Oauth认证-新浪微博开发(上)

Oauth认证-新浪微博开发(上)
2012-03-27 17:42:16
最近几天一直在学习新浪微博的授权验证,在论坛上下了个例子,也找到了相关的博客文章。。以为很简单能搞懂,但是费了很长时间,还是一头雾水。。后来想想,其实别人提供的只是一些接口、方法,而我对授权的过程并没有认真的学习过,所以对于代码中那些奇怪的方法倍感陌生。。现在把自己的一些心得补充进来。
原文博客: http://www.cnblogs.com/hll2008/archive/2011/01/03/1924952.html
对于界面及数据库使用就不在啰嗦,只诠释下授权验证部分。 
新浪微博授权支持Oauth1.0 和Oauth2.0 ,后者对前者在过程中有所改变,详细信息可参考:
Oauth1.0  http://open.weibo.com/wiki/Oauth
Oauth2.0  http://open.weibo.com/wiki/index.php?title=Oauth2&redirect=no

授权机制:
大部分REST API的访问如发表微博,获取私信都需要用户身份。目前用户身份鉴权有OAuth和Basic Auth(仅用于开发者调试接口)两种方式。

OAuth

OAuth是一种国际通用的授权方式, OAuth的官方技术说明可参看  http://oauth.net/2/ (英文)。
新浪微博开放平台已推出OAuth2.0,同时提供对Web,桌面和移动应用程序的支持,并较1.0相比整个授权验证流程更简单更安全。也是未来最主要的用户身份验证和授权方式。

HTTP普通鉴权(Basic Authentication)方式

Basic Authentication是一种通过HTTP头传递用户身份的授权方式。在非HTTPS方式下使用存在密码被窃听风险。采用普通鉴权(Basic Authentication)时app_key(consumer key)通过请求参数直接传递,参数名为 source=consumer key,如
curl -u user:password -d "source=10001&status=api test" http://api.t.sina.com.cn/statuses/update.xml 
Basic Auth编程也可以参看这篇文章  http://www.cnblogs.com/QLeelulu/archive/2009/11/22/1607898.html
当前Basic Authentication仅用于开发者调试API接口。
新浪开发平台提供一套SDK(下载地址 http://open.weibo.com/wiki/SDK),你可以调用其方法实现新浪微博的授权。
不过这种方式不具有通用性,原博客中采用Oauth1.0 方式,同时使用Signpost(开源项目)实现Oauth签名。
SignPost
Signpost 是一个简单而且直观的使用 OAuth 1.0 规范对 HTTP 消息进行签名的 Java 解决方案。
参考上面内容,我们详细的学习下如何使用signpost进行Oauth认证的。
了解授权过程
以新浪微博为例,为了使用新浪微博开放平台提供的API(应用程序接口),你 需要先注册一个应用,获得一个专属的 App Key和App Secret。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似,你可以使用你所熟悉的编程语言将key和secret结合,为你发出的每个请求添加签名,以此来向新浪微博开放平台表明自己身份的合法性。
OAuth请求循环可以分为如下四步:
oauth_flowchart.jpg
OAuth提供两种认证方式:query-string和http headers。我们推荐使用http header进行认证。
请求签名

oauth/request_token

通过访问该接口获取未授权的  Request Token访问以get方式请求,并包含以下参数:
  • oauth_consumer_key: 创建应用时生成的APP KEY。
  • oauth_signature_method: 签名方法,建议使用“HMAC-SHA1”。
  • oauth_timestamp:时间戳。生成Base String时的时间戳。
  • oauth_nonce:单次值,一个随机字符串,防止重复攻击。该字段只支持ASCII码的字符。
  • oauth_version : OAuth协议版本。填写“1.0”。
  • oauth_signature:签名值,是由根据上面的5个参数生成的 Base String经HMAC-SHA1算法计算得出。
所有的OAuth请求 使用同样的算法来生成(signature base string)签名字符基串和签名。base string是把http方法名,请求URL以及请求参数用&字符连起来后做URL Encode编码。
签名字符基串:把http方法名,请求URL以及请求参数用&字符连起来后做URL Encode编码,无论生成何种OAuth1.0请求,生成BASE STRING的规则始终不变。
具体来讲,base string由http方法名,之后是&,接着是过url编码(url-encoded)之后的url和访问路径及&。接下来,把所有的请求参数包括POST方法体中的参数,经过排序(按参数名进行文本排序,如果参数名有重复则再安参数值进行重复项目排序),使用=替代=号,并且使用&作为每个参数之间的分隔符,拼接成一个字符串。这个算法可以简单表示为:
httpMethod + "&" + url_encode( base_uri ) + "&" + sorted_query_params.each { | k, v | url_encode ( k ) + "=" + url_encode ( v ) }.join("&")

签名:由签名字符基串按一定算法计算出来。(如HMAC-SHA1)
新浪微博要求所有的OAuth请求都使用 HMAC-SHA1算法生成签名。

返回值

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8Z

获取request token

request token是进行用户认证的第一步。这一步主要有两个目的:
第一,告诉新浪微博你将要做什么
第二,告诉新浪微博你在callback里要做什么
下面举个例子,以下是请求用的参数: (注意,这里是请求用到的参数,并不一定是【请求参数】)
consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98" 这个做什么用 ?
oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11 授权后的重定向的URL
oauth_consumer_key - GDdmIQH6jhtmLUypg82g 创建应用时生成的APP KEY。
oauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk 单次值,一个随机字符串,防止重复攻击
oauth_signature_method - HMAC-SHA1 签名方法
oauth_timestamp - 1272323042 时间戳
oauth_version - OAuth协议版本

我的理解:请求时,使用consumer_secret作为密钥对请求参数进行加密,而传输过程中只传输公钥(consumer_key),所以在接口参数中只有oauth_consumer_key,而没有包含上文提到的consumer_secret。
比如,文中提到的oauth_callback等参数作为字符基串,生成oauth_signature:签名值,再作为请求参数传输。

第一步,用上文提到的算法形成BASE STRING。需要注意的是callback在URL中包含请求参数,由于参数只CALLBACK URL的一部分,所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的BASE STRING如下:
POST&https://api.t.sina.com.cn/oauth/request_token&oauth_callback=http://loca
由于我们还未获取到oauth_token和oauth_token_secret,所以我们的BASE STRING里没有包含oauth_token和oauth_token_secret。
接下来使用signing key(App Secret后加一个&符)从base string生成oauth_signature: ?
8wUi7m5HFQy76nowoCThusfgB+Q=
接下来就可以向 http://api.t.sina.com.cn/oauth/request_token 发送请求。 生成的http header如下:
OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", 
oauth_callback="http://localhost:3005
当服务器端接到请求之后,会返回包含oauth_token,oauth_token_secret等内容,另外oauth_callback_confirmed字段如果为true就表示callback生效。服务器端的响应如下:
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true  
这时需要将oauth_token和oauth_token_secret记下,我们需要用这个参数来获取access token。

用户认证

这一步主要是发送你获取的oauth_token,并且获得用户的授权。一般来说,WEB应用会简单的重定向到相应的页面,桌面应用程序会给出URL并要求用户自行验证.
新浪微博开放平台的验证URL是 http://api.t.sina.com.cn/oauth/authorize 。要求必须以oauth作为参数,一般来说请求格式如下:
如使用XML/JSON返回方式(参看后文),需传递以下附加参数:
  • oauth_token 上一步获(即:oauth/request_token接口调用)取到的oauth token
  • oauth_callback, 需要进行url encode
  • display,定义页面调用类型,目前我们提供了6种调用类型
    普通web调用:display=page 这个也是默认调用类型
    Android,iPhone调用:display=mobile
        wap访问页面自动调用:display=wap 我们会根据信息头来判断是wap1.2还是wap2.0
wap1.2页面调用:display=wap1.2 供wap1.2访问
wap2.0页面调用:display=wap2.0 供wap2.0访问
    popup弹窗调用:display=popup
json 或 xml(通常移动终端使用)
  • userId 新浪通行证账户名
  • passwd 密码

使用说明

  • 当请求参数 oauth_callback=oob 则表明为桌面应用,会提示用户做桌面应用操作.
部分移动终端客户端可能不方便访问Web/WAP页面,可以使用以下方法
  • oauth_callback=json, 页面直接返回参数
{"oauth_token":"c248561721393a78260b8d00ece7d703", "oauth_verifier":"234256"}
  • oauth_callback=xml, 页面直接返回参数
<oauth_token>c248561721393a78260b8d00ece7d703</oauth_token> <oauth_verifier>234256</oauth_verifier>
如果用户没有登录新浪微博,则会要求用户登录。否则将会出现一个页面,用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后,web应用页面将会重定向至你指定的oauth_callback,如果是桌面应用,将会显示PIN码,用户需要将PIN码输入你的应用中来完成授权过程。
如果使用了callback,那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下:
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY

这一步,我们需要获取oauth_token ,oauth_verifier。

获取access token(授权过的Oauth_token)

新浪微博开放平台access token请求地址为: http://api.t.sina.com.cn/oauth/access_token
以下是请求参数列表:
 oauth_consumer_key - GDdmIQH6jhtmLUypg82g 创建应用时生成的APP KEY。
oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8 单次值,一个随机字符串 oauth_signature_method - HMAC-SHA1 签名方法
oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc 经过用户授权的Request Token。
oauth_timestamp - 1272323047 时间戳
oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY 可选。在oauth/authorize这一步中,新浪微博给出的认证码。
oauth_version - 1.0 Oauth版本号
oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

参数说明:
  • oauth_consumer_key: 创建应用时生成的APP KEY。
  • oauth_token:经过用户授权的Request Token。
  • oauth_signature_method: 签名方法,建议使用“HMAC-SHA1”。
  • oauth_timestamp:时间戳。生成Base String时的时间戳。
  • oauth_nonce:单次值,一个随机字符串,防止重复攻击。该参数只支持ASCII码的字符串.
  • oauth_version : OAuth协议版本。填写“1.0”。
  • oauth_verifier: 可选。在oauth/authorize这一步中,新浪微博给出的认证码。
  • oauth_signature:签名值,是由根据上面的几个参数生成的 Base String经HMAC-SHA1算法计算得出。

第一步,准备base string(使用上文提到的方法)
POST&https://api.t.sina.com.cn/oauth/access_token&oauth_consumer_key=GDdmIQH6jhtmLUypg82g&oauth_nonce=9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1272323047&oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY&oauth_version=1.0
接着将consumer_secret和oauth_token_secret连接起来,中间用&分割(这是准备密钥的方法,下面还会用到):
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA
生成的OAuth签名如下:
PUw/dHA4fnlJYM6RhXk5IU/0fCc=
然后向给定的url发送请求, 请求头部一定要包含request token,request头部如下:
OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", 
oauth_signature_method="HMAC-SHA1",
oauth_timestamp="1272323047",
oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw/dHA4fnlJYM6RhXk5IU/0fCc=",
oauth_version="1.0"
新浪微博开放平台会返回应用需要的信息,包括 用户名,oauth_token/oaut_token_secret(当然这里就是access token了)。response内容如下:
oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&
user_id=819797&
screen_name=openapi
现在就可以使用access token来发布信息了。

获取用户信息

按用户ID或昵称返回用户资料以及用户的最新发布的一条微博消息。
请求参数:
必选 类型及范围 说明
source true string 申请应用时分配的AppKey,调用接口时候代表应用的唯一身份。(采用OAuth授权方式不需要此参数)
:id false int64/string 用户ID(int64)或者昵称(string)。该参数为一个REST风格参数。调用示例见注意事项
user_id false int64 用户ID,主要是用来区分用户ID跟微博昵称。当微博昵称为数字导致和用户ID产生歧义,特别是当微博昵称和用户ID一样的时候,建议使用该参数
screen_name false string 微博昵称,主要是用来区分用户UID跟微博昵称,当二者一样而产生歧义的时候,建议使用该参数
:id、user_id、screen_name这三个参数三者至少要提供一个

接下来,就可以进行用户验证(如果验证成功,将会返回用户的详细信息)了。以下是进行用户验证的相关参数:
oauth_consumer_key - GDdmIQH6jhtmLUypg82g
oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y
oauth_signature_method - HMAC-SHA1
oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw
oauth_timestamp - 1272325550
oauth_version - 1.0
使用BASE STRING生成算法:
POST&http://api.t.sina.com.cn/account/verify_credentials&oauth_consumer_key=GDdmIQH6jhtmLUypg82g&oauth_nonce=9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1272325550&oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY&oauth_version=1.0
然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。
key如下:
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA
生成的签名如下:
ICuKVLKetCO4axEppJBqOofFg/A=
接下来就可以通过http发送请求,生成的http header如下:
OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", 
oauth_signature_method="HMAC-SHA1",
oauth_timestamp="1272325550",
oauth_consumer_key="GDdmIQH6jhtmLUypg82g",
oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg/A=",
oauth_version="1.0"
响应如下:
{ weibo=null, 
id=1803876591,
name='loopa',
screenName='loopa',
location='北京 海淀区',
description='2fBAcRG0]8OGRvp',
profileImageUrl='http://tp4.sinaimg.cn/1803876591/50/0',
url='',
isProtected=false,
followersCount=23,
statusCreatedAt=Mon Sep 27 13:50:14 CST 2010,
statusId=2847344825, statusText='uhYFQJ[',
statusSource='<a href="" rel="nofollow">微博开放平台接口</a>',
statusTruncated=false,
statusInReplyToStatusId=0,
statusInReplyToUserId=0,
statusFavorited=false,
statusInReplyToScreenName='',
profileBackgroundColor='',
profileTextColor='',
profileLinkColor='',
profileSidebarFillColor='',
profileSidebarBorderColor='',
friendsCount=1,
createdAt=Fri Aug 27 00:00:00 CST 2010,
favouritesCount=0,
utcOffset=-1,
timeZone='',
profileBackgroundImageUrl='',
profileBackgroundTile='',
following=false,
notificationEnabled=false,
statusesCount=8509,
geoEnabled=false,
verified=false }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值