Возможна ли авторизация OAuth 2.0 без браузера?

Question

[Nubzilo]

Добрый вечер. Подскажите пожалуйста, как можно, и возможно ли, авторизоваться через OAuth 2.0 с клиентского приложения (WinForms, можно и WPF) без использования браузера, а по предварительно введенному логину и паролю?

Answer 1

[Алексей Немиро]

Поставщик может позволить принимать у пользователя логин и пароль и преобразовывать их в маркер доступа (accsss token). Но, как правило в целях безопасности, никто не дает такой возможности.

Попробуйте: если grant_type будет password, то данные пользователя можно передавать в параметрах username и password при получении маркера доступа. Либо использовать grant_type равный client_credentials, тогда данные пользователя должны передаваться в HTTP заголовке Authorization (при использовании HTTPS это более безопасный способ, чем password).

Например, если бы Facebook позволял это делать, то запрос маркера доступа мог бы быть таким:

https://graph.facebook.com/oauth/access_token?client_id=123&client_secret=abc&
grant_type=password&username=pupkin&password=000

В моей библиотеке пока нет возможности менять grant_type снаружи, но можно внутри поменять. Например, InstagramClient.cs, в конструкторе указать GrantType:

base.GrantType = GrantType.ClientCredentials;

И далее использовать клиент:

var client = new InstagramClient
(
  "9fcad1f7740b4b66ba9a0357eb9b7dda", 
  "3f04cbf48f194739a10d4911c93dcece"
);
client.ReturnUrl = "http://oauthproxy.nemiro.net/";
client.Username = "aleksey";
client.Password = "Frif#dser#23dssd@Dsdfjjfsi";
var accessToken = client.AccessToken;

И сервер ответит:

{"code": 400, "error_type": "OAuthException", "error_message": "Invalid grant_type"}

Плохой пример :P

А вот Facebook, на удивление, вернул маркер доступа:

var client = new FacebookClient("1435890426686808", "c6057dfae399beee9e8dc46a4182e8fd");
client.Username = "aleksey";
client.Password = "a6lGmDZsCb1SuHsIQw89ZqK9";
var accessToken = client.AccessToken;

Но у меня сомнения, что поставщик просто так позволит это использовать кому попало, в реальных условиях, без ограничений. Наверняка придется жесткую проверку модератором проходить.

Answer 2

[Nubzilo]

А более универсальные вариант? Если залогиниться нужно не на фейсбук, а например в инстаграм?

Comments

[Алексей Немиро]

Протокол один, адреса страниц разные, и параметры приложений.

Общее то, что нужно указывать grant_type равный password или client_credentials, и передавать логин и имя пользователя.

Сейчас в своем ответе покажу пример.

[Nubzilo]

Просто параметра grant_type у инстаграма я не видел. Сомневаюсь, что он предоставляет такие возможности без запроса.

[Алексей Немиро]

Nubzilo: это на уровне протокола. Обновил свой ответ. Да, Instagram не разрешает использовать client_credentials и тем более password. Значит через OAuth никак. Можно обратиться в поддержку, узнать, может для избранных они это позволяют делать и что необходимо, чтобы стать избранным.

[Nubzilo]

Как говориться - "Хорошая попытка, но нет" :) К избранным я не отношусь, поэтому такой вариант исключаем.
Хотя меня бы и вариант с браузером устроил бы, но дело в том, что в приложении нужно сохранять несколько сессий, и иметь возможность использовать обе в разрезе одного приложения. Может есть мысли как такое реализовать?

А за библиотеку спасибо, она еще пригодиться ;)

[Алексей Немиро]

Nubzilo: маркер доступа же можно сохранить. Если требуется использовать несколько учетных записей, то просто записывать несколько маркеров в настройках приложения.

При получении маркера доступа, конкретно Instagram, возвращает имя пользователя. Попробуйте вот тут. Можно при сохранении маркера в своем приложении, связать его с полученным именем пользователя. Даже можно фотку пользователя себе копировать. И просто показывать список авторизованных пользователей в своем приложении, как, например это делается в Windows, когда на одном компьютере одновременно несколько пользователей авторизовано.

[Nubzilo]

Именно так и задумывалось, но ведь WebBrowser сохраняет сессию где то у себя. Тоесть при повторной попытке авторизации будет использована существующая сессия.

[Алексей Немиро]

Nubzilo: процесс получения маркера доступа отдельный. Когда пользователь вводит логин и пароль в браузере, то поставщик возвращает код авторизации. Этот код используется для получения маркера доступа. Код авторизации одноразовый. Маркер более живучий.

Код авторизации может выводиться на сайте, либо передаваться в адресе обратного вызова.

Недавно делал видео на тему интеграции с Dropbox. Процесс работы с другими поставщиками будет аналогичным. Авторизуем через браузер, получаем из кода авторизации маркер доступа, сохраняем маркер и используем для работы с API.

[Nubzilo]

Я понял наконец то, что вы называете маркером :)
Ну, в общем на данный момент сделал через WebRequest и WebResponse. Работает, токкен вытаскивает.
Единственное с чем не разобрался, так это как получить инфорацию о залогиненном пользователе?
По документации Инстаграмма вся эта информация выводиться если логиниться через Server-Side. А вот как получить тоже самое через Client-Side?
Вариант поиска по имени не берем.

[Алексей Немиро]

Nubzilo: некоторые поставщики могут сохранить куки. Можно очищать их, после авторизации. Либо опцию "запомнить меня" принудительно снимать (если такая есть).

[Алексей Немиро]

Nubzilo: варианты очистки кукисов в WebBrowser можно вот тут посмотреть.

[Алексей Немиро]

Nubzilo: данные пользователя получаются через API. У каждого поставщика свой API. Instagram вместе с маркером доступа возвращает базовую информацию, дополнительных запросов делать не требуется.

[Nubzilo]

Кстати, можете реализовать у себя в библиотеке такую же авторизацию по логину/паролю. Работает она при условии, что в приложении отключено принудительна Server-Side авторизация. Правда не знаю, на сколько это противоречит идеи Oauth, но в некоторых случаях может быть полезным.
Но все же я не о куках. Я о том, что в последнем этапе авторизации через Server-Side возвращается Oauth Token, в который инстаграм так же кидает информацию о данном человеке (https://instagram.com/developer/authentication/ раздел Server-Side, последняя ступень). Так вот, при авторизации через Server-Side это информации нет. Единственный вариант ее получить - через поиск?
Вопрос конкретно по апи инстаграмма, я так понимаю вы с ним знакомы.

[Алексей Немиро]

Nubzilo: я работал со всеми API, клиенты для которых делал. У Instagram довольно простой API.

Авторизация по логину и паролю - это то, о чем я писал в ответе? Или клиентская авторизация с grant_type в значении token? Это для JavaScript, неудобно и смысла нет. У меня под Server-Side сделано.

[Nubzilo]

Нет, не то, что вы писали. Через WebRequest и WebResponse. В процессе просто на каждом редиректе вытаскиваем куки, код авторазации и т.д.
Таким образом можно как Server-Side, так и Client-Side. В итоге сделал через Server-Side через подписанные заголовки (Signed Calls) - так лимитов больше.
В общем мой вопрос полностью снялся ) Плохо то, что свой велосипед достаточно кривой, хоть и едет...