為什麼需要認證?
一般應用程式都需要使用者做過認證,才能允許存取使用者自有資料或系統中較重要的功能。透過Facebook做身分認證已經是一種趨勢,像Stackoverflow也提供Facebook帳戶登入的功能:
不管是Stackoverflow還是其它應用程式,除了要取得臉書上個人資料以識別使用者外,也有可能會分享訊息到臉書上。舉例來說,我常常會使用Garmin Connect的分享功能,將我騎自行車的紀錄發佈到臉書上;有些人則會將噗浪或是Blogger的內容,分享到臉書上。這些動作都是透過Graph API達成,而要做這些動作的先決條件就必須透過認證。有幾個人會開著門讓不認識的進來開冰箱吃餅乾吧?
What's OAuth 2.0?
Facebook提供認證的方式,就是根據OAuth 2.0去實做的。首先來看看OAuth 2.0的Spec中的認證流程示意圖:
+--------+ +---------------+ | |--(A)- Authorization Request ->| Resource | | | | Owner | | |<-(B)-- Authorization Grant ---| | | | +---------------+ | | | | +---------------+ | |--(C)-- Authorization Grant -->| Authorization | | Client | | Server | | |<-(D)----- Access Token -------| | | | +---------------+ | | | | +---------------+ | |--(E)----- Access Token ------>| Resource | | | | Server | | |<-(F)--- Protected Resource ---| | +--------+ +---------------+
軟體設計有個很重要的概念就是Abstract,這樣才會有足夠的擴充性,而OAuth2.0中的各個Element都代表著抽象的概念。
它的認證流程,就像是你(Client)想代替你媽媽(Resource Owner)去中華電信(Resource Server)轉移門號(Protected Resource),你會拿著她的雙證件(Authorization Grant)去中華電信辦理。中華電信小姐用證件在她們系統(Authorization Server)核對資料正確無誤後,也代表著你獲得轉移門號的資格(Access Token)。
當然你也可以拿著假證件去做一樣的事情,這就像是駭客一樣去入侵人家的Server或者是闖空門。如果被抓請不要找我..
臉書上是怎樣?
當OAuth2.0在Facebook上是怎樣呢? 讓我們看看示意圖:
在臉書上,Client可能是iOS、Android上的應用程式或Web應用程式;Resource Owner就是一個End User,即APP的使用者;而Authorization與Resource Server,就是控管整個資源存取與實作OAuth認證機制的Facebook。
一個App可能是透過Browser或Mobile的方式讓User使用。當App存取到User在Faceook上的資料時,如取得朋友名單或是發佈訊息到塗鴉牆,必須先讓User授權,以取得Access Token去操作Graph API的。主要的過程如下:
- 跳出Dialog讓User決定是否允許這些存取。
- User授權給你的App,這時候App就會獲得一個類似授權碼的東西。
- 使用授權碼去和Facebook換取Access Token讓你可以使用Graph API。
- 使用Graph API並代入Access token存取User資料。
- 取得User資料。
整個過程要表達的就是: 想盡辦法弄到Access Token。
Summary
讀完這篇該文章,應了解到臉書的認證機制。也知道要使用Graph API去存取基本資料外的東西,就必須透過Access Token。另外還有幾點需要注意:
- User必須登入臉書 並不是每一個App都是透過臉書Canvus的方式讓User存取。如果是在手機上或一般的Web應用程式,在存取臉書資料前都必須先登入。一般都是提供Login Button讓User可以做登入的動作。
- Access Token是否會過期或無效? Access Token有所謂的有效時間,當過了這個有效時間就會發生問題。除此之外,User登出臉書與User取消授權都會造成Access Token過期或無效。因此在使用Graph API時,你必須處理如下面的回傳結果。最簡單的解決方法就是重新請求授權拉!
{ "error": { "message": "Error validating access token: Session has expired at unix time SOME_TIME. The current unix time is SOME_TIME.", "type": "OAuthException", "code": 190 } }
- OAuth2.0只有這樣? 我只能提到這樣。在它規格書中,還提到更多流程與細節,包含Authorization Grant的四種方式、Refresh Access Token的流程等。但我想這是有需要去實作OAuth2.0的Developer才需要看的,有興趣的讀者可自行參考它的規格書。
- Implementation 這才是大家最想知道的吧? 但由於實作的方式會根據應用程式平台、實作的語言而使用不同的方式。原本設定要在這篇文章中教給大家,但怕篇幅太大而決定拆成幾篇小文章再一一分享。
留言
張貼留言