Authenticating to OAuth2 Services[使用OAuth2来进行鉴权]
为了安全的访问线上服务,用户需要在service上进行鉴定,他们需要提供身份的证明。对于一个程序来说,如果是访问第三方的服务,那么这个安全问题就更加复杂。 【比如,你有个资料在A服务器上,但是你需要在B上面对A里面的数据进行操作,这个时候如果把登入A的帐号与密码给B去直接操作就不够安全,简单的方法是先把A上的资料拿下来,再弄到B上面去,然后B再做操作,这又显得很不方便,就是为了解决这样类似的问题,才诞生了OAuth。关于OAuth2的详情,请参考:http://oauth.net/2/,谢谢!】 目前行业内解决这种第三方服务身份鉴定的方法是使用OAuth2协议。OAuth2提供了auth token,它代表用户身份与用户对于程序的授权。这一课演示了如何使用OAuth2连接到Google Server。同样在其他支持OAuth2协议的服务上都可以使用类似的方法。
使用OAuth2有利于:
- 从用户那得到授权,使用账户信息来访问online service。
- 对online service进行鉴定,保护用户利益。
- 处理认证错误。
(1)Gather Information[收集信息]
在开始使用OAuth2之前,你需要获取到下面一些信息:
- 你想访问的服务地址。
- auth scope,app获取到用来表示操作的权限范围的字串。例如,Google Tasks的read-only的auth scope是View your tasks,但是read-write的auth scope是Manage Your Tasks。
- client id与client secret。用来表示身份的字串。你需要直接从service提供者那边获取那些字串。文章Getting Started with the Tasks API and OAuth 2.0 on Android解释了如何使用Google Tasks API来获取那些需要的字串。
(2)Request an Auth Token[请求一个授权口令]
现在你准备请求一个auth token,下面是请求流程图。
为了获取到auth token,你首先需要在manifest文件中增加ACCOUNT_MANAGER与INTERNET的权限。
1 2 3 4 5 |
|
一旦设置好了上面的permissions,你可以使用AccountManager.getAuthToken() 来获取到token。 值得注意的是:Call AccountManager里面的方法can be tricky(狡猾的,棘手的)!因为account操作可能包括了网络通信,大多数方法是asynchronous,这意味着不应该把所有的auth操作放在一个方法里面,你需要使用callback机制来实现它。例如:
1 2 3 4 5 6 7 8 9 10 |
|
在上面的例子中,OnTokenAcquired是AccountManagerCallback的子类。在OnTokenAcquired类里面AccountManager会执行run(AccountManagerFuture
下面是如何从Bundle中获取token的示例:
1 2 3 4 5 6 7 8 9 10 11 12 |
|
如果一切正常,那么Bundle里面会包含KEY_AUTHTOKEN的字段,但是通常事情没有那么顺利。
(3)Request an Auth Token… Again[再次请求Auth Token]
你的第一次有可能由于下面的某个原因而导致失败:
- 设备上的某个错误或者是网络错误导致AccuntManager操作失败。
- 用户不授权你的app访问account。
- 存储的account证书信息不足以让你访问account。
- 在Cache里面的auth token已经过期。
程序能简单的处理前两种情况,通常仅仅是显示一个错误信息给用户。如果网络异常或者用户不授权,程序就没有必要接下去操作了。对于后面两种情况稍微有点复杂,通常对于好的程序都应该自动处理那些错误。
第三种情况,没有足够的证书,这些证书是通过前面提到的回调函数返回在bunde里面,是一个使用KEY_INTENT关键字的intent。这是获取token的前提。 之所以鉴定者返回一个intent是有很多原因的。也许是用户的account过期或者他们存储的证书出错,这个时候可以使用intent来让用户重新登入。也许account需要两个证书,或者他需要激活camera来做某个扫描的动作进而验证。不管到底是因为什么,如果你想要一个有效的token,你需要启动intent来获取token。
1 2 3 4 5 6 7 8 9 10 11 |
|
请注意例子中使用的是startActivityForResult(),这样我们可以在自己的activity里面通过实现onActivityResult()的方法来获取start intent的结果。这是非常重要的,如果你没有获取返回的结果,那么就无法区分出用户是否成功获得了鉴定。如果result是RRSULT_OK,然后认证者就会更新存储的证书,这样就可以获取到足够的证书,你也可以再次执行AccountManage.getAuthToken()方法来请求新的token。
最后一种情况,token过期,实际上这不是AccountManager的错误。唯一判断token是否过期的方法是把token告诉server,通过server来告知已经过期,但是不断的去线上检查是否过期明显是比较浪费资源的。
Connect to the Online Service[连接到Online Service]
下面的例子显示了如何连接到Google server。因为Google使用了行业标准的OAuth2协议,所以这个例子很具有代表性。请记住,尽管每一个Server是不一样的,你仍然可以对特殊的情形进行调整。 Google APIs需要你为每个请求提供4个值,分别是API key,client ID,client secret与auth key。前面三个可以从Google API的网站上找到,最后一个字段需要你通过执行AccountManager.getAuthToken()方法来获取。当都拿到之后,通过HTTP request来传递那些值给Google Server。
1 2 3 4 5 |
|
如果上面的请求返回HTTP错误代码401,表明你的token被否定了。在最后一部分我们有提到,最通常的错误原因是token过期了,解决这个问题的方法很简单,执行AccountManager.invalidateAuthToken()方法并且在需要的时候重复执行token的请求操作。
因为token过期是如此的常见,并且修复它是那么的简单,许多程序甚至在获取token之前就假定它是过期的,如果server重新生成一个token的花费并不大,我们可以直接刚开始就执行AccountManager.invalidateAuthToken(),这样就省得刚开始需要请求两次。
Ps:oauth2很常见:目前开放平台似乎都是用这个规则来开放自己的账户系统,使用QQ登入,Sina微博帐号登入等等
学习自:http://developer.android.com/training/id-auth/authenticate.html,请多指教,谢谢!
转载请注明出自http://kesenhoo.github.com,谢谢配合!