Question

Этот вопрос был опубликован в StackApps , но эта проблема может быть скорее проблемой программирования, чем проблемой аутентификации, поэтому она может заслуживать лучшего места здесь.

Я работаю над настольным почтовым уведомлением для StackOverflow, используя API с Python.

Сценарий, над которым я работаю, сначала регистрирует пользователя в StackExchange, а затем запрашивает авторизацию для приложения. Предполагая, что приложение было авторизовано через взаимодействие пользователя с веб-браузером, приложение должно иметь возможность отправлять запросы к API с аутентификацией, следовательно, ему необходим токен доступа, специфичный для пользователя. Это делается с помощью URL: https://stackexchange.com/oauth/dialog?client_id=54&scope=read_inbox&redirect_uri=https://stackexchange.com/oauth/login_success.

При запросе авторизации через веб-браузер происходит перенаправление и код доступа возвращается после #. Однако при запросе этого же URL-адреса с помощью Python (urllib2) в ответе не возвращается ни хеш, ни ключ.

Почему мой запрос urllib2 обрабатывается иначе, чем тот же запрос, сделанный в Firefox или W3m? Что я должен сделать, чтобы программно смоделировать этот запрос и получить access_token?

Вот мой скрипт (он экспериментальный) и помните: он предполагает, что пользователь уже авторизовал приложение.

#!/usr/bin/env python

import urllib
import urllib2
import cookielib
from BeautifulSoup import BeautifulSoup
from getpass import getpass    

# Define URLs
parameters = [ 'client_id=54',
               'scope=read_inbox',
               'redirect_uri=https://stackexchange.com/oauth/login_success'
             ]

oauth_url = 'https://stackexchange.com/oauth/dialog?' + '&'.join(parameters)
login_url = 'https://openid.stackexchange.com/account/login'
submit_url = 'https://openid.stackexchange.com/account/login/submit'
authentication_url = 'http://stackexchange.com/users/authenticate?openid_identifier='

# Set counter for requests:
counter = 0

# Build opener
jar = cookielib.CookieJar()
opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(jar))

def authenticate(username='', password=''):

    '''
        Authenticates to StackExchange using user-provided username and password
    '''

    # Build up headers
    user_agent = 'Mozilla/5.0 (Ubuntu; X11; Linux i686; rv:8.0) Gecko/20100101 Firefox/8.0'
    headers = {'User-Agent' : user_agent}

    # Set Data to None
    data = None

    # 1. Build up URL request with headers and data    
    request = urllib2.Request(login_url, data, headers)
    response = opener.open(request)

    # Build up POST data for authentication
    html = response.read()
    fkey = BeautifulSoup(html).findAll(attrs={'name' : 'fkey'})[0].get('value').encode()

    values = {'email' : username,
              'password' : password,
              'fkey' : fkey}

    data = urllib.urlencode(values)

    # 2. Build up URL for authentication
    request = urllib2.Request(submit_url, data, headers)
    response = opener.open(request)

    # Check if logged in
    if response.url == 'https://openid.stackexchange.com/user':
        print ' Logged in! :) '
    else:
        print ' Login failed! :( '

    # Find user ID URL    
    html = response.read()
    id_url = BeautifulSoup(html).findAll('code')[0].text.split('"')[-2].encode()

    # 3. Build up URL for OpenID authentication
    data = None
    url = authentication_url + urllib.quote_plus(id_url)
    request = urllib2.Request(url, data, headers)
    response = opener.open(request)

    # 4. Build up URL request with headers and data
    request = urllib2.Request(oauth_url, data, headers)
    response = opener.open(request)

    if '#' in response.url:
        print 'Access code provided in URL.'
    else:
        print 'No access code provided in URL.'

if __name__ == '__main__':
    username = raw_input('Enter your username: ')
    password = getpass('Enter your password: ')
    authenticate(username, password)

Чтобы ответить на комментарии ниже:

Данные для подделки в Firefox запрашивают указанный выше URL (как oauth_url в коде) со следующими заголовками:

Host=stackexchange.com
User-Agent=Mozilla/5.0 (Ubuntu; X11; Linux i686; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language=en-us,en;q=0.5
Accept-Encoding=gzip, deflate
Accept-Charset=ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection=keep-alive
Cookie=m=2; __qca=P0-556807911-1326066608353; __utma=27693923.1085914018.1326066609.1326066609.1326066609.1; __utmb=27693923.3.10.1326066609; __utmc=27693923; __utmz=27693923.1326066609.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); gauthed=1; ASP.NET_SessionId=nt25smfr2x1nwhr1ecmd4ok0; se-usr=t=z0FHKC6Am06B&s=pblSq0x3B0lC

В запросе urllib2 заголовок содержит только значение пользовательского агента. Файл cookie не передается явно, но se-usr доступен в банке для файлов cookie на момент запроса.

Заголовки ответа будут первым перенаправлением:

Status=Found - 302
Server=nginx/0.7.65
Date=Sun, 08 Jan 2012 23:51:12 GMT
Content-Type=text/html; charset=utf-8
Connection=keep-alive
Cache-Control=private
Location=https://stackexchange.com/oauth/login_success#access_token=OYn42gZ6r3WoEX677A3BoA))&expires=86400
Set-Cookie=se-usr=t=kkdavslJe0iq&s=pblSq0x3B0lC; expires=Sun, 08-Jul-2012 23:51:12 GMT; path=/; HttpOnly
Content-Length=218

Тогда перенаправление будет выполнено через другой запрос со свежим значением se-usr из этого заголовка.

Я не знаю, как поймать 302 в urllib2, он обрабатывает его сам (что здорово). Однако было бы неплохо увидеть, будет ли доступен токен доступа, указанный в заголовке местоположения.

В заголовке последнего ответа нет ничего особенного, и Firefox, и Urllib возвращают что-то вроде:

Server: nginx/0.7.65
Date: Sun, 08 Jan 2012 23:48:16 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Cache-Control: private
Content-Length: 5664

Я надеюсь, что не предоставил конфиденциальную информацию, дайте мне знать, если я это сделал: D

Benjamin · Answer 1 · 10 января 2012

Маркер не отображается из-за способа, которым urllib2 обрабатывает перенаправление.Я не знаком с деталями, поэтому не буду здесь подробно останавливаться.

Решение состоит в том, чтобы поймать 302 до того, как urllib2 обработает перенаправление.Это может быть сделано путем подкласса urllib2.HTTPRedirectHandler, чтобы получить перенаправление с его хэштегом и токеном.Вот краткий пример подкласса обработчика:

class MyHTTPRedirectHandler(urllib2.HTTPRedirectHandler):
    def http_error_302(self, req, fp, code, msg, headers):
        print "Going through 302:\n"
        print headers
        return urllib2.HTTPRedirectHandler.http_error_302(self, req, fp, code, msg, headers)

В заголовках атрибут location предоставит URL перенаправления во всю длину, т.е. включая хэштег и токен:

Выводextract:

...
Going through 302:

Server: nginx/0.7.65
Date: Mon, 09 Jan 2012 20:20:11 GMT
Content-Type: text/html; charset=utf-8
Connection: close
Cache-Control: private
Location: https://stackexchange.com/oauth/login_success#access_token=K4zKd*HkKw5Opx(a8t12FA))&expires=86400
Content-Length: 218
...

Подробнее о переадресации перенаправлений с помощью urllib2 при StackOverflow (конечно).

Как программно получить access_token из потока OAuth на стороне клиента, используя Python?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как программно получить access_token из потока OAuth на стороне клиента, используя Python?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы