背景

我有一个具有Twitter应用程序设置的后端应用程序，可以查询和提取用户tweet / post数据。很好，但是，现在在前端，我还没有完整的Twitter集成设置。我的意思是，用户可以在前端输入任何Twitter用户名，并且我想确定要知道输入的Twitter用户名实际上属于该用户。使用Twitter应用程序密钥，您可以为任何Twitter帐户提取公共Twitter数据，这对于大规模数据提取以及我的概念证明工作非常有效。就目前而言，我需要在后端执行一个假设，即针对特定Twitter屏幕名称进行分析的数据也归我的Web应用程序帐户的用户所有。

拟议的Twitter解决方案

这是我一直在尝试的一堆参考文档。

https://developer.twitter.com/zh-CN/docs/basics/authentication/guides/login-with-twitter https://developer.twitter.com/zh-CN/docs/basics/authentication/api-reference/request_token https://oauth.net/core/1.0/#anchor9 https://oauth.net/core/1.0/#auth_step1

我一直在尝试遵循此方法，并且对下面发布的代码进行了不同的排列（一个不带回调URL作为参数，一个不带参数等等），但是在这一点上，并没有太大的不同。我没有取得任何成功，已经超过几天了，这真使我丧命。

编码

这是我尝试遵循上述文档中建议的OAuth规范。请注意，这是ASP.NET Core 2.2 +代码。另外，这是Twitter指南中OAuth身份验证和授权步骤1的代码。

public async Task<string> GetUserOAuthRequestToken()
{
    int timestamp = (Int32)(DateTime.UtcNow.Subtract(new DateTime(1970, 1, 1))).TotalSeconds;
    string nonce = Convert.ToBase64String(Encoding.ASCII.GetBytes(timestamp.ToString()));

    string consumerKey = twitterConfiguration.ConsumerKey;
    string oAuthCallback = twitterConfiguration.OAuthCallback;

    string requestString =
        twitterConfiguration.EndpointUrl +
        OAuthRequestTokenRoute;

    string parameterString =
        $"oauth_callback={WebUtility.UrlEncode(twitterConfiguration.OAuthCallback)}&" +
        $"oauth_consumer_key={twitterConfiguration.ConsumerKey}&" +
        $"oauth_nonce={nonce}&" +
        $"oauth_signature_method=HMAC_SHA1&" +
        $"oauth_timestamp={timestamp}" +
        $"oauth_version=1.0";

    string signatureBaseString =
        "POST&" +
        WebUtility.UrlEncode(requestString) +
        "&" +
        WebUtility.UrlEncode(parameterString);

    string signingKey =
        twitterConfiguration.ConsumerSecret +
        "&" + twitterConfiguration.AccessTokenSecret;

    byte[] signatureBaseStringBytes = Encoding.ASCII.GetBytes(signatureBaseString);
    byte[] signingKeyBytes = Encoding.ASCII.GetBytes(signingKey);

    HMACSHA1 hmacSha1 = new HMACSHA1(signingKeyBytes);
    byte[] signature = hmacSha1.ComputeHash(signatureBaseStringBytes);

    string authenticationHeaderValue =
        $"oauth_nonce=\"{nonce}\", " +
        $"oauth_callback=\"{WebUtility.UrlEncode(twitterConfiguration.OAuthCallback)}\", " +
        $"oauth_signature_method=\"HMAC_SHA1\", " +
        $"oauth_timestamp=\"{timestamp}\", " +
        $"oauth_consumer_key=\"{twitterConfiguration.ConsumerKey}\", " +
        $"oauth_signature=\"{Convert.ToBase64String(signature)}\", " +
        $"oauth_version=\"1.0\"";

    HttpRequestMessage request = new HttpRequestMessage();
    request.Method = HttpMethod.Post;
    request.RequestUri = new Uri(
        baseUri: new Uri(twitterConfiguration.EndpointUrl),
        relativeUri: OAuthRequestTokenRoute);
    request.Content = new FormUrlEncodedContent(
        new Dictionary<string, string>() {
            { "oauth_callback", twitterConfiguration.OAuthCallback }
        });
    request.Headers.Authorization = new AuthenticationHeaderValue("OAuth",
        authenticationHeaderValue);

    HttpResponseMessage httpResponseMessage = await httpClient.SendAsync(request);

    if (httpResponseMessage.IsSuccessStatusCode)
    {
        return await httpResponseMessage.Content.ReadAsStringAsync();
    }
    else
    {
        return null;
    }
}

注意，我也尝试过从参数中删除回调URL，但是这没有用。我尝试了各种稍有不同的排列方式（将签名签名，在查询字符串中添加了回调URL，将其删除等），但此时我已经失去了尝试过但没有尝试过的内容（编码，引号等） ）。

忽略我尚未将响应序列化为模型的事实，因为目标是首先命中成功状态代码！

我也有针对此方法的集成测试设置，并且不断收到400 Bad Request，而没有其他信息（这很有意义），但是绝对不能帮助调试。

[Fact]
public async Task TwitterHttpClientTests_GetOAuthRequestToken_GetsToken()
{
    var result = await twitterHttpClient.GetUserOAuthRequestToken();

    Assert.NotNull(result);
}

顺便说一句，我还有其他一些问题：

1. 是否可以通过OAuth流程来验证用户的Twitter帐户？我问这个的原因是因为很难通过OAuth流程
2. 在后端执行Twitter登录工作流程的第一步并将响应返回到前端是否安全？该响应将携带敏感令牌和令牌密钥。（如果我自己回答这个问题，我会说您必须这样做，否则您将不得不将应用程序密码硬编码到前端配置中，这更糟）。我问这个问题是因为自从我开始这样做以来，这一直在我的意识中，我有点担心。
3. 是否有用于C＃ASP.NET Core的OAuth帮助程序库，可以使此过程变得更容易？