c# – 验证来自Gmail上下文小工具的已签名请求

2023年11月13日 305次阅读

所以,我正在使用gadgets.io.makeRequest(url,callback,params)从Gmail上下文小工具发出请求,并在服务器端验证这些请求.

为了澄清,我在小工具方面使用了以下makeRequest参数:

params[gadgets.io.RequestParameters.CONTENT_TYPE] = gadgets.io.ContentType.DOM;
params[gadgets.io.RequestParameters.AUTHORIZATION] = gadgets.io.AuthorizationType.SIGNED;
params["OAUTH_SERVICE_NAME"] = "HMAC";
params[gadgets.io.RequestParameters.METHOD] = gadgets.io.MethodType.GET;

我从https://www.google.com/gadgets/directory/verify获得了gadget的consumerKey和consumerSecret
根据Google的文档,该请求由容器根据OAuth signing process HMAC-SHA1方法签署.

在服务器端,我收到以下请求:

http://my.dev.machine.com/blapage.aspx?oauth_body_hash=2jmj7l5rSw0yVb/vlWAYkK/YBwk=&opensocial_owner_id=103030060674287937707&opensocial_viewer_id=103030060674287937707&opensocial_app_id=103129310198020657787&opensocial_app_url=http://my.dev.machine.com/gadget.xml&oauth_version=1.0&oauth_timestamp=1284403586&oauth_nonce=6436223395511631796&opensocial_container=http://mail.google.com&oauth_consumer_key=419336943235&oauth_signature_method=HMAC-SHA1&oauth_signature=bshZj9XOXECdYiyR1J8Etnadv5c=

然后我根据Google应该使用的相同OAuth规范签署此请求,但签名不匹配.

我已经尝试使用2个不同的库来签署请求:

>我们自己开发的.Net lib,用于签署Gmail IMAP OAuth授权请求(使用相同的签名方法,在那里工作得很好).
>其中一个贡献的opensocial libs(http://code.google.com/p/opensocial-net-client/)

两个lib都生成类似的签名基本字符串.然而,奇怪的是,他们产生了不同的签名,这些签名都不匹配Google在oauth_signature param中发送的签名!

同事小工具开发人员,我希望有人比我更幸运,并使这个签名验证方法工作.拜托,告诉我这里我做错了什么.

提前致谢,
布鲁

最佳答案 我成功地使用了这个:

public Boolean ValidateSignature(String method, Uri url)
        {
            String normalizedUrl, normalizedRequestParameters;

            List<QueryParameter> parameters = new List<QueryParameter>();
            parameters.AddRange(GetQueryParameters(url.Query));

            var sigParam = parameters.Find(p => p.Name == OAuthSignatureKey);
            if (sigParam == null)
                return false;
            var expected = sigParam.Value;

            parameters.Remove(parameters.Find(p => p.Name == OAuthSignatureKey));
            parameters.Sort(new QueryParameterComparer());

            normalizedUrl = string.Format("{0}://{1}", url.Scheme, url.Host);
            if (!((url.Scheme == "http" && url.Port == 80) || (url.Scheme == "https" && url.Port == 443)))
            {
                normalizedUrl += ":" + url.Port;
            }
            normalizedUrl += url.AbsolutePath;
            normalizedRequestParameters = NormalizeRequestParameters(parameters);

            StringBuilder signatureBase = new StringBuilder();
            signatureBase.AppendFormat("{0}&", method.ToUpper());
            signatureBase.AppendFormat("{0}&", UrlEncode(normalizedUrl));
            signatureBase.AppendFormat("{0}", UrlEncode(normalizedRequestParameters));

            HMACSHA1 hmacsha1 = new HMACSHA1();
            hmacsha1.Key = Encoding.ASCII.GetBytes(string.Format("{0}&{1}", UrlEncode(ConsumerSecret), ""));//string.IsNullOrEmpty(tokenSecret) ? "" : UrlEncode(tokenSecret)));

            var computed = GenerateSignatureUsingHash(signatureBase.ToString(), hmacsha1);
            return expected == UrlEncode(computed);
        }

连同您可以在此处找到的代码:
http://oauth.googlecode.com/svn/code/csharp/OAuthBase.cs

编辑:
当通过get或post发出请求和发送参数时,这不起作用.
似乎问题是Gmail会先使用大写字符对参数进行排序.我只使用小写参数但您可以轻松修复代码以确保大写字母在小写之前.

点赞