Oauth认证-新浪微博开发(上)
最近几天一直在学习新浪微博的授权验证,在论坛上下了个例子,也找到了相关的博客文章。。以为很简单能搞懂,但是费了很长时间,还是一头雾水。。后来想想,其实别人提供的只是一些接口、方法,而我对授权的过程并没有认真的学习过,所以对于代码中那些奇怪的方法倍感陌生。。现在把自己的一些心得补充进来。
原文博客: http://www.cnblogs.com/hll2008/archive/2011/01/03/1924952.html
对于界面及数据库使用就不在啰嗦,只诠释下授权验证部分。
新浪微博授权支持Oauth1.0 和Oauth2.0 ,后者对前者在过程中有所改变,详细信息可参考:
Oauth1.0 http://open.weibo.com/wiki/Oauth
Oauth2.0 http://open.weibo.com/wiki/index.php?title=Oauth2&redirect=no
授权机制:
大部分REST API的访问如发表微博,获取私信都需要用户身份。目前用户身份鉴权有OAuth和Basic Auth(仅用于开发者调试接口)两种方式。
OAuth
HTTP普通鉴权(Basic Authentication)方式
curl -u user:password -d "source=10001&status=api test" http://api.t.sina.com.cn/statuses/update.xml
oauth/request_token
- oauth_consumer_key: 创建应用时生成的APP KEY。
- oauth_signature_method: 签名方法,建议使用“HMAC-SHA1”。
- oauth_timestamp:时间戳。生成Base String时的时间戳。
- oauth_nonce:单次值,一个随机字符串,防止重复攻击。该字段只支持ASCII码的字符。
- oauth_version : OAuth协议版本。填写“1.0”。
- oauth_signature:签名值,是由根据上面的5个参数生成的 Base String经HMAC-SHA1算法计算得出。
httpMethod + "&" + url_encode( base_uri ) + "&" + sorted_query_params.each { | k, v | url_encode ( k ) + "=" + url_encode ( v ) }.join("&")
新浪微博要求所有的OAuth请求都使用 HMAC-SHA1 算法生成签名。
返回值
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8Z
获取request token
request token是进行用户认证的第一步。这一步主要有两个目的:
consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98" 这个做什么用 ? oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11 授权后的重定向的URL oauth_consumer_key - GDdmIQH6jhtmLUypg82g 创建应用时生成的APP KEY。oauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk 单次值,一个随机字符串,防止重复攻击oauth_signature_method - HMAC-SHA1 签名方法oauth_timestamp - 1272323042 时间戳oauth_version - OAuth协议版本 我的理解:请求时,使用consumer_secret作为密钥对请求参数进行加密,而传输过程中只传输公钥(consumer_key),所以在接口参数中只有oauth_consumer_key,而没有包含上文提到的consumer_secret。比如,文中提到的oauth_callback等参数作为字符基串,生成oauth_signature:签名值,再作为请求参数传输。
第一步,用上文提到的算法形成BASE STRING。需要注意的是callback在URL中包含请求参数,由于参数只CALLBACK URL的一部分,所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的BASE STRING如下:
POST&https://api.t.sina.com.cn/oauth/request_token&oauth_callback=http://loca
8wUi7m5HFQy76nowoCThusfgB+Q=
OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", oauth_callback="http://localhost:3005
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true
用户认证
- oauth_token 上一步获(即:oauth/request_token接口调用)取到的oauth token
- oauth_callback, 需要进行url encode
- display,定义页面调用类型,目前我们提供了6种调用类型
Android,iPhone调用:display=mobile
wap访问页面自动调用:display=wap 我们会根据信息头来判断是wap1.2还是wap2.0 wap1.2页面调用:display=wap1.2 供wap1.2访问 wap2.0页面调用:display=wap2.0 供wap2.0访问
- userId 新浪通行证账户名
- passwd 密码
使用说明
- 当请求参数 oauth_callback=oob 则表明为桌面应用,会提示用户做桌面应用操作.
- oauth_callback=json, 页面直接返回参数
{"oauth_token":"c248561721393a78260b8d00ece7d703", "oauth_verifier":"234256"}
- oauth_callback=xml, 页面直接返回参数
<oauth_token>c248561721393a78260b8d00ece7d703</oauth_token> <oauth_verifier>234256</oauth_verifier>
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY 这一步,我们需要获取oauth_token ,oauth_verifier。
获取access token(授权过的Oauth_token)
oauth_consumer_key - GDdmIQH6jhtmLUypg82g 创建应用时生成的APP KEY。oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8 单次值,一个随机字符串 oauth_signature_method - HMAC-SHA1 签名方法oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc 经过用户授权的Request Token。 oauth_timestamp - 1272323047 时间戳oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY 可选。在oauth/authorize这一步中,新浪微博给出的认证码。oauth_version - 1.0 Oauth版本号oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA 参数说明:
- oauth_consumer_key: 创建应用时生成的APP KEY。
- oauth_token:经过用户授权的Request Token。
- oauth_signature_method: 签名方法,建议使用“HMAC-SHA1”。
- oauth_timestamp:时间戳。生成Base String时的时间戳。
- oauth_nonce:单次值,一个随机字符串,防止重复攻击。该参数只支持ASCII码的字符串.
- oauth_version : OAuth协议版本。填写“1.0”。
- oauth_verifier: 可选。在oauth/authorize这一步中,新浪微博给出的认证码。
- oauth_signature:签名值,是由根据上面的几个参数生成的 Base String经HMAC-SHA1算法计算得出。
POST&https://api.t.sina.com.cn/oauth/access_token&oauth_consumer_key=GDdmIQH6jhtmLUypg82g&oauth_nonce=9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1272323047&oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY&oauth_version=1.0
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA
PUw/dHA4fnlJYM6RhXk5IU/0fCc=
OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw/dHA4fnlJYM6RhXk5IU/0fCc=", oauth_version="1.0"
oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA& user_id=819797& screen_name=openapi
获取用户信息
请求参数:
必选 | 类型及范围 | 说明 | |
---|---|---|---|
source | true | string | 申请应用时分配的AppKey,调用接口时候代表应用的唯一身份。(采用OAuth授权方式不需要此参数) |
:id | false | int64/string | 用户ID(int64)或者昵称(string)。该参数为一个REST风格参数。调用示例见注意事项 |
user_id | false | int64 | 用户ID,主要是用来区分用户ID跟微博昵称。当微博昵称为数字导致和用户ID产生歧义,特别是当微博昵称和用户ID一样的时候,建议使用该参数 |
screen_name | false | string | 微博昵称,主要是用来区分用户UID跟微博昵称,当二者一样而产生歧义的时候,建议使用该参数 |
:id、user_id、screen_name这三个参数三者至少要提供一个 |
oauth_consumer_key - GDdmIQH6jhtmLUypg82goauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y oauth_signature_method - HMAC-SHA1 oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw oauth_timestamp - 1272325550 oauth_version - 1.0
POST&http://api.t.sina.com.cn/account/verify_credentials&oauth_consumer_key=GDdmIQH6jhtmLUypg82g&oauth_nonce=9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1272325550&oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY&oauth_version=1.0
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA
ICuKVLKetCO4axEppJBqOofFg/A=
OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg/A=", oauth_version="1.0"
{ weibo=null, id=1803876591, name='loopa', screenName='loopa', location='北京 海淀区', description='2fBAcRG0]8OGRvp', profileImageUrl='http://tp4.sinaimg.cn/1803876591/50/0', url='', isProtected=false, followersCount=23, statusCreatedAt=Mon Sep 27 13:50:14 CST 2010, statusId=2847344825, statusText='uhYFQJ[', statusSource='<a href="" rel="nofollow">微博开放平台接口</a>', statusTruncated=false, statusInReplyToStatusId=0, statusInReplyToUserId=0, statusFavorited=false, statusInReplyToScreenName='', profileBackgroundColor='', profileTextColor='', profileLinkColor='', profileSidebarFillColor='', profileSidebarBorderColor='', friendsCount=1, createdAt=Fri Aug 27 00:00:00 CST 2010, favouritesCount=0, utcOffset=-1, timeZone='', profileBackgroundImageUrl='', profileBackgroundTile='', following=false, notificationEnabled=false, statusesCount=8509, geoEnabled=false, verified=false }
Oauth认证-新浪微博开发(上)相关推荐
- android 除了webview 浏览器控件,android开发我的新浪微博客户端-OAuth认证过程中用WebView代替原来的系统自带浏览器...
前面的文章的OAuth认证过程在获取oauth_verifier码是是通过调用android系统带的浏览器进行用户授权认证的, 具体见:android开发我的新浪微博客户端-用户授权页面功能篇(3.2 ...
- 新浪微博客户端 -- OAuth认证
OAuth的基本概念,OAUTH协议为用户资源的授权提供了一个安全的.开放而又简易的标准.与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用 ...
- 新浪微博OAuth认证总结
自从最近Twitter只支持OAuth认证方式以来,各大应用都纷纷转向OAuth认证方式,而新浪微博的开放平台也将在近日停止Base OAuth的认证方式. 为了能够继续使用新浪微博的开放平台,开始研 ...
- 腾讯微博Android客户端开发——OAuth认证介绍
腾讯微博是一个由腾讯推出,提供微型博客服务的类Twitter网站.在腾讯官方 的软件或网站中发布微博我们需要输入QQ号和密码,同样如果我们自己开发客户端给用户使用,我们也需要用户提供QQ号和密码,这就 ...
- 新浪微博Android客户端开发之OAuth认证篇
新浪微博客户端开发之OAuth认证篇 2013年7月29日新浪微博客户端开发 OAuth2.0授权机制我在这里就不浪费口舌了,有很多大牛都发表过相关的文章解释OAuth2.0认证的流程,我就随便找了一 ...
- 新浪微博客户端开发之OAuth认证篇
新浪微博客户端开发之OAuth认证篇 2013年7月29日新浪微博客户端开发 OAuth2.0授权机制我在这里就不浪费口舌了,有很多大牛都发表过相关的文章解释OAuth2.0认证的流程,我就随便找了一 ...
- 新浪微博OAuth认证和存储
先建立一张数据库来保存用户信息,下面是一个基本的 Mysql 的例子: 1 2 3 4 5 6 7 8 9 CREATE TABLE `oauth_users` ( `id` INT(10) UN ...
- iOS:新浪微博OAuth认证
新浪微博OAuth认证 1.资源的授权 •在互联网行业,比如腾讯.新浪,那用户人群是非常巨大的 •有时候要把某些用户资源共享出去,比如第三方想访问用户的QQ数据.第三方想访问用户的新浪微博数据 • ...
- 新浪微博的Oauth认证过程
转自:http://tigerszdf.blog.163.com/blog/static/45955133201072662354812/ 最近弄了一个项目,被这个Oauth认证被绕晕了,好不容易跑通 ...
最新文章
- 从SAP APO到SAP IBP:CIO如何实现最佳过渡?
- SQL Server 2008中获取数据库所有表及其字段名称、类型、长度的SQL
- 完整计算机组成系统,计算机组成原理与完整系统结构.doc
- Python报错:IndentationError: expected an indented block
- GDCM:gdcm::PersonName的测试程序
- 纯CSS3美化单选按钮radio
- osm 搭建离线地图_使用离线OSM离线OpenLayers Web应用程序
- SQL中的条件语句case-when-then-else(就像C中的switch case语句)
- [转]数据中心网络虚拟化 隧道技术
- 2021-08-20 解决layUi 选项卡切换表格大小不匹配问题
- Ouibounce – 在用户离开你网站时显示模态弹窗
- 致敬HarmonyOS不平凡的2020,热情背后还有多少期待
- linux基础命令学习之mv(7)
- 物理数据库设计 - 读书笔记
- 计算机科学与技术 双一流,26所双一流高校、18个省市,计算机科学与技术专业分数线汇总!...
- 最新python爬取喜马拉雅音频_Python爬虫实战案例之爬取喜马拉雅音频数据详解
- 什么品牌蓝牙耳机音质好?2020蓝牙耳机排行榜10强!
- 2022年第四届长安杯电子取证竞赛-exe部分
- Aspect Ratio Fitter 重温总结(多图)
- placement new的用法