OAuth nedir, nasıl çalışır?

En kısa tanımla OAuth, kullanıcıların üyesi oldukları bir site yada platformun şifresini üye oldukları başka bir web sitesi yada platformla paylaşmadan, izin verdiği bilgilere diğer site tarafından ulaşılmasını sağlayan bir kimlik doğrulama protokolüdür.

Burada protokol kelimesinin altını çizmek istiyorum. Zira OAuth’u bir yazılım yada kütüphane olarak görmek çok yanlıştır.Yani aslında OAuth yukarıda tanımını yaptığımız işlem ile ilgili adımlar ve kurallar bütünüdür. Örneğin HTTP yada FTP birer protokoldür. Bu protokole uyarak yazılmış kütüphaneler ve yazılımlar birbirleriyle iletişime geçebilir. OAuth için de yazılmış hazır kütüphaneler ve yazılımlar mecvuttur.

OAuth ile OpenID’nin birbirleriyle alakası yoktur. Tamamen farklı kavramlardır bunlar.

Günümüzde artık dünya çapında kullanılan çoğu web sitesinin OAuth API desteği mecvuttur. Temel olarak hepsi aynı mantıkla çalışmaktadır. Bunlara örnek olarak; Yahoo BBAuth, Google AuthSub, Flickr API, Twitter API’yi sayabiliriz.

Aşağıda sırasıyla web sitenize OAuth API hizmeti veren bir sitenin API’sini nasıl entegre edeceğinizin adımlarını vermeye çalışacağım. Buradaki web sitesi yukarıda örnek verdiğim sitelerden herhangi birisi olabilir. Genel olarak sıralama aynıdır.

1. İlgili siteden bir API Key alınır. API Key alırken sitemizin adını, alan adını ve bu alanın altında OAuth işlemini tamamlamada kullanılacak geri dönüş URL’mizi belirtiriz. Site bize işlemlerimizde kullanmak üzere bir API Key ve bir de Secret Key verir. Bunların yanında OAuth işlemlerimizi yaparken kullanacağımız, Request token, Access token ve Authorize URL olmak üzere 3 adet URL veriyor. Yani 5 adet parametremiz oluyor… Bu işlem site sahibi yada geliştiricisi tarafından yapılır.

2. Request token URL’ye bir web isteği yaparak token ve token_secret anahtarlarımızı alıyoruz.

3. Bu anahtarları ve Authorize URL’mizi kullanarak oluşturduğumuz OAuthLink ile hedef sitemize yönleniyoruz.

4. Hedef site açıldığında üyemiz buraya karşı sitedeki kullanıcı adı ve şifresini güvenli bir şekilde giriyor. Burada üyemiz 1 numaralı adımda girdiğimiz Site ismimiz belirtilerek yetki vereceğimizi belirten bir uyarıyla karşılaşır.

5. Kullanıcı adı ve şifremizi doğru girdikten sonra ilgili sitede oluşturduğumuz API’nin hangi bilgilere ne kadar süreyle erişmesine izin vereceğimizi belirterek kabul ediyoruz.

6. Yine 1 numaralı adımda belirttiğimiz kendi sitemizdeki geri dönüş URL’mize yönleniri ve ipleri tekrar elimize alırız. Geri dönüş URL’mize yine bir Token ile dönüş yaparız.

7. Bu aşamada geri dönüş URL’mizde QueryString olarak gelen Token ve Access token URL’mizi kullarak hedef siteye OAuth işlemini tamamlamak için son bir Web isteği yapıyoruz. Bu aşamada yaptığımız isteğe cevap olarak ilgili üyemiz için hedef siteden veri okuyup yada yazarken kullanacağımız token ve token_secret anahtarlarımızı alıyoruz. Bu anahtarları daha sonra kullanmak üzere kullanıcımızın profiline kaydediyoruz. Hedef site için her kullanıcımızın kendine ait token ve token_secret anahtarları olacak.

8. Son olarak, hedef sitemizde yapacağımız işleme göre API_Key, API_Secret ve kullanıcımızın Token, Token_Secret anahtarlarını kullanarak web isteklerimizi yapıyoruz. Verileri okuyup yazıyoruz.

Kullandığınız platform için yazılmış hazır OAuth kütüphanesini http://oauth.net/code/ adresinden indirebilirsiniz.

Tüm bu işlemlerde, kullandığımız yazılım geliştirme dili ve platforma özel yazılmış hazır kütüphaneleri kullanmanızı tavsiye ederim. Umuyorum ki OAuth ile ilgili olarak aklınızdaki bazı sorulara cevap verebilmiş ve aydınlatabilmişimdir.

Bu konuyla alakalı olarak, bir sonraki yazımda ASP.Net C# diliyle yazılmış web sitemizle Twitter’ı birbiriyle nasıl bağlayacağımız, kullanıcılarımızın profiline Twitter twitlerini almayı, kullanıcımızın sitemizden girdiği durum bilgisini de Twitter’a twitlemeyi örnek kodlar ve kütüphane ile ele alacağım…

“OAuth nedir, nasıl çalışır?” üzerine 11 düşünce

  1. Peki sitemize Oauth protokolü üzerinden erişilmesini istersek sunucu tarafında ne yapmamız gerekiyor?

  2. URL engellendi, bu yeniden yönlendirme hatalı çünkü yönlendirme URL’si uygulamanın İstemci OAuth Ayarları’ndaki beyaz listede değil. İstemci ve Web OAuth Girişi sağladığınızdan emin olun.

    hatası nasıl çözülür?

    facebook oyun yüklemesinde bu hatayı veriyor?

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir