新浪微博SSO授权和OAuth授权浅析

转自 http://www.cnblogs.com/simonyan/archive/2013/03/18/2966603.html

一，OAuth2.0授权协议：

简述：一种安全的登陆协议，用户提交的账户密码不提交到本APP，而是提交到授权服务器，待服务器确认后，返回本APP一个访问令牌，本APP即可用该访问令牌访问资源服务器的资源。由于用户的账号密码并不与本APP直接交互，而是与官方服务器交互，因而它是安全的。

图示：

流程：

　　1，获取未授权的Request Token。

　　　　url:request token url。

　　　　param：appKey/appSecret，签名方法/签名（如HMAC-SHA1），timeStamp（时间戳：距1970/0/0/0/0/0的秒数），nonce（随机生成的string，防止重复请求）

　　　　response：Oauth_Token/Oauth_Secret

　　2，获取用户授权的Request Token。

　　　　url:user authorizition url。

　　　　param：Oauth_Token(上个步骤返回的令牌），callback_url（授权成功后返回的地址）

　　　　response：Oauth_Token（被用户授权或否决的令牌）

　　3，用已授权的Request Token换取AccessToken。

　　　　url：access token url。

　　　　param：appKey，Oauth_Token（上个步骤返回的令牌），签名，TimeStamp，nonce

　　　　response：Access_Token/Secret

二，新浪微博的implementation（以ios sdk为例）。

　　1，先封装下列参数：

　　　　　　NSDictionary *params = [NSMutableDictionarydictionaryWithObjectsAndKeys:

                                    self.appKey, @"client_id",

                                    @"code", @"response_type",

                                    self.appRedirectURI, @"redirect_uri",

                                    @"mobile", @"display", nil];

　　　　　　appKey和AppSecret在申请第三方APP的时候即可得到。appRedirectURI只对网页应用有效，所以这里可以随便填一个或者使用默认的。

　　　　　　response_type为code表面其希望返回的是一个授权码（相当于上述的未授权的Request Token）。

　　　　　　display应该是指该请求是移动app的请求。

　　　　然后启动一个WebView，请求url：https://open.weibo.cn/2/oauth2/authorize，带上述参数，方法为get。

　　　　形成的url如：https://open.weibo.cn/2/oauth2/authorize？client_id=1213792051&response_type=code&

　　　　　　　　　　 redirect_uri=https%3A%2F%2Fapi.weibo.com%2Foauth2%2Fdefault.html&display=mobile

　　　　接着就进入了要求输入账号密码的页面

　　　　输入账号密码后,以post方式往https://open.weibo.cn/2/oauth2/authorize发送请求

　　　　出现授权或请求的按钮，至此完成第一部分。

　　　　疑问：协议中的未授权的request token在这里是哪个实体？还是新浪把它弱化掉了，也可能是缓存在webview中。

　　2，点击授权按钮之后，就可以得到Authorization Code了，该授权码相当于以授权的Request Token。

　　3，封装参数

　　　　　　NSDictionary *params = [NSDictionarydictionaryWithObjectsAndKeys:

                            self.appKey, @"client_id",

                            self.appSecret, @"client_secret",

                            @"authorization_code", @"grant_type",

                            self.appRedirectURI, @"redirect_uri",

                            code, @"code", nil];
　　　　　请求url：https://open.weibo.cn/2/oauth2/access_token，方法post，加上述参数，通过NSURLConnection发送请求

　　　　　返回的data就包含access token，当然会判断下该token是否还合法，有效，过期，成功的话会save住下面4个字段。

　　　　　　NSString *access_token = [authInfo objectForKey:@"access_token"];

   　　　　 NSString *uid = [authInfo objectForKey:@"uid"];

    　　　　NSString *remind_in = [authInfo objectForKey:@"remind_in"];

    　　　　NSString *refresh_token = [authInfo objectForKey:@"refresh_token"];

　　　4，以后在请求资源时，就会加上access_token了。

三，SSO技术。

　　简述：SSO全场Single Sign On,用户只需登陆一次即可访问相互信任的子系统。用户访问系统1时，登陆成功后会返回一个ticket,当用户访问系统2时，会把ticket带上，待验证合法后即可访问系统2。听起来跟cookie有点像，没错，Web-SSO便有基于cookie的实现方案。很多手机APP在点击新浪授权时，会跳到新浪客户端的登陆页面，这里就用到SSO技术啦。

　　在本APP授权新浪微博时，会先检测手机是否安装了新浪微博客户端。

　　[[UIApplicationsharedApplication] openURL：xxx]可以打开另一个APP。这里sinaweibosso://login为客户端的url并传递三个参数，AppKey，RedirectURI，ssoCallbackScheme。

　　ssoCallbackScheme是返回的App Url地址，即自己定义的sinaweibosso.appKey。

　　登陆成功后，客户端会直接把AccessToken返回给本App。至于在客户端那边发生了哪些交互，暂时不得而知。　　

转载于:https://www.cnblogs.com/qyf404/articles/4359780.html