本节来讨论Alexa Skill中涉及到的授权问题。

Alexa内功能的授权

Alexa会发给skill用户的token,然后skill代码使用这个token来访问Web API访问用户的Alexa内的功能,如list等。

授予skill第三方的权限——Account Linking

参考:https://developer.amazon.com/docs/account-linking/understand-account-linking.html#account-linking-and-the-skill-model
授予skill用户在其他第三方系统中的权限,例如,让亚马逊echo控制你的智能门锁,就需要授予特定的skill能访问你门锁的权限。但是门锁权限本来是门锁制造商的云管理的,也就是说你要使用门锁的App控制,那么如何实现将这个权限授予skill呢?这就需要使用Oauth2.0来实现。

OAuth中定义了一些角色,但是只看OAuth的说明会比较抽象,所以亚马逊非常好的给出了OAuth角色在Alexa Skill中具体指什么。这里简单翻译一下Smart Home Skill的对应关系方便理解。在Smart Home Skill中,要求使用Authorization code grant模式。该模式中,authorization server在用户登录时返回一个code,然后Alexa使用这个code去access token endpoint请求一个access token/refresh token pair;这个refresh token可以被用来在token过期时请求信的token。

  • Resource owner:指使用这个skill绑定自己设备的Alexa用户。该用户在设备厂商的云中有对应的账号来控制此设备。
  • Resource server:一般指设备厂商的云服务器。受保护的资源就是用户智能家居的信息和控制权。拿智能门锁来讲就是门锁厂商的服务器。
  • Client:指Skill。因为Skill使用获得的凭证去resource server访问授权的资源,但是是Alexa请求authorization server获得access token。
  • Authorization server:用来认证用户并提供access token凭证的服务器。举例来讲,一般就是智能门锁厂商的服务器。当然,资源服务器和授权服务器不必须是同一个个人或者公司所有。门锁的公司可能支持你使用亚马逊或者微信的账号来登陆,那么授权服务器就变成了亚马逊或者微信的服务器。

在拥有了一些背景知识后,下面来了解一下具体的工作流程,从用户的角度,看到的是这样的流程:

  1. Alexa app中用户点击Enable来开始账户关联过程。
  2. app显示让用户登录第三方系统(门锁公司)的界面。
  3. 用户输入用户名密码登录成。
  4. 用户被重定向回Alexa app的界面。

当用户关联成功后,Alexa就获得并存储代表了用户的access token。Alexa给skill的每个请求中,都会携带这个token方便你skill来使用访问第三方系统。由此产生几个疑问:Alexa是如何获得到token,并关联到这个Alexa账户的?Alexa会调用安卓的浏览器,浏览器和Alexa是怎么通信的?其实亚马逊官方文档很好的解答的这些疑问,如下图所示。

  1. Alexa app弹出的登陆界面就是让用户跟Authorization server认证,这个访问的URI也就是skill中设置的Authorization URI 。当Alexa app调用这个URI时还上报了一些参数,如state, client_id, response_type, scope, redirect_uri 。这些参数也是skill开发者可以设置的。如client_id可以向认证服务器说明是哪个skill(好像这个client_id很容易被窃取?因为是从客户端发出去的。但是,还需要设置一个client_secret,这个secret是存在Alexa云的,Alexa在获得到code后(谁都可以声称自己是Alexa的这个skill来获得code),Alexa使用code+client_secret+clietn_id三者来获得token,由于攻击者无法获得secret,所以攻击者无法获得access_token,OAuth还是设计的挺安全的,亚马逊似乎也没用错。当然,这需要第三方厂商,如门锁的厂商去检查并记录发出的codeclient_idclient_secret的对应关系。参考);scope似乎是权限的具体说明,这个就要跟第三方的服务器配合来设置了;state是一个随机的会话标记,需要在重定向用户到亚马逊URI的时候传回去,让亚马逊服务器知道是这个会话。

  2. 用户认证过后,authorization server 生成authorization code(code),页面重定向用户到Alexa特定的redirect_uri,这是亚马逊的URI,并且在重定向时发送codestate参数。

  3. 接下来Alexa就可以用code来请求access token了,请求的URI是skill里设置的authorization server的Access Token URI

  4. Alexa保存好access token和refresh token。至此,Alexa账户就和第三方的账号(使用token)关联了。

  5. 当用户给skill发请求时,如IntentRequest,就会把这个access_token发给skill,skill的代码就可以随意使用用户的token凭证了。

授予第三方云Alexa的权限

用户在Alexa中添加了设备后,肯定希望设备的状态可以自动的异步发送到Alexa App中,用户随时查看都是最新的状态。而这个Alexa App又是亚马逊所有的,于是需要授予第三方更新Alexa app中这个设备的权限,基本原理也是将亚马逊账号的权限用OAuth协议分享给第三方云。

  1. 当用户enable启用skill并完成账户关联后,Alexa会向skill发送AcceptGrant指令,携带该Alexa用户的code和上一步从第三方云拿来的access_token,这个code就代表了Alexa用户的权限;
  2. 第三方云此时需要用code换Alexa的access_token(Oauth的流程,除了code还要发送代表该skill的client_id和client_secret,亚马逊认证是哪个skill发出的推送),同时进行该用户Alexa账号和第三方云账号的关联。
  3. 当关联好后,每当第三方厂商云检测到该用户的设备状态发生变化,比如锁被用指纹打开了,就使用该用户对应的Alexa上的token向亚马逊预设好的event事件结点URL发送POST请求,该请求中需要携带设备状态、Alexa云中该设备的ID(endpointId,这样亚马逊才知道要更新哪个设备状态,设备的ID在discover的时候上报),携带Alexa的access_token(疑问:这个access_token的权限范围是多少?亚马逊对权限的管控能区分出用户的哪个设备对应哪个Alexa access_token吗?答:有能力做到,因为Alexa云清楚的知道access_token给的哪个skill,如步骤2所述;同时设备ID又是skill来上报的。但是需要实验证明Alexa有没有做这个检查。)

深入理解Amazon Alexa Skill(三)的更多相关文章

  1. 深入理解Amazon Alexa Skill(四)

    本节利用三星Smartthings Classic物联网平台的web service smartapp,实现了一个Alexa智能家居skill的例子,由此来了解Alexa是如何控制其他云的智能家居设备 ...

  2. 深入理解Amazon Alexa Skill(一)

    语音助手(Virtual Personal Assistants, VPA)是物联网智能家居中很火的一个领域,用户可以通过语言作为入口来控制家里各种各样的设备,而亚马逊的Alexa(echo,echo ...

  3. 深入理解Amazon Alexa Skill(二)

    理解skill调用 本节来更详细的讨论alexa是如何确定调用哪个skill的. 参考:https://developer.amazon.com/zh/docs/custom-skills/under ...

  4. Amazon Alexa登录授权(Android)

    访问Alexa的API,必须要携带AccessToken,也就是必须要登录授权,本文主要记录Amazon Alexa在Android平台上的登录授权过程. 一.在亚马逊开发者平台注册应用 进入亚马逊开 ...

  5. 理解JavaScript继承(三)

    理解JavaScript继承(三) 通过把父对象的属性,全部拷贝给子对象,也能实现继承. 7.浅拷贝 function extendCopy(p) { var o = {}; for (var pro ...

  6. 《转》深入理解Activity启动流程(三)–Activity启动的详细流程2

    本文原创作者:Cloud Chou. 出处:本文链接 本系列博客将详细阐述Activity的启动流程,这些博客基于Cm 10.1源码研究. 深入理解Activity启动流程(一)--Activity启 ...

  7. 《转》深入理解Activity启动流程(三)–Activity启动的详细流程1

    本文原创作者:Cloud Chou. 出处:本文链接 本系列博客将详细阐述Activity的启动流程,这些博客基于Cm 10.1源码研究. 深入理解Activity启动流程(一)--Activity启 ...

  8. 深入理解Activity启动流程(三)–Activity启动的详细流程2

    本文原创作者:Cloud Chou. 欢迎转载,请注明出处和本文链接 本系列博客将详细阐述Activity的启动流程,这些博客基于Cm 10.1源码研究. 深入理解Activity启动流程(一)--A ...

  9. 我理解的数据结构(三)—— 队列(Queue)

    我理解的数据结构(三)-- 队列(Queue) 一.队列 队列是一种线性结构 相比数组,队列对应的操作是数组的子集 只能从一端(队尾)添加元素,只能从另一端(队首)取出元素 队列是一种先进先出的数据结 ...

随机推荐

  1. CoreData使用方法二:NSFetchedResultsController实例操作与解说

    学习了NSFetchedResultsController.才深深的体会到coredata的牛逼之处.原来Apple公司弄个新技术.不是平白无故的去弄,会给代码执行到来非常大的优点.coredata不 ...

  2. QWidget标题栏双击事件(QWidget::event里拦截NonClientAreaMouseButtonDblClick)

    widget.h 1 virtual bool event(QEvent *event); widget.cpp bool Widget::event(QEvent *event) { if (eve ...

  3. Qt Roadmap for 2018(对3D有很多改进)

    When it comes to new features, we have many things ongoing related to graphics, so I’ll start with t ...

  4. 【BZOJ 1005】[HNOI2008]明明的烦恼(化简的另一种方法)

    [题目链接]:http://www.lydsy.com/JudgeOnline/problem.php?id=1005 [题意] [题解] 题目和题解在上一篇; 这里 对 [(m^(n-2-tot)) ...

  5. 远程ssh执行命令时提示找不到命令

    最开始的时候碰到这种问题,是在hadoop003上配置了jdk1.8, 在hadoop002上执行ssh hadoop003 java -version提示没有命令,先ssh hadoop003然后执 ...

  6. TensorFlow 实战(一)—— 交叉熵(cross entropy)的定义

    对多分类问题(multi-class),通常使用 cross-entropy 作为 loss function.cross entropy 最早是信息论(information theory)中的概念 ...

  7. Android Studio运行main方法

    这样想做一些测试就很简单了 实现步骤如下: 1.当前项目右键->new->Module->Java Library 2.修改你创建javaLib的build.gradle文件 改为( ...

  8. Android Studio官方文档: 如何在你的设备上运行你的程序

    在实体设备上运行您的应用 设置您的设备,如下所示: 使用一根 USB 电缆将您的设备连接到您的开发机器. 如果您是在 Windows 上开发,可能需要为您的设备安装相应的 USB 驱动程序.如需帮助安 ...

  9. css3中的制作动画小总结

    系列教程 CSS3属性中有关于制作动画的三个属性:Transform,Transition,Animation: Transform 在CSS3中transform主要包括以下几种:旋转rotate. ...

  10. vue: 关于多路由公用模板,导致组件内数组缓存问题

    当多个路由复用同一个模板,此时在这几个路由间切换,模板并不会重新挂载.针对这个情况,我们需要在当前逻辑内对路由做监听,在发生变化时更新对应属性,已满足需求. 但是,在实现的过程中会遇到如下情况: 如图 ...