler pour le protocole OAuth 2.0?
    • Cela ne fonctionne pas pour le protocole OAuth 2.0. Cette classe est pour OAuth 1.0. OAuth2.0 est beaucoup plus simple à utiliser, car il n'y a pas de signature et de tri lexicographique des différents paramètres. Donc, vous n'avez probablement pas besoin d'une classe externe pour faire OAuth 2.0, ou... si vous avez besoin d'une classe externe, il va être beaucoup plus simple que celui-ci.
    • Salut Cheeso, Merci pour l'incroyable explication et exemple. Cependant, je suis en train d'automatiser ce processus d'authentification sans interaction de l'utilisateur. Est-il un moyen de contourner l'utilisateur processus d'attribution des subventions et viens d'obtenir le jeton d'accès? ou est le jeton d'Accès jamais à expiration? Si non peut-être je peux ré-utiliser le jeton d'accès une fois le processus d'authentification est fait.
    • le fichier d'aide en ligne non trouvé: cheeso.members.winisp.net/OAuthManager1.1
    • Tous les liens semblent brisés. J'ai trouvé une copie ici: gist.github.com/DeskSupport/2951522#file-oauth-cs
    • Bonjour, j'ai besoin de travailler avec l'API REST donc installer oAuth, en fait je suis en utilisant Magento, En localhost, j'ai installé oAuth, en live serveur comment puis-je installer, je suis à l'aide de GoDaddy serveur VPS?

    InformationsquelleAutor