腾讯微博的OAuth问题......

This topic created in 5414 days ago, the information mentioned may be changed or developed.

一直是「Invalid signature」错误.. 【用的 oauth 库 http://oauth.googlecode.com/svn/code/python/oauth/oauth.py

然后我就逐行的检查 HMAC 加密的代码.. 发现没有一点问题..

在腾讯微博开放平台的论坛上也看到有好多人出现这个问题似乎是和 urlencode 有关但是具体的也没人给出个正确的解法...

在 Github 上有个 andelf/pyqqweibo 的 repo 我直接给他的 oauth.py 改过来用了但是还是一样不行..

下面的是 Signature Base String..

GET&https%3A%2F%2Fopen.t.qq.com%2Fcgi-bin%2Frequest_token&oauth_callback%3Dnull%26oauth_consumer_key%3D11dca692584b4cc2835151b3c925ed1d%26oauth_nonce%3D93468450%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1311745309%26oauth_version%3D1.0

密匙部分我记得带 & 号了... 有搞过腾讯OAuth的嘛求教！

26oauth

OAuth

29 replies 1970-01-01 08:00:00 +08:00

joyqi

Jul 27, 2011

我调试过这个接口
open.t.qq.com的接口极为不稳定，可能有10次调用只有一次调用返回正常，其它的都是401，不知道为什么
所以很可能不是你程序的问题

joyqi

Jul 27, 2011

哦，你的是Invalid signature错误，那你肯定是带了format=json之类的参数了，但是你在算signature的时候没有把这个参数放进去，一般oauth库都有专门接口可以增加额外参数的

fanzeyi

Jul 27, 2011

@joyqi 没带的除了文档上要求的参数其他什么都没带的。。

zhouyang

Jul 27, 2011

这个basestring应该没啥问题，可以看到返还的ret和errcode吗？

fanzeyi

Jul 27, 2011

@zhouyang 返回的Content是

'Invalid signature\n'

错误代码是401

joyqi

Jul 27, 2011

你把oauth_callback带上值吧，别搞null了。

fanzeyi

Jul 27, 2011

@joyqi 改成网址之后问题依旧》。

zhouyang

Jul 27, 2011

检查一下签名的算法吧

ayanamist

Jul 27, 2011

很简单，你把OAuth的结果作为HTTP Header传过去的，这是不行的，你要编码到URL中……

ayanamist

Jul 27, 2011

要记得不要再作为Header了，否则一样会无效的。URL或者Header只能选一个

fanzeyi

Jul 27, 2011

@ayanamist 是URL传输的.. 如果是 Header传输出现的是 Missing **** 的错误...

fanzeyi

Jul 27, 2011

@zhouyang 算法的话在新浪和饭否的 OAuth 里面都用的是同一个库.. 应该不会有这个问题的..

joyqi

Jul 27, 2011

我觉得就是url编码的问题，腾讯不知道用的一套什么诡异的规则

fanzeyi

Jul 27, 2011

@joyqi 是啊但是不知道应该怎么来encode..

zhouyang

Jul 27, 2011

还有encode方法？不是准备好了字典直接urlencode就可以了，字典直接里的值直接encode('utf8')

joyqi

Jul 27, 2011

http://segmentfault.com/user/login

这里的成功率大概1/5左右，我用的是pecl的oauth库，不知道腾讯在搞什么鬼，其它的应用都妥妥的

fanzeyi

Jul 27, 2011

@joyqi 关键我是一次都不成功...

fanzeyi

Jul 27, 2011

@zhouyang 不是urlencode问题... 是不知道该在哪里转义哪里不转义... 死..

yudun1989

Jul 27, 2011

兄弟可以来找我 [email protected]
我刚做了。

fanzeyi

Jul 27, 2011

**** 结贴 ****

解决办法:

经 @yudun1989 同学提醒.. 把默认用的 httplib 换成 urllib ... 问题解决... 真奇怪的解决方法...

joyqi

Aug 2, 2011

@fanzeyi php也有了解决办法，经过哥的多方猜测，是nonce的编码问题，如果有特殊字符腾讯那边是要求编码，但php没有编码，所以你得自己手动setNonce

waitd

Nov 28, 2011

md,我用的是js的OAuth,结果非要把整个请求encodeURIComponent一下,才不会提示invalid signature,但返回的status=0,继续杯具中..狗日的腾讯

fanzeyi

Nov 28, 2011

@waitd 淡定做OAuth的时候最需要耐心..

fanzeyi

Nov 28, 2011

@waitd 对了还有细心

laiwei

Feb 23, 2012

@fanzeyi 腾讯太变态了，我用httplib2，一直提示invalid signature，换成urllib，确实好了，我擦

laiwei

Feb 23, 2012

@fanzeyi @joyqi

我发现腾讯微博oauth签名的真正问题了
并不是urllib或者httplib的问题

而是计算basestring的计算方法有问题：

比如待签名的东西参数有：
d = {
oauth_callback : xxxx.com/sth
oauth_consumer_key : 123456
oauth_nonce : 33333
oauth_signature_method : HMAC-SHA1
oauth_timestamp : 1234455667777
oauth_version : 1.0

}

首先把d按照key做一下sort
d = sorted(d.items(), key=lambda x:x[0])

其次，把参数和参数的值都做urlencode
dd = [urllib.urlencode([x]) for x in d]

然后，把dd用＆符号连接起来，再做一次urlencode（也就是quote）
part3 = urllib.quote("&".join(dd))

这里的关键就是说，这些参数前前后后，被quote了两次！

这样做，就ok了

fanzeyi

Feb 23, 2012

@laiwei 谢谢原理解释！

foxling

Feb 25, 2012

确认不要有多余的参数，腾讯的request token, 如果有不是他提供的参数列表里的参数时，会出这个问题，同样的oauth库在新浪没有任何问题。

bollwang

Dec 26, 2013

这个是怎么解决的呢？代码能共享一份麽？qq56770498，万分感谢