c# - 使用 HMAC-SHA1 加密创建 OAuth 签名返回 HTTP 401-6ren

c# - 使用 HMAC-SHA1 加密创建 OAuth 签名返回 HTTP 401

转载作者：可可西里更新时间：2023-11-01 08:47:14

27

4

问题
我需要对需要 OAuth 加密的 API 进行身份验证。

我的方向是正确的，但我确信我的签名基本字符串有问题。由于 HMACSHA1 哈希基于 key 和 BaseString，因此我得到了错误的 oauth_signature。

OAuth Signing Process

到目前为止
我已经能够收集到所有必需的数据，其中包括:

Consumer Key

Consumer Secret

Acces Token

Acces Secret

Sha1Hased Value (Based on Key and Message, where Message is the signature Base string)

Signature Base String

问题
由于签名无效，我收到 HTTP(401 错误请求)返回。

注意:我很确定这是我构建签名基础字符串的方式。有关我使用的 API 文档的信息，请查看底部页面。

代码

GetOAuthToken(执行实际请求)

public static string GetAuthorizationToken()
{
    string TimeInSecondsSince1970 = ((int)(DateTime.UtcNow - new DateTime(1970, 1, 1)).TotalSeconds).ToString();
    string Nonce = System.Convert.ToBase64String(System.Text.Encoding.UTF8.GetBytes(TimeInSecondsSince1970
    + TimeInSecondsSince1970 + TimeInSecondsSince1970));
    HttpWebRequest httpWebRequest = (HttpWebRequest)WebRequest.Create(GetAppleApiUrl.GetUrl(AppleApiUrl.SESSION_TOKEN));
    httpWebRequest.Method = "GET";

    string consumer_secret = Uri.EscapeDataString(Settings.SettingsManager.consumer_secret);
    string token_secret = Uri.EscapeDataString(Settings.SettingsManager.access_secret);

    string signature_base_string = GetSignatureBaseString(TimeInSecondsSince1970, Nonce);
    string SHA1HASH = GetSha1Hash(consumer_secret + "&" + token_secret, signature_base_string);
                
    string Header =
       "OAuth realm=" + '"' + "ADM" + '"' + "," +
       "oauth_consumer_key=" + '"' + Settings.SettingsManager.consumer_key + '"' + "," +
       "oauth_token=" + '"' + Settings.SettingsManager.access_token + '"' + "," +
       "oauth_signature_method=" + '"' + "HMAC-SHA1" + '"' + "," +
       "oauth_signature= " + '"' + SHA1HASH + '"' + "," + 
       "oauth_timestamp=" + '"' + TimeInSecondsSince1970 + '"' + "," +
       "oauth_nonce=" + '"' + Nonce + '"' + "," +
       "oauth_version=" + '"' + "1.0" + '"' + ",";
   
    httpWebRequest.Headers.Add(HttpRequestHeader.Authorization, Header);
    var Result = httpWebRequest.GetResponse();

    return Result.ToString();
}

GetSha1Hash

public static string GetSha1Hash(string key, string message)
{
    var encoding = new System.Text.ASCIIEncoding();

    byte[] keyBytes = encoding.GetBytes(key);
    byte[] messageBytes = encoding.GetBytes(message);

    string Sha1Result = string.Empty;

    using (HMACSHA1 SHA1 = new HMACSHA1(keyBytes))
    {
        var Hashed = SHA1.ComputeHash(messageBytes);
        Sha1Result = Convert.ToBase64String(Hashed);
    }

    return Sha1Result;
}

GetSignatureBaseString

public static string GetSignatureBaseString(string TimeStamp, string Nonce)
{
    //1.Convert the HTTP Method to uppercase and set the output string equal to this value.
    string Signature_Base_String = "Get";
    Signature_Base_String = Signature_Base_String.ToUpper();

    //2.Append the ‘&’ character to the output string.
    Signature_Base_String = Signature_Base_String + "&";

    //3.Percent encode the URL and append it to the output string.
    string PercentEncodedURL = Uri.EscapeDataString(GetAppleApiUrl.GetUrl(AppleApiUrl.SESSION_TOKEN));
    Signature_Base_String = Signature_Base_String + PercentEncodedURL;

    //4.Append the ‘&’ character to the output string.
    Signature_Base_String = Signature_Base_String + "&";

    //5.append parameter string to the output string.
    Signature_Base_String = Signature_Base_String + Uri.EscapeDataString("oauth_consumer_key=" + Settings.SettingsManager.consumer_key);
    Signature_Base_String = Signature_Base_String + Uri.EscapeDataString("&oauth_token=" + Settings.SettingsManager.access_token);
    Signature_Base_String = Signature_Base_String + Uri.EscapeDataString("&oauth_signature_method=" +"HMAC-SHA1");
    Signature_Base_String = Signature_Base_String + Uri.EscapeDataString("&oauth_timestamp=" + TimeStamp);
    Signature_Base_String = Signature_Base_String + Uri.EscapeDataString("&oauth_nonce=" + Nonce);
    Signature_Base_String = Signature_Base_String + Uri.EscapeDataString("&oauth_version=" + "1.0");

    return Signature_Base_String;
}

结果(Fiddler)

API 文档

最佳答案

看起来您应该在 Header 字符串和 GetSignatureBaseString 方法中按字母顺序对参数进行排序，如 this comment 中所述和 Twitter OAuth documentation

关于c# - 使用 HMAC-SHA1 加密创建 OAuth 签名返回 HTTP 401，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/30706133/

27

4

0

文章推荐： java - 在 Canvas 上缩放后在路径上消除锯齿

文章推荐： MySQL ST_Contains 结果错误

文章推荐： mysql - Splint 不知道库函数正在释放内存

文章推荐： android - Android 可以原生播放 udp/RTP/RTSP 流吗？

objective-c - 如何在 iOS 中计算 SHA-2(最好是 SHA 256 或 SHA 512)哈希？
安全服务 API 似乎不允许我直接计算哈希。有很多公共(public)领域和自由许可的版本可用，但如果可能的话，我宁愿使用系统库实现。可以通过 NSData 或普通指针访问数据。哈希的加密强度对我
hash - SHA 的 SHA 作为复合对象的签名
我有一堆大对象，以及它们的结构和它们的向量。有时检查复合对象的完整性很重要；为此，我正在使用对象的 Sha256“签名”。至少有两种方法可以定义复合对象的签名:通过计算组件串联的sha，或者通过计算
sha - 什么是 sha-256 填充？
研究了一个 cpu 矿工的源代码，我发现了这段代码: work->data[20] = 0x80000000; 好吧，我问了编码，他的回答是: “这些值是标准 SHA-2 填充的一部分” 谷歌搜索“s
encryption - SHA-1、SHA-2 是否获得专利？
您是否需要许可证才能将 SHA-1 或 SHA-2 用于商业目的？最佳答案它最初由 NSA 为安全 DSA 加密创建，然后被 NIST 采用以维护算法的所有方面以及 SHA(2 和 3)。这是一
sha - RIPEMD-160 与 SHA-256
谁能解释一下 SHA-256 和 RIPEMD-160，哪种算法通常更快，性能和空间比较是什么(如果有)？我所说的空间比较并不是指 160 位和 256 位，而是指冲突频率、生产环境中空间要求的差异。
sha256 - “SHA-2” 和 “SHA-256” 有什么区别
我对 SHA-2 和 SHA-256 之间的区别有点困惑，并且经常听到它们互换使用。我认为 SHA-2 是哈希算法的“家族”，而 SHA-256 是该家族中的特定算法。任何人都可以消除困惑。最佳答案
java - 从 SHA-1 更改为 SHA-512
我正在尝试从 SHA-1 更改为 SHA-512 以获得更好的安全性，但我不完全清楚如何进行更改。这是我使用 SHA-1 的方法: public static String sha1Convert(
c# - 什么时候应该使用 SHA-1，什么时候应该使用 SHA-2？
在我的 C# 应用程序中，我使用 RSA 对文件进行签名，然后再由上传者上传到我公司的数据库中，在这里我必须选择 SHA-1 或 SHA-2 来计算哈希值。与编程中的任何其他组件一样，我知道必须有一个
multithreading - SHA1 、 SHA-256 、 SHA-512 可以分解为跨多个内核/线程运行吗？
我正在研究 SHA1 、 SHA-256 、 SHA-512 在不同处理器上的速度(计算哈希的时间) 这些散列算法可以分解为跨多个核心/线程运行吗？最佳答案如果您想将计算单个哈希的执行并行化(无论
hash - 哈希算法 SHA-2 和 SHA-3 有什么区别？
关闭。这个问题是off-topic .它目前不接受答案。想改进这个问题？ Update the question所以它是on-topic对于堆栈溢出。 9年前关闭。 Improve this que
java - 计算 SHA-2 或 SHA-3 哈希
这个问题在这里已经有了答案: SHA2 password hashing in java (4 个答案) 关闭 9 年前。我需要计算文件的 SHA-2 或 SHA-3。我没有提交任何代码示例来说明
c++ - 如何在 openssl 中从 SHA 切换到 SHA-1
在我的应用中，之前开发者已经使用openssl version 1.0.1e [#include openssl/sha.h]并且已经使用了函数 unsigned char *SHA(const un
encryption - SSL 加密、SHA-1 和 SHA-2
我正在尝试实现 SHA-2加密而不是 SHA-1 . 为此，我知道这两种哈希算法之间的位数不同，这让我很困惑。如何实现这一目标以及我需要在哪些部分进行必要的更改？我可以使用来自 Java、Pyth
java - 可以从 SHA-1 切换到 SHA-256 吗？
我目前正在使用 SHA-1。我像下面的代码一样使用它，但我想将它更改为 SHA-256。 public String sha1Encrypt(String str) { if(str == nul
C# SHA-256 与 Java SHA-256。不同的结果？
我想将一些 Java 代码转换为 C#。 Java 代码: private static final byte[] SALT = "NJui8*&N823bVvy03^4N".getBytes()
c# - 如何在使用 SHA-2 而不是 SHA-1 之间切换？
我的程序使用 SHA-1 证书进行 SSL 连接。 SHA-2 证书现在已被一些网络服务(Gmail)广泛使用。这会导致在电子邮件通知设置期间阻止与 SMTP 服务器的传入连接。为了发送电子邮件，我
git - 从 git diff 的短 SHA 中查找长 SHA
我在提交中生成差异/更改，以便我可以将其上传到 ReviewBoard。我使用了“git show d9f7121e8ebd4d1f789dab9f8214ada2h480b9cf”。它给了我 di
Git 正在转向新的哈希算法 SHA-256 但为什么 git 社区选择了 SHA-256
我刚刚从这个 HN-post 了解到 git 正在转向新的散列算法(从 SHA-1 到 SHA-256 ) 我想知道是什么让 SHA-256 最适合 git 的用例。是否有任何/许多强有力的技术原因
https - 将 SSL 证书 SHA-2 降级为 SHA-1
是的，我需要降级到 SHA-1 以增加对项目中旧浏览器的兼容性。有没有办法做到这一点？我正在使用 Linux Centos 6.5 和 Apache/2.2.15。我有 3 个文件: SSLCe
ssl - Cipher(rsa-with-aes-128-cbc-sha) 将使用哪个 SHA？
在 TLS1.1 和 TLS1.2 中，Cipher(rsa-with-aes-128-cbc-sha) 将使用哪个 Digest(SHA1 或 SHA256)？最佳答案根据官方openssl w

首页

博学

6Ren·AI

商城

c# - 使用 HMAC-SHA1 加密创建 OAuth 签名返回 HTTP 401