OAuth简介及sina微博开放平台

 以前就在新浪微博中建立了一个应用，得到了 App key 和 Secret key 以便去调用新浪微博开放平台 API学习一下究竟是怎样一回事。前几天连续4天没课，算是比较耐心地去尝试弄明白怎样使用 API 。 

 

虽然新浪微博开放平台中提供各类语言版本的开发 SDK 下载，也各自附有一些基本接口调用的 Demo 和接口说明文档。可是这几天的耐心尝试以后，感受新浪微博开放平台上的入门指导和下载到的 Java 开发包 weibo4j 包里面的 Demo 使用注释有些不一致。再加上自身领悟能力有限，致使遇到好些摸不着头脑的难题。不过幸亏没有放弃去尝试弄懂它。废话少说，下面是我学习的过程。 

 

想要经过调用新浪微博开放平台 API 开发本身的微博应用，第一步是拥有sina 微博帐号和CSDN 帐号，由于咱们要同时用这两个帐号建立微博应用，以此得到 App key 和 Secret key 。那 App key 和 Secret key 有什么用？ 

 

其实我单单看了sina 微博开放平台的一系列说明都不怎么理解App key 和 Secret key 有啥用。由于更加重点是必须理解 OAuth 认证、受权的整个流程，以及在整个OAuth 认证、受权流程中好几个 Token 、4个 URL的做用。 

 

刚开始遇到彻底没个概念的 OAuth 时，觉得就没戏学习不下去了。好在搜到下面这些文章，对于理解 OAuth 很是有帮助，连接以下： 

OAUTH协议简介

基于 OAuth 安全协议的 Java 应用编程

在Twitter应用中使用OAuth 

在 OAuth 中有3个参与者，分别是 User 、Service Provider 、Consumer 。假设我要开发一个基于 sina 微博开放平台的应用（App），供其余 sina 微博用户使用。它们的对应关系以下： 

User  =>  想要使用此App的sina微博用户

Provider  =>  sina微博开放平台

Consumer  =>  App 

其实咱们这个 App 对于 User 和 Provider（sina微博平台）来讲，至关于一个第三方应用。做为第三方的 App 想要访问 User保存于 sina微博平台中的资源，确定必须通过一系列认证和受权以后才可以行得通。 

 

下面是基于我对整个 OAuth 认证、受权流程的理解画成的图（能够看一下跳过，当对后面的一些概念有必定理解以后再回头看看这流程图）：

结合上面的流程图，下面是我对这些术语的理解以及各个流程的描述： 

Consumer key 、Consumer Secret ：在sina 微博开放平台分别称为 App key、Secret key。Consumer向 Provider 申请但愿可以调用其开放 API，申请经过后由 Provider 分配给符合其要求的 Consumer ，用于惟一标识该 Consumer 符合 Provider 的要求。

对应于上图的流程 1 和 2。 

 

Request Token 、Request Secret ：当 User 访问 Consumer 并但愿可以得到其特殊服务，该服务由 Consumer 对 User 自身存放在 Provider 中的资源进行整合操做以后返回。此时 Consumer 向 Provider 请求得到 Requst Token，用于惟一标识该 Consumer 与该 User 的特定关联。

对应于上图的流程 3 、4 、5。 

 

至流程 6 ，Consumer 必须把 User 引导到Provider所提供的 OAuth 认证、受权页面，其实就是浏览器重定向到附加有 Request Token 和 Request Secret 参数的 authenticationURL。该 URL 由 Provider 提供。 

 

接下来流程 7 和 8 中 User 受权该 Consumer（通常是经过输入帐号、密码登陆而已），则 Provider 将重定向到流程 1 中 Consumer 提供的 Callback_URL ，而且在该 URL 参数中附加了 OAuth Token 和OAuth Verifier 。

 

流程 9 是 Consumer 经过以前已从 Provider 那里获取来的 Request Token 再次请求 Provider 以获取 Access Token 。 

 

Access Token 、 Access Secret ：若流程 10 中 Provider 返回一个未经 User 受权的 Access Token ，它用于惟一标识特定 Consumer 能够访问某 User 存放在 Provider 中的资源、信息。那么 Consumer 就能够开始使用获取到的 Access Token 和 Access Secret 访问对应 User 存放在 Provider 中的资源。 

通过流程 11 中对 User 信息的整合、操做以后，就能够将特定的服务结果返回给 User 了。

 

经过上面对于 OAuth 流程的理解，咱们知道其实 User 彻底没有将本身登陆 Provider 所需的帐号、密码等泄露给第三方的 Consumer 。同时 User 又能使用到 Consumer 的特殊服务。真是很巧妙的而又安全的操做流程啊！      

       此外，上图中 Consumer 有 3 次与 Provider 发出不一样的请求，其实就是由 Provider 提供 3 个不一样做用的 URL 给 Consumer 访问。在 sina 微博开放平台中这 3 个 URL 的截图以下：

小结： 

1、以上对于 OAuth 的流程理解很是有可能存在误解，由于我更多的是根据 sina 微博开发包 weibo4j 中的代码的理解，以及动手作测试总结出来的。固然，上面那些文章包括 sina 微博的部分 API 文档我都看了好几遍了…但愿若发现错误，请指正一下，谢谢！ 

2、光是一些理论知识的理解还不够，要动手操做实现一下，下一篇文章应该就会给出实际代码了。