]> git.mxchange.org Git - quix0rs-gnu-social.git/commitdiff
OAuth 1.0 working now
authorZach Copley <zach@status.net>
Wed, 13 Jan 2010 05:06:35 +0000 (05:06 +0000)
committerZach Copley <zach@status.net>
Thu, 14 Jan 2010 02:41:09 +0000 (02:41 +0000)
actions/apioauthaccesstoken.php
actions/apioauthauthorize.php
actions/apioauthrequesttoken.php
lib/apiauth.php
lib/apioauth.php [new file with mode: 0644]
lib/apioauthstore.php
lib/router.php

index 67359d765d6871a3c4f10c6c5d46f471716f4c71..085ef6f0b1dba92fab4b2212b8ad2da8e0377e45 100644 (file)
@@ -31,7 +31,7 @@ if (!defined('STATUSNET')) {
     exit(1);
 }
 
-require_once INSTALLDIR . '/lib/apioauthstore.php';
+require_once INSTALLDIR . '/lib/apioauth.php';
 
 /**
  * Exchange an authorized OAuth request token for an access token
@@ -43,19 +43,9 @@ require_once INSTALLDIR . '/lib/apioauthstore.php';
  * @link     http://status.net/
  */
 
-class ApiOauthAccessTokenAction extends Action
+class ApiOauthAccessTokenAction extends ApiOauthAction
 {
 
-    /**
-     * Is read only?
-     *
-     * @return boolean false
-     */
-    function isReadOnly()
-    {
-        return false;
-    }
-
     /**
      * Class handler.
      *
@@ -73,7 +63,7 @@ class ApiOauthAccessTokenAction extends Action
 
         $server->add_signature_method($hmac_method);
 
-       $atok = null;
+        $atok = null;
 
         try {
             $req  = OAuthRequest::from_request();
@@ -81,24 +71,24 @@ class ApiOauthAccessTokenAction extends Action
 
         } catch (OAuthException $e) {
             common_log(LOG_WARN, 'API OAuthException - ' . $e->getMessage());
-           common_debug(var_export($req, true));
-           $this->outputError($e->getMessage());
-           return;
+            common_debug(var_export($req, true));
+            $this->outputError($e->getMessage());
+            return;
         }
 
-       if (empty($atok)) {
-           common_debug('couldn\'t get access token.');
-           print "Token exchange failed. Has the request token been authorized?\n";
-       } else {
-           print $atok;
-       }
+        if (empty($atok)) {
+            common_debug('couldn\'t get access token.');
+            print "Token exchange failed. Has the request token been authorized?\n";
+        } else {
+            print $atok;
+        }
     }
 
     function outputError($msg)
     {
-       header('HTTP/1.1 401 Unauthorized');
-       header('Content-Type: text/html; charset=utf-8');
-       print $msg . "\n";
+        header('HTTP/1.1 401 Unauthorized');
+        header('Content-Type: text/html; charset=utf-8');
+        print $msg . "\n";
     }
 }
 
index 48d5087efc30388a55b1c363ef9c46aceebf090b..cdf9cb7df37c243e12617be4743fd162d5126b18 100644 (file)
@@ -31,7 +31,7 @@ if (!defined('STATUSNET')) {
     exit(1);
 }
 
-require_once INSTALLDIR . '/lib/apioauthstore.php';
+require_once INSTALLDIR . '/lib/apioauth.php';
 
 /**
  * Authorize an OAuth request token
@@ -43,7 +43,7 @@ require_once INSTALLDIR . '/lib/apioauthstore.php';
  * @link     http://status.net/
  */
 
-class ApiOauthAuthorizeAction extends Action
+class ApiOauthAuthorizeAction extends ApiOauthAction
 {
     var $oauth_token;
     var $callback;
@@ -67,7 +67,7 @@ class ApiOauthAuthorizeAction extends Action
     {
         parent::prepare($args);
 
-        common_debug(var_export($_REQUEST, true));
+        common_debug("apioauthauthorize");
 
         $this->nickname    = $this->trimmed('nickname');
         $this->password    = $this->arg('password');
@@ -130,7 +130,7 @@ class ApiOauthAuthorizeAction extends Action
 
         } else {
 
-           // XXX: make better error messages
+            // XXX: make better error messages
 
             if (empty($this->oauth_token)) {
 
@@ -145,7 +145,8 @@ class ApiOauthAuthorizeAction extends Action
                 return;
             }
 
-            common_debug("Requesting auth for app: $app->name.");
+            $name = $this->app->name;
+            common_debug("Requesting auth for app: " . $name);
 
             $this->showForm();
         }
@@ -153,6 +154,8 @@ class ApiOauthAuthorizeAction extends Action
 
     function handlePost()
     {
+        common_debug("handlePost()");
+
         // check session token for CSRF protection.
 
         $token = $this->trimmed('token');
@@ -170,7 +173,7 @@ class ApiOauthAuthorizeAction extends Action
 
         // check creds
 
-       $user = null;
+        $user = null;
 
         if (!common_logged_in()) {
             $user = common_check_user($this->nickname, $this->password);
@@ -179,64 +182,86 @@ class ApiOauthAuthorizeAction extends Action
                 return;
             }
         } else {
-           $user = common_current_user();
-       }
+            $user = common_current_user();
+        }
 
         if ($this->arg('allow')) {
 
-           // mark the req token as authorized
+            // mark the req token as authorized
 
             $this->store->authorize_token($this->oauth_token);
 
-           // Check to see if there was a previous token associated
-           // with this user/app and kill it. If you're doing this you
-           // probably don't want any old tokens anyway.
+            // Check to see if there was a previous token associated
+            // with this user/app and kill it. If the user is doing this she
+            // probably doesn't want any old tokens anyway.
+
+            $appUser = Oauth_application_user::getByKeys($user, $this->app);
+
+            if (!empty($appUser)) {
+                $result = $appUser->delete();
 
-           $appUser = Oauth_application_user::getByKeys($user, $this->app);
+                if (!$result) {
+                    common_log_db_error($appUser, 'DELETE', __FILE__);
+                    throw new ServerException(_('DB error deleting OAuth app user.'));
+                    return;
+                }
+            }
 
-           if (!empty($appUser)) {
-               $result = $appUser->delete();
+            // associated the authorized req token with the user and the app
 
-               if (!$result) {
-                   common_log_db_error($appUser, 'DELETE', __FILE__);
-                   throw new ServerException(_('DB error deleting OAuth app user.'));
-                   return;
-               }
-           }
+            $appUser = new Oauth_application_user();
 
-           // associated the new req token with the user and the app
+            $appUser->profile_id     = $user->id;
+            $appUser->application_id = $this->app->id;
 
-           $appUser = new Oauth_application_user();
+            // Note: do not copy the access type from the application.
+            // The access type should always be 0 when the OAuth app
+            // user record has a request token associated with it.
+            // Access type gets assigned once an access token has been
+            // granted.  The OAuth app user record then gets updated
+            // with the new access token and access type.
 
-           $appUser->profile_id     = $user->id;
-           $appUser->application_id = $this->app->id;
-           $appUser->access_type    = $this->app->access_type;
-           $appUser->token          = $this->oauth_token;
-           $appUser->created        = common_sql_now();
+            $appUser->token          = $this->oauth_token;
+            $appUser->created        = common_sql_now();
 
-           $result = $appUser->insert();
+            $result = $appUser->insert();
 
-           if (!$result) {
-               common_log_db_error($appUser, 'INSERT', __FILE__);
-               throw new ServerException(_('DB error inserting OAuth app user.'));
-               return;
-           }
+            if (!$result) {
+                common_log_db_error($appUser, 'INSERT', __FILE__);
+                throw new ServerException(_('DB error inserting OAuth app user.'));
+                return;
+            }
 
             // if we have a callback redirect and provide the token
 
+            // A callback specified in the app setup overrides whatever
+            // is passed in with the request.
+
+            common_debug("Req token is authorized - doing callback");
+
+            if (!empty($this->app->callback_url)) {
+                $this->callback = $this->app->callback_url;
+            }
+
             if (!empty($this->callback)) {
 
-               // XXX: Need better way to build this redirect url.
+                // XXX: Need better way to build this redirect url.
+
+                $target_url = $this->getCallback($this->callback,
+                                                 array('oauth_token' => $this->oauth_token));
+
+                common_debug("Doing callback to $target_url");
 
-                $target_url = $this->callback . '?oauth_token=' . $this->oauth_token;
                 common_redirect($target_url, 303);
+            } else {
+                common_debug("callback was empty!");
             }
 
             // otherwise inform the user that the rt was authorized
 
             $this->elementStart('p');
 
-            // XXX: Do OAuth 1.0a verifier code?
+            // XXX: Do OAuth 1.0a verifier code
 
             $this->raw(sprintf(_("The request token %s has been authorized. " .
                                  'Please exchange it for an access token.'),
@@ -267,9 +292,9 @@ class ApiOauthAuthorizeAction extends Action
     function showScripts()
     {
         parent::showScripts();
-       if (!common_logged_in()) {
-           $this->autofocus('nickname');
-       }
+        if (!common_logged_in()) {
+            $this->autofocus('nickname');
+        }
     }
 
     /**
@@ -313,9 +338,9 @@ class ApiOauthAuthorizeAction extends Action
     function showContent()
     {
         $this->elementStart('form', array('method' => 'post',
-                                           'id' => 'form_login',
-                                           'class' => 'form_settings',
-                                           'action' => common_local_url('apioauthauthorize')));
+                                          'id' => 'form_login',
+                                          'class' => 'form_settings',
+                                          'action' => common_local_url('apioauthauthorize')));
 
         $this->hidden('token', common_session_token());
         $this->hidden('oauth_token', $this->oauth_token);
index 53aca6b96bad20a398849b6ed25f8da84097319a..467640b9aacf5d32864179da2d4ceaea02d50868 100644 (file)
@@ -31,7 +31,7 @@ if (!defined('STATUSNET')) {
     exit(1);
 }
 
-require_once INSTALLDIR . '/lib/apioauthstore.php';
+require_once INSTALLDIR . '/lib/apioauth.php';
 
 /**
  * Get an OAuth request token
@@ -43,16 +43,28 @@ require_once INSTALLDIR . '/lib/apioauthstore.php';
  * @link     http://status.net/
  */
 
-class ApiOauthRequestTokenAction extends Action
+class ApiOauthRequestTokenAction extends ApiOauthAction
 {
     /**
-     * Is read only?
+     * Take arguments for running
+     *
+     * @param array $args $_REQUEST args
+     *
+     * @return boolean success flag
      *
-     * @return boolean false
      */
-    function isReadOnly()
+
+    function prepare($args)
     {
-        return false;
+        parent::prepare($args);
+
+        $this->callback  = $this->arg('oauth_callback');
+
+        if (!empty($this->callback)) {
+            common_debug("callback: $this->callback");
+        }
+
+        return true;
     }
 
     /**
index 3229ab19fda77008691e703e8fe4e8ba5f425694..431f3ac4fdbe9bcc32545ed653ef7660aa9a04f7 100644 (file)
@@ -39,7 +39,7 @@ if (!defined('STATUSNET')) {
 }
 
 require_once INSTALLDIR . '/lib/api.php';
-require_once INSTALLDIR . '/lib/apioauthstore.php';
+require_once INSTALLDIR . '/lib/apioauth.php';
 
 /**
  * Actions extending this class will require auth
@@ -71,14 +71,14 @@ class ApiAuthAction extends ApiAction
 
         if ($this->requiresAuth()) {
 
-           $this->consumer_key = $this->arg('oauth_consumer_key');
-           $this->access_token = $this->arg('oauth_token');
+            $this->consumer_key = $this->arg('oauth_consumer_key');
+            $this->access_token = $this->arg('oauth_token');
 
-           if (!empty($this->access_token)) {
-               $this->checkOAuthRequest();
-           } else {
-               $this->checkBasicAuthUser();
-           }
+            if (!empty($this->access_token)) {
+                $this->checkOAuthRequest();
+            } else {
+                $this->checkBasicAuthUser();
+            }
         }
 
         return true;
@@ -86,101 +86,83 @@ class ApiAuthAction extends ApiAction
 
     function checkOAuthRequest()
     {
-       common_debug("We have an OAuth request.");
+        common_debug("We have an OAuth request.");
 
-       $datastore   = new ApiStatusNetOAuthDataStore();
-       $server      = new OAuthServer($datastore);
-       $hmac_method = new OAuthSignatureMethod_HMAC_SHA1();
+        $datastore   = new ApiStatusNetOAuthDataStore();
+        $server      = new OAuthServer($datastore);
+        $hmac_method = new OAuthSignatureMethod_HMAC_SHA1();
 
-       $server->add_signature_method($hmac_method);
+        $server->add_signature_method($hmac_method);
 
-       $this->cleanRequest();
+        ApiOauthAction::cleanRequest();
 
-       try {
+        try {
 
-           $req  = OAuthRequest::from_request();
-           $server->verify_request($req);
+            $req  = OAuthRequest::from_request();
+            $server->verify_request($req);
 
-           common_debug("Good OAuth request!");
+            common_debug("Good OAuth request!");
 
-           $app = Oauth_application::getByConsumerKey($this->consumer_key);
+            $app = Oauth_application::getByConsumerKey($this->consumer_key);
 
-           if (empty($app)) {
+            if (empty($app)) {
 
-               // this should really not happen
-               common_log(LOG_WARN,
-                          "Couldn't find the OAuth app for consumer key: $this->consumer_key");
+                // this should really not happen
+                common_log(LOG_WARN,
+                           "Couldn't find the OAuth app for consumer key: $this->consumer_key");
 
-               throw new OAuthException('No application for that consumer key.');
-           }
+                throw new OAuthException('No application for that consumer key.');
+            }
 
-           $appUser = Oauth_application_user::staticGet('token',
-                                                        $this->access_token);
+            $appUser = Oauth_application_user::staticGet('token',
+                                                         $this->access_token);
 
-           // XXX: check that app->id and appUser->application_id and consumer all
-           // match?
+            // XXX: check that app->id and appUser->application_id and consumer all
+            // match?
 
-           if (!empty($appUser)) {
+            if (!empty($appUser)) {
 
-               // read or read-write
-               $this->oauth_access_type = $appUser->access_type;
+                // read or read-write
+                $this->oauth_access_type = $appUser->access_type;
 
-               // If access_type == 0 we have either a request token
-               // or a bad / revoked access token
+                // If access_type == 0 we have either a request token
+                // or a bad / revoked access token
 
-               if ($this->oauth_access_type != 0) {
+                if ($this->oauth_access_type != 0) {
 
-                   $this->auth_user = User::staticGet('id', $appUser->profile_id);
+                    $this->auth_user = User::staticGet('id', $appUser->profile_id);
 
-                   $msg = "API OAuth authentication for user '%s' (id: %d) on behalf of " .
-                     "application '%s' (id: %d).";
+                    $msg = "API OAuth authentication for user '%s' (id: %d) on behalf of " .
+                      "application '%s' (id: %d).";
 
-                   common_log(LOG_INFO, sprintf($msg,
-                                                $this->auth_user->nickname,
-                                                $this->auth_user->id,
-                                                $app->name,
-                                                $app->id));
-                   return true;
-               } else {
-                   throw new OAuthException('Bad access token.');
-               }
-           } else {
+                    common_log(LOG_INFO, sprintf($msg,
+                                                 $this->auth_user->nickname,
+                                                 $this->auth_user->id,
+                                                 $app->name,
+                                                 $app->id));
+                    return true;
+                } else {
+                    throw new OAuthException('Bad access token.');
+                }
+            } else {
 
-               // also should not happen
-               throw new OAuthException('No user for that token.');
-           }
+                // also should not happen
+                throw new OAuthException('No user for that token.');
+        }
 
-       } catch (OAuthException $e) {
-           common_log(LOG_WARN, 'API OAuthException - ' . $e->getMessage());
-           common_debug(var_export($req, true));
-           $this->showOAuthError($e->getMessage());
-           exit();
-       }
+        } catch (OAuthException $e) {
+            common_log(LOG_WARN, 'API OAuthException - ' . $e->getMessage());
+            common_debug(var_export($req, true));
+            $this->showOAuthError($e->getMessage());
+            exit();
+        }
     }
 
     function showOAuthError($msg)
     {
-       header('HTTP/1.1 401 Unauthorized');
-       header('Content-Type: text/html; charset=utf-8');
-       print $msg . "\n";
-    }
-
-    function cleanRequest()
-    {
-       // kill evil effects of magical slashing
-
-       if(get_magic_quotes_gpc() == 1) {
-           $_POST = array_map('stripslashes', $_POST);
-           $_GET = array_map('stripslashes', $_GET);
-       }
-
-       // strip out the p param added in index.php
-
-       // XXX: should we strip anything else?  Or alternatively
-       // only allow a known list of params?
-
-       unset($_GET['p']);
-       unset($_POST['p']);
+        header('HTTP/1.1 401 Unauthorized');
+        header('Content-Type: text/html; charset=utf-8');
+        print $msg . "\n";
     }
 
     /**
diff --git a/lib/apioauth.php b/lib/apioauth.php
new file mode 100644 (file)
index 0000000..4cb8a67
--- /dev/null
@@ -0,0 +1,122 @@
+<?php
+/**
+ * StatusNet, the distributed open-source microblogging tool
+ *
+ * Base action for OAuth API endpoints
+ *
+ * PHP version 5
+ *
+ * LICENCE: This program is free software: you can redistribute it and/or modify
+ * it under the terms of the GNU Affero General Public License as published by
+ * the Free Software Foundation, either version 3 of the License, or
+ * (at your option) any later version.
+ *
+ * This program is distributed in the hope that it will be useful,
+ * but WITHOUT ANY WARRANTY; without even the implied warranty of
+ * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+ * GNU Affero General Public License for more details.
+ *
+ * You should have received a copy of the GNU Affero General Public License
+ * along with this program.  If not, see <http://www.gnu.org/licenses/>.
+ *
+ * @category  API
+ * @package   StatusNet
+ * @author    Zach Copley <zach@status.net>
+ * @copyright 2010 StatusNet, Inc.
+ * @license   http://www.fsf.org/licensing/licenses/agpl-3.0.html GNU Affero General Public License version 3.0
+ * @link      http://status.net/
+ */
+
+if (!defined('STATUSNET')) {
+    exit(1);
+}
+
+require_once INSTALLDIR . '/lib/apioauthstore.php';
+
+/**
+ * Base action for API OAuth enpoints.  Clean up the
+ * the request, and possibly some other common things
+ * here.
+ *
+ * @category API
+ * @package  StatusNet
+ * @author   Zach Copley <zach@status.net>
+ * @license  http://www.fsf.org/licensing/licenses/agpl-3.0.html GNU Affero General Public License version 3.0
+ * @link     http://status.net/
+ */
+
+class ApiOauthAction extends Action
+{
+    /**
+     * Is this a read-only action?
+     *
+     * @return boolean false
+     */
+
+    function isReadOnly($args)
+    {
+        return false;
+    }
+
+    function prepare($args)
+    {
+        parent::prepare($args);
+        return true;
+    }
+
+    /**
+     * Handle input, produce output
+     *
+     * Switches on request method; either shows the form or handles its input.
+     *
+     * @param array $args $_REQUEST data
+     *
+     * @return void
+     */
+
+    function handle($args)
+    {
+        parent::handle($args);
+        self::cleanRequest();
+    }
+
+    static function cleanRequest()
+    {
+        // kill evil effects of magical slashing
+
+        if (get_magic_quotes_gpc() == 1) {
+            $_POST = array_map('stripslashes', $_POST);
+            $_GET = array_map('stripslashes', $_GET);
+        }
+
+        // strip out the p param added in index.php
+
+        // XXX: should we strip anything else?  Or alternatively
+        // only allow a known list of params?
+
+        unset($_GET['p']);
+        unset($_POST['p']);
+    }
+
+    function getCallback($url, $params)
+    {
+        foreach ($params as $k => $v) {
+            $url = $this->appendQueryVar($url,
+                                         OAuthUtil::urlencode_rfc3986($k),
+                                         OAuthUtil::urlencode_rfc3986($v));
+        }
+
+        return $url;
+    }
+
+    function appendQueryVar($url, $k, $v) {
+        $url = preg_replace('/(.*)(\?|&)' . $k . '=[^&]+?(&)(.*)/i', '$1$2$4', $url . '&');
+        $url = substr($url, 0, -1);
+        if (strpos($url, '?') === false) {
+            return ($url . '?' . $k . '=' . $v);
+        } else {
+            return ($url . '&' . $k . '=' . $v);
+        }
+    }
+
+}
index 290ce89730ae59f0b25e0811d61a61b09b8857b1..c39ddbb0f377d10864e0f1a119e0d433c3da7aa6 100644 (file)
@@ -40,44 +40,44 @@ class ApiStatusNetOAuthDataStore extends StatusNetOAuthDataStore
     {
         common_debug('new_access_token("'.$token->key.'","'.$consumer->key.'")', __FILE__);
 
-       $rt = new Token();
+        $rt = new Token();
         $rt->consumer_key = $consumer->key;
         $rt->tok = $token->key;
         $rt->type = 0; // request
 
         $app = Oauth_application::getByConsumerKey($consumer->key);
 
-       if (empty($app)) {
-           common_debug("empty app!");
-       }
+        if (empty($app)) {
+            common_debug("empty app!");
+        }
 
-       if ($rt->find(true) && $rt->state == 1) { // authorized
+        if ($rt->find(true) && $rt->state == 1) { // authorized
             common_debug('request token found.', __FILE__);
 
-           // find the associated user of the app
+            // find the associated user of the app
 
-           $appUser = new Oauth_application_user();
-           $appUser->application_id = $app->id;
-           $appUser->token = $rt->tok;
-           $result = $appUser->find(true);
+            $appUser = new Oauth_application_user();
+            $appUser->application_id = $app->id;
+            $appUser->token = $rt->tok;
+            $result = $appUser->find(true);
 
-           if (!empty($result)) {
-               common_debug("Oath app user found.");
-           } else {
-               common_debug("Oauth app user not found.");
-               return null;
-           }
+            if (!empty($result)) {
+                common_debug("Oath app user found.");
+            } else {
+                common_debug("Oauth app user not found.");
+                return null;
+            }
 
-           // go ahead and make the access token
+            // go ahead and make the access token
 
-           $at = new Token();
+            $at = new Token();
             $at->consumer_key = $consumer->key;
             $at->tok = common_good_rand(16);
             $at->secret = common_good_rand(16);
             $at->type = 1; // access
             $at->created = DB_DataObject_Cast::dateTime();
 
-           if (!$at->insert()) {
+            if (!$at->insert()) {
                 $e = $at->_lastError;
                 common_debug('access token "'.$at->tok.'" not inserted: "'.$e->message.'"', __FILE__);
                 return null;
@@ -91,21 +91,30 @@ class ApiStatusNetOAuthDataStore extends StatusNetOAuthDataStore
                 }
                 common_debug('request token "'.$rt->tok.'" updated', __FILE__);
 
-               // update the token from req to access for the user
+                // update the token from req to access for the user
+
+                $orig = clone($appUser);
+                $appUser->token = $at->tok;
 
-               $orig = clone($appUser);
-               $appUser->token = $at->tok;
-               $result = $appUser->update($orig);
+                // It's at this point that we change the access type
+                // to whatever the application's access is.  Request
+                // tokens should always have an access type of 0, and
+                // therefore be unuseable for making requests for
+                // protected resources.
 
-               if (empty($result)) {
-                   common_debug('couldn\'t update OAuth app user.');
-                   return null;
-               }
+                $appUser->access_type = $app->access_type;
+
+                $result = $appUser->update($orig);
+
+                if (empty($result)) {
+                    common_debug('couldn\'t update OAuth app user.');
+                    return null;
+                }
 
-               // Okay, good
+                // Okay, good
 
-               return new OAuthToken($at->tok, $at->secret);
-           }
+                return new OAuthToken($at->tok, $at->secret);
+            }
 
         } else {
             return null;
index 420f5a0a10337a59a4001f1f139abde8331c212a..d6e448c2f9fbdf5b4a6151b6809aa24686968d40 100644 (file)
@@ -50,8 +50,7 @@ class Router
     var $m = null;
     static $inst = null;
     static $bare = array('requesttoken', 'accesstoken', 'userauthorization',
-                         'postnotice', 'updateprofile', 'finishremotesubscribe',
-                        'apioauthrequesttoken', 'apioauthaccesstoken');
+                         'postnotice', 'updateprofile', 'finishremotesubscribe');
 
     static function get()
     {
@@ -659,7 +658,13 @@ class Router
                       'id' => '[0-9]+')
             );
 
-            $m->connect('oauth/authorize',
+            $m->connect('api/oauth/request_token',
+                        array('action' => 'apioauthrequesttoken'));
+
+            $m->connect('api/oauth/access_token',
+                        array('action' => 'apioauthaccesstoken'));
+
+            $m->connect('api/oauth/authorize',
                         array('action' => 'apioauthauthorize'));
 
             foreach (array('subscriptions', 'subscribers') as $a) {