跳到主要內容

Facebook and OAuth 2.0

為什麼需要認證?

一般應用程式都需要使用者做過認證,才能允許存取使用者自有資料或系統中較重要的功能。透過Facebook做身分認證已經是一種趨勢,像Stackoverflow也提供Facebook帳戶登入的功能:


不管是Stackoverflow還是其它應用程式,除了要取得臉書上個人資料以識別使用者外,也有可能會分享訊息到臉書上。舉例來說,我常常會使用Garmin Connect的分享功能,將我騎自行車的紀錄發佈到臉書上;有些人則會將噗浪或是Blogger的內容,分享到臉書上。這些動作都是透過Graph API達成,而要做這些動作的先決條件就必須透過認證。有幾個人會開著門讓不認識的進來開冰箱吃餅乾吧?

What's OAuth 2.0?

Facebook提供認證的方式,就是根據OAuth 2.0去實做的。首先來看看OAuth 2.0的Spec中的認證流程示意圖:

     +--------+                               +---------------+
     |        |--(A)- Authorization Request ->|   Resource    |
     |        |                               |     Owner     |
     |        |<-(B)-- Authorization Grant ---|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(C)-- Authorization Grant -->| Authorization |
     | Client |                               |     Server    |
     |        |<-(D)----- Access Token -------|               |
     |        |                               +---------------+
     |        |
     |        |                               +---------------+
     |        |--(E)----- Access Token ------>|    Resource   |
     |        |                               |     Server    |
     |        |<-(F)--- Protected Resource ---|               |
     +--------+                               +---------------+

軟體設計有個很重要的概念就是Abstract,這樣才會有足夠的擴充性,而OAuth2.0中的各個Element都代表著抽象的概念。

它的認證流程,就像是你(Client)想代替你媽媽(Resource Owner)去中華電信(Resource Server)轉移門號(Protected Resource),你會拿著她的雙證件(Authorization Grant)去中華電信辦理。中華電信小姐用證件在她們系統(Authorization Server)核對資料正確無誤後,也代表著你獲得轉移門號的資格(Access Token)。

當然你也可以拿著假證件去做一樣的事情,這就像是駭客一樣去入侵人家的Server或者是闖空門。如果被抓請不要找我..

臉書上是怎樣?

當OAuth2.0在Facebook上是怎樣呢? 讓我們看看示意圖:

在臉書上,Client可能是iOS、Android上的應用程式或Web應用程式;Resource Owner就是一個End User,即APP的使用者;而Authorization與Resource Server,就是控管整個資源存取與實作OAuth認證機制的Facebook。

一個App可能是透過Browser或Mobile的方式讓User使用。當App存取到User在Faceook上的資料時,如取得朋友名單或是發佈訊息到塗鴉牆,必須先讓User授權,以取得Access Token去操作Graph API的。主要的過程如下:

  1. 跳出Dialog讓User決定是否允許這些存取。
  2. User授權給你的App,這時候App就會獲得一個類似授權碼的東西。
  3. 使用授權碼去和Facebook換取Access Token讓你可以使用Graph API。
  4. 使用Graph API並代入Access token存取User資料。
  5. 取得User資料。

整個過程要表達的就是: 想盡辦法弄到Access Token。

Summary

讀完這篇該文章,應了解到臉書的認證機制。也知道要使用Graph API去存取基本資料外的東西,就必須透過Access Token。另外還有幾點需要注意:

  • User必須登入臉書 並不是每一個App都是透過臉書Canvus的方式讓User存取。如果是在手機上或一般的Web應用程式,在存取臉書資料前都必須先登入。一般都是提供Login Button讓User可以做登入的動作。
  • Access Token是否會過期或無效? Access Token有所謂的有效時間,當過了這個有效時間就會發生問題。除此之外,User登出臉書與User取消授權都會造成Access Token過期或無效。因此在使用Graph API時,你必須處理如下面的回傳結果。最簡單的解決方法就是重新請求授權拉!

{
  "error": {
    "message": "Error validating access token: Session has expired at unix 
                time SOME_TIME. The current unix time is SOME_TIME.", 
    "type": "OAuthException", 
    "code": 190
  }
}

  • OAuth2.0只有這樣? 我只能提到這樣。在它規格書中,還提到更多流程與細節,包含Authorization Grant的四種方式、Refresh Access Token的流程等。但我想這是有需要去實作OAuth2.0的Developer才需要看的,有興趣的讀者可自行參考它的規格書。
  • Implementation 這才是大家最想知道的吧? 但由於實作的方式會根據應用程式平台、實作的語言而使用不同的方式。原本設定要在這篇文章中教給大家,但怕篇幅太大而決定拆成幾篇小文章再一一分享。

Reference

留言

這個網誌中的熱門文章

Show NIC selection when setting the network command with the device option

 Problem  在answer file中設定網卡名稱後,安裝時會停在以下畫面: 所使用的command參數如下: network --onboot = yes --bootproto =dhcp --ipv6 =auto --device =eth1 Diagnostic Result 這樣的參數,以前試驗過是可以安裝完成的。因此在發生這個問題後,我檢查了它的debug console: 從console得知,eth1可能是沒有連接網路線或者是網路太慢而導致的問題。後來和Ivy再三確認,有問題的是有接網路線的網卡,且問題是發生在activate階段: Solution 我想既然有retry應該就有次數或者timeout限制,因此發現在Anaconda的說明文件中( link ),有提到dhcptimeout這個boot參數。看了一些人的使用範例,應該是可以直接串在isolinux.cfg中,如下: default linux ksdevice = link ip =dhcp ks =cdrom: / ks.cfg dhcptimeout = 90 然而我在RHEL/CentOS 6.7與6.8試驗後都無效。 因此我就拿了顯示的錯誤字串,問問Google大師,想找一下Anaconda source code來看一下。最後找到別人根據Anaconda code修改的版本: link ,關鍵在於setupIfaceStruct函式中的setupIfaceStruct與readNetConfig: setupIfaceStruct: 會在dhcp時設定dhcptimeout。 readNetConfig: 在writeEnabledNetInfo將timeout寫入dhclient config中;在wait_for_iface_activation內會根據timeout做retry。 再來從log與code可以得知,它讀取的檔案是answer file而不是boot command line。因此我接下來的測試,就是在answer file的network command上加入dhcptimeout: network --onboot = yes --bootproto =dhcp --ipv6 =auto --device =eth1 --dhcptimeo

解決RobotFramework從3.1.2升級到3.2.2之後,Choose File突然會整個Hand住的問題

考慮到自動測試環境的維護,我們很久以前就使用java去執行robot framework。前陣子開始處理從3.1.2升級到3.2.2的事情,主要先把明確的runtime語法錯誤與deprecate item處理好,這部分內容可以參考: link 。 直到最近才發現,透過SeleniumLibrary執行Choose File去上傳檔案的動作,會導致測試案例timeout。本篇文章主要分享心路歷程與解決方法,我也送了一條issue給robot framework: link 。 我的環境如下: RobotFramework: 3.2.2 Selenium: 3.141.0 SeleniumLibrary: 3.3.1 Remote Selenium Version: selenium-server-standalone-3.141.59 首先並非所有Choose File的動作都會hang住,有些測試案例是可以執行的,但是上傳一個作業系統ISO檔案一定會發生問題。後來我透過wireshark去比對新舊版本的上傳動作,因為我使用 Remote Selenium ,所以Selenium會先把檔案透過REST API發送到Remote Selenium Server上。從下圖我們可以發現,在3.2.2的最後一個TCP封包,比3.1.2大概少了500個bytes。 於是就開始了我trace code之路。包含SeleniumLibrary產生要送給Remote Selenium Server的request內容,還有HTTP Content-Length的計算,我都確認過沒有問題。 最後發現問題是出在socket API的使用上,就是下圖的這支code: 最後發現可能因為開始使用nio的方式送資料,但沒處理到尚未送完的資料內容,而導致發生問題。加一個loop去做計算就可以解決了。 最後我有把解法提供給robot framework官方,在他們出新的版本之前,我是將改完的_socket.py放在我們自己的Lib底下,好讓我們測試可以正常進行。(shutil.py應該也是為了解某個bug而產生的樣子..)

How to install RIDE on Windows?

Introduction 多年沒在Windows上開發RobotFramework,趁著這次整理一下RIDE安裝方法。 目前RIDE最新版本與Python對應版本如下: (3.6 < python <= 3.11) Install current released version (2.0.8.1) with: pip install -U robotframework-ride 安裝Python 直接到Python官網找尋最新的3.11版本,我使用3.11.9: link 。安裝就是一直下一步而已。 安裝wxPython 每次安裝RIDE最困難的都是wxPython。看了一下 官網 描述,我就姑且相信一下: 接著進入下 載頁面 就有安裝教學。基本上就是到Python目錄下的Scripts直接執行以下command: pip install -U wxPython 安裝RIDE 接著就如RIDE官網所說,執行以下command: pip install -U robotframework-ride 啟動RIDE 直接在相同目錄下執行ride就可以啟動了,你也可以直接在桌面建ride連結,加快下次啟動時間。 沒想到這次這麼順利就安裝完成了。因為我是使用java去啟動robot framework,就不特別講要怎麼使用pip安裝robot framework了。