Scala 中 X API v2 通过 STTP 的 OAuth 1.0 授权问题

Ethan Guerin

2024年9月22日星期日下午3:30:55

了解自动化国际象棋锦标赛公告的 OAuth 授权
在当今快节奏的数字环境中，自动化社交媒体事务，例如向 X（以前称为 Twitter）等平台发送更新，对于开发人员来说变得越来越重要。此自动化流程中的一个常见问题是处理 OAuth 1.0 权限，这是安全 API 访问所必需的。
对于 Scala 开发人员来说，与 X 的 API v2 集成可能很困难，尤其是在使用 STTP 等库时。 OAuth 1.0 以其复杂性而闻名，需要精确的步骤来生成签名和标头。正如许多开发人员项目所证明的那样，即使此过程中的微小缺陷也可能导致授权失败。
在本文中，我将向您介绍一个真实示例，其中 OAuth 1.0 身份验证在尝试自动执行国际象棋锦标赛公告时失败。我们将查看代码，识别典型问题，并解决 401 未经授权的错误。
了解 OAuth 1.0 的内部工作原理以及如何正确生成所需的标头将使您能够使用 Scala 和 X API v2 可靠地自动化活动。让我们深入细节，一一解决这些授权难题。

命令使用示例

Mac.getInstance() 此命令为特定加密技术创建 Mac 类的实例，在本例中为“HmacSHA1”，随后用于构建用于 OAuth 签名生成的密钥哈希消息身份验证代码 (HMAC)。

SecretKeySpec 这用于生成 HMAC-SHA1 算法的关键规范。它将密钥（消费者和令牌秘密）转换为 Mac 类可用于执行加密操作的字节数组。

doFinal() HMAC 签名是通过处理提供的数据（在本例中为 OAuth 基本字符串）创建的。该方法完成HMAC计算并返回表示签名的字节数组。

Base64.getEncoder().encodeToString() 此方法将 HMAC-SHA1 操作生成的字节数组编码为 Base64 字符串，这是 OAuth 签名正确格式化以进行 HTTP 传输所必需的。

URLEncoder.encode() 使用 URL 编码技术对字符串进行编码，确保 OAuth 参数中的特殊字符（例如空格和与号）经过正确编码以包含在 HTTP 请求中。

Header 标头对象用于创建 HTTP 请求标头。在这种情况下，它仅用于生成 OAuth 授权标头，其中包含 OAuth 参数和创建的签名。

basicRequest 此 STTP 命令发起 HTTP 请求。在此示例中，它被设置为使用正确的标头和正文内容向 Twitter API 发送 POST 请求。

response(asJson) 该函数将 API 响应转换为 JSON 对象，确保返回的数据是结构化的并且可由程序解析。

send() 这是向 Twitter API 发送 HTTP 请求的最终技术。它保证请求完成并返回响应以供进一步处理。

命令	使用示例
Mac.getInstance()	此命令为特定加密技术创建 Mac 类的实例，在本例中为“HmacSHA1”，随后用于构建用于 OAuth 签名生成的密钥哈希消息身份验证代码 (HMAC)。
SecretKeySpec	这用于生成 HMAC-SHA1 算法的关键规范。它将密钥（消费者和令牌秘密）转换为 Mac 类可用于执行加密操作的字节数组。
doFinal()	HMAC 签名是通过处理提供的数据（在本例中为 OAuth 基本字符串）创建的。该方法完成HMAC计算并返回表示签名的字节数组。
Base64.getEncoder().encodeToString()	此方法将 HMAC-SHA1 操作生成的字节数组编码为 Base64 字符串，这是 OAuth 签名正确格式化以进行 HTTP 传输所必需的。
URLEncoder.encode()	使用 URL 编码技术对字符串进行编码，确保 OAuth 参数中的特殊字符（例如空格和与号）经过正确编码以包含在 HTTP 请求中。
Header	标头对象用于创建 HTTP 请求标头。在这种情况下，它仅用于生成 OAuth 授权标头，其中包含 OAuth 参数和创建的签名。
basicRequest	此 STTP 命令发起 HTTP 请求。在此示例中，它被设置为使用正确的标头和正文内容向 Twitter API 发送 POST 请求。
response(asJson)	该函数将 API 响应转换为 JSON 对象，确保返回的数据是结构化的并且可由程序解析。
send()	这是向 Twitter API 发送 HTTP 请求的最终技术。它保证请求完成并返回响应以供进一步处理。

使用 STTP 在 Scala 中处理 OAuth 1.0 身份验证

上面的脚本旨在解决通过带有 HMAC-SHA1 签名的 OAuth 1.0 对 X（以前是 Twitter）的 API 查询进行身份验证的问题。主要困难是生成必要的授权标头以避免收到“401 Unauthorized”消息。第一个脚本定义实用函数，例如，它对特殊字符进行编码以便安全插入到 URL 中。这对于确保 OAuth 参数格式正确至关重要。这函数为每个请求提供唯一的标识符，从而提供额外的安全性。

这方法创建有效签名，这是 OAuth 过程中最关键的组成部分。此方法采用 HMAC-SHA1 加密来生成签名基本字符串的哈希值，其中包含 HTTP 方法、API 端点和编码的 OAuth 参数。然后对哈希进行 Base64 编码以生成最终签名字符串，该字符串包含在授权标头中。此步骤保证与 Twitter API 通信时 API 请求得到正确授权。

签名创建后，就会构造授权标头。这方法生成 OAuth 参数（使用者密钥、令牌、随机数和时间戳）的映射，这些参数按字母顺序排序并格式化为字符串。这文本以“OAuth”为前缀，并包含先前生成的签名，确保所有组件都针对 HTTP 请求正确编码。此处创建的 Header 对象将发送到 API 调用。

最后，方法向 Twitter 的 API 提交 HTTP POST 请求。该脚本使用库的 basicRequest 方法用于创建带有权限标头、内容类型和帖子正文（一个简单的测试消息）的请求。请求将发送到 Twitter 的 API，并处理答案以确定请求是否成功或问题仍然存在。在这种情况下，错误处理至关重要，因为它有助于检测错误时间戳、随机数冲突和签名不良的请求等问题。

使用 Scala 和 STTP 解决 Twitter API 的 OAuth 1.0 授权问题

此脚本演示如何使用 HMAC-SHA1 在 Scala 中签署 OAuth 1.0 请求。它确保模块化和错误处理，从而产生可重用、可维护的代码。

import java.net.URLEncoder
import javax.crypto.Mac
import javax.crypto.spec.SecretKeySpec
import org.joda.time.DateTime
import sttp.client4._
import sttp.model.Header
import scala.util.Random
object Auth {
  def urlEncode(text: String): String =
    URLEncoder.encode(text, java.nio.charset.Charset.defaultCharset())
  def generateNonce: String = Random.alphanumeric.take(15).mkString
  def sha1sign(text: String, key: String): String = {
    val mac = Mac.getInstance("HmacSHA1")
    val signingKey = new SecretKeySpec(key.getBytes, "HmacSHA1")
    mac.init(signingKey)
    val signature = mac.doFinal(text.getBytes("UTF-8"))
    java.util.Base64.getEncoder.encodeToString(signature)
  }
  def createHeader(authData: Map[String, String]): Header = {
    val signatureBaseString = "POST&" + urlEncode("https://api.twitter.com/2/tweets") + "&" +
      urlEncode(authData.toSeq.sorted.map(x => s"${x._1}=${x._2}").mkString("&"))
    val signature = sha1sign(signatureBaseString, "consumerSecret&tokenSecret")
    val authHeader = "OAuth " + authData.map { case (k, v) => s"""$k="${urlEncode(v)}"""" }.mkString(", ") +
      s""", oauth_signature="${urlEncode(signature)}""""
    Header("Authorization", authHeader)
  }
}
object TwitterApi {
  val postEndpoint = "https://api.twitter.com/2/tweets"
  def createPost(text: String): Response = {
    val authData = Map(
      "oauth_consumer_key" -> "yourConsumerKey",
      "oauth_nonce" -> Auth.generateNonce,
      "oauth_signature_method" -> "HMAC-SHA1",
      "oauth_timestamp" -> DateTime.now().getMillis.toString,
      "oauth_token" -> "yourToken",
      "oauth_version" -> "1.0"
    )
    val header = Auth.createHeader(authData)
    basicRequest
      .header(header)
      .contentType("application/json")
      .body(s"""{"text":"$text"}""")
      .post(uri"$postEndpoint")
      .send(backend)
  }
}

替代方法：具有自定义随机数和时间戳处理的 OAuth 1.0

此方法通过专注于生成具有最小依赖性的定制随机数和时间戳来简化签名过程。

import java.net.URLEncoder
import javax.crypto.Mac
import javax.crypto.spec.SecretKeySpec
import sttp.client4._
import sttp.model.Header
object OAuthHelper {
  def generateTimestamp: String = (System.currentTimeMillis / 1000).toString
  def generateNonce: String = java.util.UUID.randomUUID().toString.replace("-", "")
  def urlEncode(value: String): String = URLEncoder.encode(value, "UTF-8")
  def hmacSha1(baseString: String, key: String): String = {
    val mac = Mac.getInstance("HmacSHA1")
    val signingKey = new SecretKeySpec(key.getBytes("UTF-8"), "HmacSHA1")
    mac.init(signingKey)
    val rawHmac = mac.doFinal(baseString.getBytes("UTF-8"))
    java.util.Base64.getEncoder.encodeToString(rawHmac)
  }
}
object TwitterClient {
  def createAuthorizationHeader(params: Map[String, String], signature: String): Header = {
    val headerParams = params.map { case (k, v) => s"""$k="${OAuthHelper.urlEncode(v)}"""" }.mkString(", ")
    Header("Authorization", s"""OAuth $headerParams, oauth_signature="$signature"""")
  }
  def postTweet(text: String): Response = {
    val params = Map(
      "oauth_consumer_key" -> "consumerKey",
      "oauth_nonce" -> OAuthHelper.generateNonce,
      "oauth_signature_method" -> "HMAC-SHA1",
      "oauth_timestamp" -> OAuthHelper.generateTimestamp,
      "oauth_token" -> "accessToken",
      "oauth_version" -> "1.0"
    )
    val baseString = "POST&" + OAuthHelper.urlEncode("https://api.twitter.com/2/tweets") + "&" +
      OAuthHelper.urlEncode(params.toSeq.sorted.map { case (k, v) => s"$k=$v" }.mkString("&"))
    val signature = OAuthHelper.hmacSha1(baseString, "consumerSecret&tokenSecret")
    val authHeader = createAuthorizationHeader(params, signature)
    basicRequest
      .header(authHeader)
      .contentType("application/json")
      .body(s"""{"text":"$text"}""")
      .post(uri"https://api.twitter.com/2/tweets")
      .send(backend)
  }
}

掌握 Twitter API 的 OAuth 和签名生成

OAuth 1.0 是一种较旧但仍然经常使用的授权机制，特别是用于与 Twitter 等 API 进行通信，现在称为 X。创建有效签名是 OAuth 1.0 的重要组成部分。该签名验证请求的合法性，防止恶意篡改。 Twitter API 需要签名。该过程需要将 HTTP 方法、API 端点和 OAuth 参数等关键数据点合并到一个基本字符串中，该字符串使用由您的消费者密钥和令牌密钥组成的密钥进行签名。

然而，尽管 OAuth 1.0 提供了强大的安全性，但它也并非没有挑战。一个常见问题是由于参数编码不正确而引起的。具体来说，当特殊字符编码不正确时，开发人员经常会遇到麻烦，导致授权尝试失败。方法这里至关重要。它确保正确处理“&”、“=”和“+”等字符。如果没有这种编码，Twitter 的 API 将拒绝该请求，因为签名和请求将与预期格式不匹配。

除了编码问题之外，建立授权标头也很重要。 OAuth 协议要求标头中包含随机数、时间戳和签名。这是通过在提交请求之前对键值对映射进行排序和重新格式化来完成的。这些数字的顺序和格式可能很重要，因此需要重新格式化和排序数据的辅助功能。这降低了出现问题的风险并保证 API 正确处理您的请求。

OAuth 1.0 与 OAuth 2.0 有何不同？
OAuth 1.0 使用签名和 HMAC-SHA1 加密来确保安全，而 OAuth 2.0 使用基于令牌的授权，这简化了流程，但需要安全的 HTTPS 连接。
OAuth 1.0 中随机数的用途是什么？
为了防止重放攻击，每个请求都会生成一个称为随机数的唯一字符串。它确保每个请求只执行一次。 Scala 允许您使用以下方式构建随机数。
为什么 OAuth 请求中需要 URL 编码？
URL 编码至关重要，因为必须对某些字符（如与号 (&) 或空格）进行编码以避免误解。使用安全地编码这些字符。
如何生成 OAuth 签名？
要建立 OAuth 签名，首先根据请求数据创建一个基本字符串，然后使用 HMAC-SHA1 技术对其进行签名。使用开始哈希过程。
什么会导致 OAuth 中出现 401 Unauthorized 错误？
401 错误可能由多种错误引起，包括无效签名、不匹配的消费者密钥或不适当的参数编码。始终确保签名与请求数据匹配并且编码准确。

为了正确授权 Twitter API 的 OAuth 1.0 请求，开发人员必须仔细管理签名和标头。许多问题是由编码问题或使用不正确的基本字符串格式引起的。通过适当解决这些问题可以防止诸如“401 Unauthorized”之类的错误。

此外，重新检查随机数创建、时间戳准确性和标头格式可大大提高授权成功率。优化 sha1sign 方法、确保准确的签名计算并遵守 OAuth 要求是开发功能性和自动化 X 发布应用程序的关键阶段。

有关使用 HMAC-SHA1 for Twitter 实施 OAuth 1.0 的详细指南，由 Kevin Williams 撰写。可用于中型 - 凯文·威廉姆斯。
关于 Scala 中 HMAC-SHA1 签名生成的社区讨论和见解，作者：Aravind_G。可用于加特林社区。
Twitter API v2 的官方文档，包括端点详细信息和身份验证要求。可用于推特 API 文档。