首页

使用OAuth-Signpost和Apache HttpComponents签署POST请求的正确方法是什么?

java http-post oauth apache-httpcomponents signpost
2022-09-04 22:11:46

我目前正在使用OAuth-Signpost Java库对从客户端发送到实现OAuth身份验证的服务器的请求进行签名。当发出GET请求(使用HttpURLConnection)时,一切都可以正常工作:请求被签名,参数被包括在内,签名在目标中匹配。但是,它似乎不适用于POST请求。我知道使用HttpURLConnection对POST进行签名时可能出现的问题,因此我为这些请求迁移到Apache HttpComponents库。我在以下示例中发送的参数是纯字符串和类似 XML 的字符串 ('rxml')。我的代码如下:

public Response exampleMethod(String user, String sp, String ep, String rn, String rxml){

   //All these variables are proved to be correct (they work right in GET requests)
    String uri = "...";
    String consumerKey = "...";
    String consumerSecret = "...";
    String token = "...";
    String secret = "...";

  //create the parameters list
    List<NameValuePair> params = new ArrayList<NameValuePair>();
    params.add(new BasicNameValuePair("user", user));
    params.add(new BasicNameValuePair("sp", sp));
    params.add(new BasicNameValuePair("ep", ep));
    params.add(new BasicNameValuePair("rn", rn));
    params.add(new BasicNameValuePair("rxml", rxml));

   // create a consumer object and configure it with the access
   // token and token secret obtained from the service provider
    OAuthConsumer consumer = new CommonsHttpOAuthConsumer(consumerKey, consumerSecret);
    consumer.setTokenWithSecret(token, secret);

   // create an HTTP request to a protected resource
    HttpPost request = new HttpPost(uri);

   // sign the request      
    consumer.sign(request);       

   // set the parameters into the request
    request.setEntity(new UrlEncodedFormEntity(params));

   // send the request
    HttpClient httpClient = new DefaultHttpClient();
    HttpResponse response = httpClient.execute(request);

   //if request was unsuccessful
    if(response.getStatusLine().getStatusCode()!=200){
        return Response.status(response.getStatusLine().getStatusCode()).build();
    }

   //if successful, return the response body
    HttpEntity resEntity = response.getEntity();
    String responseBody = "";

    if (resEntity != null) {
        responseBody = EntityUtils.toString(resEntity);
    }

    EntityUtils.consume(resEntity);

    httpClient.getConnectionManager().shutdown();

    return Response.status(200).entity(responseBody).build();

}

当我向服务器发送POST请求时,我收到一个错误,告知签名(我发送的签名和服务器自行计算的签名)不匹配,因此我想这与它们签名的基本字符串和POST签名的工作方式有关,因为它们在两端处理相同的密钥和机密(已检查)。

我已经读到,一种方法是将参数设置为URL的一部分(如在GET请求中)。但是,它对我不起作用,因为XML参数可能超过URL长度,因此需要将其作为POST参数发送。

我想我做错了什么,无论是签署POST请求还是处理参数,但我不知道它是什么。拜托,你能帮帮我吗?

P.S:如果我缺乏上下文,错误痕迹或有关此问题的其他信息,我很抱歉,但我在这里是新手。因此,如果您需要,请不要犹豫,向我询问更多信息。


答案 1

一些背景故事/解释

在过去的几天里,我一直遇到类似的问题,几乎放弃了。直到我听说我公司正在提供我正在通信的服务的人已经将他们配置为从查询字符串而不是标头参数中读取OAuth信息。

因此,当您将其传递到请求中时,Signpost将其放入请求中的标头参数Authorification而不是从中读取它以进行签名,例如,尝试读取查询字符串的服务。[Authorization: OAuth oauth_consumer_key="USER", oauth_nonce="4027096421883800497", oauth_signature="Vd%2BJEb0KnUhEv1E1g3nf4Vl3SSM%3D", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1363100774", oauth_version="1.0"]http://myservice.mycompany.com?oauth_consumer_key=USER&oauth_nonce=4027096421883800497&oauth_signature=Vd%2BJEb0KnUhEv1E1g3nf4Vl3SSM%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1363100774&oauth_version=1.0

这样做的问题是,当我尝试对url进行签名,然后用它构建一个HttpPost请求时,url得到了一个带有前缀GET的基串,而不是POST,它给出了另一个签名,然后服务计算了一个签名。Signpost没有做错任何事情,它的url签名方法只是默认设置为GET,没有其他可能性可用。之所以如此,是因为在执行 POST 时应该读取标头参数,而不是查询字符串(去挖掘我的那个“同事”的房子),并且 Signpost 在签署请求时添加了这些参数,而您在执行 POST 时应该这样做。

可以在 Signpost 中生成的 SigningBaseString 类方法中观察到签名基本字符串。

溶液

现在我就是这样做的,但其他方法可能是可能的,甚至更好。

  1. 获取路标源代码并将其添加到项目中。可以在这里得到它
  2. 找到该类并更改签名方法,以便您可以传递请求应为 POST 的信息。在我的情况下,我添加了一个布尔值,如下所示OAuthConsumerpublic String sign(String url, boolean POST)
  3. 现在你需要改变类中的方法,哪个和扩展。在我的例子中,我将布尔变量添加到方法中,并在方法调用之前添加以下内容signAbstractOAuthConsumerCommonsHttpOAuthConsumerDefaultOAuthConsumerif(POST) request.setMethod("POST");sign(request);
  4. 现在,该请求是一个特定于 Signpost 的对象 HTTPRequest,因此这将引发错误。您需要更改它并添加方法。public void setMethod(String method);

  5. 这将导致以下类 和 中的错误。您需要将方法实现添加到所有方法中,但具有不同的风格。对于第一个,您将添加HttpURLConnectionRequestAdapterHttpRequestAdapterUrlStringRequestAdapter

    public void setMethod(String method){
try {
 this.connection.setRequestMethod(method);
 } catch (ProtocolException e) {

    e.printStackTrace();
 }
}

    对于您要添加的第二秒

    public void setMethod(String method){

   try {
       RequestWrapper wrapper = new RequestWrapper(this.request);
       wrapper.setMethod(method);
       request = wrapper;
   } catch (org.apache.http.ProtocolException e) {
    e.printStackTrace();
    }   
}

    最后,您将添加

    public void setMethod(String method){
   mMethod = method;
}

    请注意,我只使用并尝试了第一个和最后一个。但这至少可以让您了解如何解决问题,如果您与我遇到相同的问题。

希望这无论如何都有帮助。

-德雷斯登先生


答案 2

使用 和 对 POST 请求进行签名是可行的,但它需要一些技巧:oauth-signpostHttpURLConnection

诀窍是对POST参数进行百分比编码,并使用方法将它们添加到OAuth库中。setAdditionalParameters()

有关示例,请参阅此文章


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »