java - 如何通过 Jersey+Oltu 从 Java 桌面应用程序访问 Bitbucket API？

Question

如标题所述，我想访问 bitbucket API来自 native Java 桌面应用程序。 Bitbucket 要求应用程序使用 OAuth2，为此我发现 Oltu应该完成这项工作。

但是，我对 OAuth 的了解非常有限，所以我还停留在很早的阶段。这是我到目前为止所做的:

第 1 步:我使用以下详细信息使用我的 Bitbucket 帐户注册了一个 OAuth 消费者:

Name: jerseytestapp
Description:
CallbackURL: http://localhost:8080/
URL: 

问题 1:我可以自动执行此步骤吗？

第 2 步:我运行了以下 Java 代码:

package jerseytest;

import org.apache.oltu.oauth2.client.request.OAuthClientRequest;
import org.apache.oltu.oauth2.common.exception.OAuthSystemException;

public class BitbucketJersey {

    public static void main(String[] args) {
    OAuthClientRequest request;
    try {
        request = OAuthClientRequest
                .authorizationLocation("https://bitbucket.org/site/oauth2/authorize")
                .setClientId("jerseytestapp")
                .setRedirectURI("http://localhost:8080")
                .buildQueryMessage();

            System.out.println(request.getLocationUri());

        } catch (OAuthSystemException e) {
            e.printStackTrace();
        }
    }

}

第 3 步:我收到以下 locationURI 并在 Firefox 中打开

https://bitbucket.org/site/oauth2/authorize?redirect_uri=http%3A%2F%2Flocalhost%3A8080&client_id=jerseytestapp

问题 2:我需要使用浏览器还是可以从 java 应用程序执行此操作？

我在 Firefox 中收到以下回复消息:

Invalid client_id
This integration is misconfigured. Contact the vendor for assistance.

问题 3:接下来正确的步骤是什么，我的方法有什么问题？

Answer 1

答案 1:您可以自动创建 OAuth 消费者，但您可能不想这样做。

Bitbucket 提供 documentation on how to create a consumer through their APIs ，尽管文档缺少许多相关字段。即便如此，您仍然可以通过编程方式制作一个 HTTP 请求，它模仿 Bitbucket 的 Web 界面为创建消费者所做的任何事情。所以是的，它可以自动化。

这就是您可能不想这样做的原因。在您的情况下，您有三样东西需要协同工作:您的应用程序、最终用户和 Bitbucket。 (或者就此流程的 OAuth 术语而言，它们分别是 client, resource owner, and authorization server。)正常的处理方式是您的应用程序由您在帐户中创建的 OAuth 消费者唯一标识，并且所有您的应用程序对 Bitbucket 的使用将使用单个 OAuth 消费者来识别您的应用程序。因此，除非您正在做一些事情，例如开发生成其他 Bitbucket 应用程序的 Bitbucket 应用程序，否则您不需要自动创建其他 OAuth 消费者。

答案 2:您可以直接从您的 Java 应用程序授权。

Bitbucket 指出 it supports all four grant flows/types在 RFC-6749 中定义.您的代码当前正在尝试使用 Authorization Code Grant类型。使用此授权类型将强制您使用浏览器。但这并不是桌面应用程序的这种授权类型的唯一问题。如果没有指向公共(public)网络服务器，您将不得不在回调 URL 中使用 localhost，就像您已经在做的那样。这是一个很大的安全漏洞，因为恶意软件可以拦截到您的回调 URL 的流量，以获取对最终用户仅授予您的应用程序的 token 的访问权限。 (有关该主题的更多讨论，请参阅 this stackoverflow question 上的评论。)相反，您应该使用 Resource Owner Password Credentials Grant type 允许您直接在您的应用程序中验证 Bitbucket 的用户名和密码，而无需外部浏览器或回调 URL。 Bitbucket 提供了一个关于如何使用该授权类型的示例 curl 命令 here .

答案 3:正确的后续步骤是按照以下示例对您的代码进行建模。你的方法有什么问题是你试图使用不适合你需要的授权类型，并且你试图使用你的 OAuth 消费者的名字来识别你的应用程序而不是你的消费者的 key 和 secret 。

以下代码示例使用我自己的用户名/密码/ key / secret 组合成功检索了一个访问 token ，其值已被替换掉。代码使用 JDK 1.8.0_45 和 org.apache.oltu.oauth2:org.apache.oltu.oauth2.client:1.0.0 进行了测试。

OAuthClientRequest request = OAuthClientRequest
    .tokenLocation("https://bitbucket.org/site/oauth2/access_token")
    .setGrantType(GrantType.PASSWORD)
    .setUsername("someUsernameEnteredByEndUser")
    .setPassword("somePasswordEnteredByEndUser")
    .buildBodyMessage();
String key = "yourConsumerKey";
String secret = "yourConsumerSecret";
byte[] unencodedConsumerAuth = (key + ":" + secret).getBytes(StandardCharsets.UTF_8);
byte[] encodedConsumerAuth = Base64.getEncoder().encode(unencodedConsumerAuth);
request.setHeader("Authorization", "Basic " + new String(encodedConsumerAuth, StandardCharsets.UTF_8));
OAuthClient oAuthClient = new OAuthClient(new URLConnectionClient());
OAuthResourceResponse response = oAuthClient.resource(request, OAuth.HttpMethod.POST, OAuthResourceResponse.class);
System.out.println("response body: " + response.getBody());