浅谈开发中使用OAuth2.0获得GitHub授权
一、问题来源
最近学习安卓开发,正在进行的项目是复刻OpenHub,复刻OpenHub中,需要使用GitHub的开放API,得不到授权的话,无法使用其API,这里就要我们想办法获取GitHub的授权。
二、为什么使用OAuth2.0?
使用OAuth2.0有两个原因,其一当然是因为OAuth2.0的优点,与OAuth1.0相比,OAuth2.0更为简单且规范,适合移动端开发。但最重要的一点还是因为GitHub将在11月13日关闭账户密码的验证API,要求开发者必须通过OAuth2.0来获取认证信息。如下图:
GitHub对认证的说明
三、OAuth2.0认证的流程
GitHub提供了授权码方式来进行授权认证,这种方式主要包括以下几步流程:
- 第三方应用先申请应用ID和应用密钥
- 应用通过这对ID和密钥以及一串随机字符串,引导用户跳转到GitHub的授权页面
- 用户在授权页面完成登录授权,网站跳转回第三方应用的指定网站,同时携带code
- 应用拿到code后,使用授权码向GitHub请求令牌(access_token)
- GitHub根据授权码返回access_token
经过以上5步,第三方应用客户端便可以通过把access_token放到请求头的Authorization字段的方式,去使用GitHub的开放API了。
四、具体的开发实现
4.1 第一步,申请GitHub的应用授权码
在GitHub的Setting页面,找到左侧的 Developer settings,再点击页面中的OAuth Apps,点击New OAuth App
注册需要进行授权的App。以我目前做的项目ExtraHub为例,在页面中填好name,URL,和callback信息,其中的callback就是授权后跳转到的页面,跳转时会携带code参数。因为我们做的是安卓app,所以这里需要填写应用的schema信息,所谓schema,就是通过浏览器打开这个网址,会主动吊起相应app的地址,只需要在app设置好即可。如果做的是前端开发,这里可以暂时填写locahost,跳转到进行登录鉴权处理的页面。如下图:
点击注册后,github会返回Client ID和Client secrets信息,这两串代码需要保存好,我们跳转到GitHub的授权界面,靠的就是它们。如图:
image.png
同时,应用名称,URL以及callback的地址,都是可以更改的,后期项目可以随时修改。
4.2 第二步 使用Client ID和Client secrets跳转到鉴权页面
此处我们使用WebView的方式打开登录鉴权页面,首先拼接登录鉴权页面链接,其中的OAUTH2_URL是https://github.com/login/oauth/authorize,这个页面就是GitHub用来鉴权的页面,后面需要附带申请得到的Client ID,以及需要授权的范围信息sope,同时还要有一段随机字符串,用来代表state,这个字符串可以在GitHub跳转回来时,用来判断是否通过此链接进行过授权。
//拼接登录鉴权页面链接
private String getOAuth2Url(){
String randomState = UUID.randomUUID().toString();
return AppConfig.OAUTH2_URL +
"?client_id=" + AppConfig.EXTRAHUB_CLIENT_ID +
"&scope=" + AppConfig.OAUTH2_SCOPE +
"&state=" + randomState;
}
然后通过这个页面打开WebView:
public static void openInWebview(@NonNull Context context, @NonNull String url){
Intent intent = new Intent(context, LoginWeb.class);
intent.putExtra("url",url);
((Activity)context).startActivityForResult(intent,1);
}
在这个页面便可以进行登录授权,如图
登录授权页面
4.3 拿到网站跳转带回的code
输入账号密码,点击授权,会跳转到之前设置的callback页面,当然,在安卓app开发中,我们可以截获这次跳转,只需要拿到code就完成了我们的目的。
我们可以这样截获跳转:
webView.setWebViewClient(new WebViewClient(){
@Override
public boolean shouldOverrideUrlLoading(WebView view, WebResourceRequest request) {
if ("extrahub".equals(request.getUrl().getScheme())) {
Intent intent = new Intent();
intent.putExtra("code", request.getUrl().getQueryParameter("code"));
intent.putExtra("state",request.getUrl().getQueryParameter("state"));
setResult(RESULT_OK, intent);
finish();
return true;
}else {
return false;
}
}
});
里面的state就是我们上一步发送的随机字符串,而这个code就是我们获取token的关键。
4.4 使用code向GitHub请求access_token
GitHub对这一步说明的很详细,这一步需要发送post请求,包括5个参数如下:
请求参数
其中的redirect_uri是不必须的,因为我们是app,所以可以没有返回链接只需要记录下返回的access_token、scope和token_type就好了,需要的话,也可以请求得到expires_in、refresh_token、refresh_token_expires_in等信息。
4.5 使用access_token发送请求
拿到access_token后,就需要将access_token和token_type放到以后的请求头里面,为了方便以后的请求方便,我建立了单例的Request.Builder,代码如下:
private static Request.Builder builder;
public static Request.Builder getBuilder(String token_type, String access_token){
if (builder == null) {
synchronized (BaseRequestBuilder.class) {
if (builder == null) {
builder = new Request.Builder()
.url(AppConfig.GITHUB_API_BASE_URL)
.addHeader("Accept", "application/json")
.addHeader("Content-Type", "application/json")
.addHeader("Authorization", token_type + " " + access_token);
}
}
}
return builder;
}
public static Request.Builder getBuilder(){
return builder;
}
注意token_type和access_token之间有一个空格。这样以后每次发请求,只需要调用BaseRequestBuilder.getBuilder();就可以得到Builder,然后构建自己的请求体。
五、总结
这一次做OAuth2.0的鉴权,走了很多坑,光是打开鉴权页面,就换了三种方式最后才成功,只能说国内生态对谷歌的开发风格还是不够友好。想到目前网上并没有很详细的OAuth2.0鉴权流程,于是就写了出来,也方便大家查阅指正。这种实现方案当然不够优美,只是够用而已。