2

目标是交换访问和刷新令牌的授权代码。

错误:

GuzzleHttp\Exception\ClientException #400

Client error response 
[url] http://sandbox.feedly.com/v3/auth/token?code=[auth_code]&client_id=sandbox&client_secret=[secret]&redirect_uri=https%253A%252F%252F[site url]&grant_type=authorization_code&state=%23 
[status code] 400 
[reason phrase] Bad Request

相关代码:

$client = new GuzzleHttp\Client();
$parameters = ['code'=>$_GET['code'],'client_id'=>'sandbox','client_secret'=> '[secret]','redirect_uri'=>urlencode('https://[site url]'),'grant_type'=>'authorization_code', 'state'=>'#'];
$params = http_build_query($parameters);
$request = $client->createRequest('POST', 'http://sandbox.feedly.com/v3/auth/token?'.$params);
$request->addHeader('Accept-Encoding','GZIP');
$request->setHeader('Authorization', "auth-code");
$request->addHeader('Content-Type','application/json');
$response = $client->send($request);
var_dump($response->json());

也尝试过state = "state.passed.in"但抛出相同的错误。

你能指出代码片段中的错误吗?它使用 Feedly API v3 沙箱和 Guzzle HTTP 客户端。

如果跟随请求 URL,它会抛出“get not allowed”。

更新的代码片段:

$client = new GuzzleHttp\Client();
    $parameters = ['code'=>$_GET['code'],'client_id'=>'sandbox','client_secret'=> '[secret]','redirect_uri'=>urlencode('https://[site url]'),'grant_type'=>'authorization_code', 'state'=>'#'];
    $params = http_build_query($parameters);
    $request = $client->createRequest('POST', 'http://sandbox.feedly.com/v3/auth/token?'.$params);
    $response = $client->send($request);
    var_dump($response->json());

更新代码错误:

GuzzleHttp\Exception\ServerException #522

Server error response [url] http://sandbox.feedly.com/v3/auth/token?code=[auth_code]&client_id=sandbox&client_secret=[secret]&redirect_uri=https%253A%252F%252F[site url]&grant_type=authorization_code&state=%23 
[status code] 522 
[reason phrase] Origin Connection Time-out

注意:更新代码抛出相同的错误(几个小时后),即

GuzzleHttp\Exception\ClientException #400

Client error response 
[url] http://sandbox.feedly.com/v3/auth/token?code=[auth_code]&client_id=sandbox&client_secret=[secret]&redirect_uri=https%253A%252F%252F[site url]&grant_type=authorization_code&state=%23 
[status code] 400 
[reason phrase] Bad Request
4

2 回答 2

1

从底部开始,按照 OAuth 2.0 规范:

客户端在发出访问令牌请求时必须使用 HTTP“POST”方法。

(来源:第 3.2 节。OAuth 2.0 授权框架

所以这解释了为什么在浏览器中导航到请求 URL 会失败(导航问题 aGET并且仅POST支持请求)。

下一点是客户端身份验证,更具体地说,是如何提供client_idclient_secret参数,以便服务器可以验证您是受信任的客户端应用程序。同样,根据规范,应该通过两种方式传递此信息:

  1. 通过 [RFC2617] 中定义的 HTTP 基本身份验证方案,其中客户端标识符作为用户名传递,客户端机密作为密码传递。此方法必须由符合 OAuth 的服务器支持,并且也是推荐的方法。*
  2. 通过在请求正文中包含客户端凭据,通常编码为application/x-www-form-urlencoded(参见下面的示例)。此方法是可选的,在某些 OAuth 服务器中可能不可用。

在请求正文中传递客户端凭据的示例:

POST https://YOUR_NAMESPACE/oauth/token
 Content-type: application/x-www-form-urlencoded

client_id=YOUR_CLIENT_ID
&redirect_uri=http://YOUR_APP/callback
&client_secret=YOUR_CLIENT_SECRET
&code=AUTHORIZATION_CODE
&grant_type=authorization_code

(来源: OAuth Web 应用协议的第四步,点击第二步中的普通链接查看完整授权码授权流程中的所有原始 HTTP 请求)

现在,对于 Feedly 用例,我在文档中找不到有关支持 HTTP 基本身份验证的任何内容。他们确实说了以下关于交换访问令牌代码所需的参数:

注意:这些参数既可以在 URL 中作为表单值传递,也可以在 JSON 文档中传递。如果您使用 JSON 文档,请确保在请求中传递“Content-Type: application/json”标头。

(来源:为刷新令牌和访问令牌交换身份验证代码

令人惊讶的一件事是,它们似乎允许在 URL 本身中传递客户端凭据,这是 OAuth 规范明确禁止的:

参数(client_id 和 client_secret)只能在请求正文中传输,不得包含在请求 URI 中。

(来源:第 2.3.1 节。OAuth 2.0 授权框架

总之,根据他们的文档,您正在做的事情(在 URL 本身中传递参数)应该是可能的,除非文档不是最新的并且他们已经修复了不符合规范的问题并且不再支持这个。

此外,您所做的一些事情似乎是错误的。该code参数永远不会在Authorisation标头中传递,因此除非您想尝试使用基本身份验证在该标头中传递客户端凭据,否则我建议您删除此标头。

我还会删除Accept-Encoding标题,因为他们的文档除了返回 JSON 响应之外没有提到支持任何内容。如果要维护该标头,请将值从 更改gzipapplication/json

最后,您也没有在请求正文中发送任何数据,因此您可能还希望删除Content-Type标头,因为 Feedly 可能认为如果此标头存在,则数据在请求中而不是 URL 上。

于 2016-10-03T12:10:18.260 回答
1

问题:重定向 URI 是双重编码的,我正在传递https%253A%252F%252Fdev10.ritepush.com%252Fdashboard,它解码为https%3A%2F%2Fdev10.ritepush.com%2Fdashboard. 一旦我需要通过,我必须对 uri 进行编码https%3A%2F%2Fdev10.ritepush.com%2Fdashboard

原因: PHP 会自动对 http 请求进行编码,因此在应用urlencode到 时redirect_uri,我实际上对重定向 URI 进行了两次编码,但它只被解码一次。因此,在请求正文中传递了编码 URI,从而导致错误。

感谢FeedlyDavid Chatenay指出错误。

于 2016-10-15T14:05:26.880 回答