Oauth认证-新浪微博开发(上)

最近几天一直在学习新浪微博的受权验证，在论坛上下了个例子，也找到了相关的博客文章。。觉得很简单能搞懂，可是费了很长时间，仍是一头雾水。。后来想一想，其实别人提供的只是一些接口、方法，而我对受权的过程并无认真的学习过，因此对于代码中那些奇怪的方法倍感陌生。。如今把本身的一些心得补充进来。
原文博客： http://www.cnblogs.com/hll2008/archive/2011/01/03/1924952.html
对于界面及数据库使用就不在啰嗦，只诠释下受权验证部分。
新浪微博受权支持Oauth1.0 和Oauth2.0 ，后者对前者在过程当中有所改变，详细信息可参考：
Oauth1.0 http://open.weibo.com/wiki/Oauth
Oauth2.0 http://open.weibo.com/wiki/index.php?title=Oauth2&redirect=no

受权机制：
大部分REST API的访问如发表微博，获取私信都须要用户身份。目前用户身份鉴权有OAuth和Basic Auth（仅用于开发者调试接口）两种方式。

OAuth

OAuth是一种国际通用的受权方式， OAuth的官方技术说明可参看 http://oauth.net/2/ (英文)。

新浪微博开放平台已推出OAuth2.0，同时提供对Web，桌面和移动应用程序的支持，并较1.0相比整个受权验证流程更简单更安全。也是将来最主要的用户身份验证和受权方式。

HTTP普通鉴权(Basic Authentication)方式

Basic Authentication是一种经过HTTP头传递用户身份的受权方式。在非HTTPS方式下使用存在密码被窃听风险。采用普通鉴权(Basic Authentication)时app_key(consumer key)经过请求参数直接传递，参数名为 source=consumer key，如

curl -u user:password -d "source=10001&status=api test" http://api.t.sina.com.cn/statuses/update.xml 

Basic Auth编程也能够参看这篇文章 http://www.cnblogs.com/QLeelulu/archive/2009/11/22/1607898.html

当前Basic Authentication仅用于开发者调试API接口。

新浪开发平台提供一套SDK（下载地址 http://open.weibo.com/wiki/SDK），你能够调用其方法实现新浪微博的受权。

不过这种方式不具备通用性，原博客中采用Oauth1.0 方式，同时使用Signpost（开源项目）实现Oauth签名。

SignPost

Signpost 是一个简单并且直观的使用 OAuth 1.0 规范对 HTTP 消息进行签名的 Java 解决方案。

API说明： http://kaeppler.github.com/signpost/signpost-core-apidocs/index.html

参考上面内容，咱们详细的学习下如何使用signpost进行Oauth认证的。

了解受权过程

以新浪微博为例，为了使用新浪微博开放平台提供的API(应用程序接口)，你 须要先注册一个应用，得到一个专属的 App Key和App Secret。Key跟Secret的使用方式跟其余一些协议中的公钥私钥的方案相相似，你可使用你所熟悉的编程语言将key和secret结合，为你发出的每一个请求添加签名，以此来向新浪微博开放平台代表本身身份的合法性。

OAuth请求循环能够分为以下四步：

OAuth提供两种认证方式：query-string和http headers。咱们推荐使用http header进行认证。

请求签名

oauth/request_token

请求地址: http://api.t.sina.com.cn/oauth/request_token

经过访问该接口获取未受权的 Request Token。 访问以get方式请求，并包含如下参数：

• oauth_consumer_key: 建立应用时生成的APP KEY。
• oauth_signature_method: 签名方法，建议使用“HMAC-SHA1”。
• oauth_timestamp:时间戳。生成Base String时的时间戳。
• oauth_nonce:单次值，一个随机字符串，防止重复***。该字段只支持ASCII码的字符。
• oauth_version : OAuth协议版本。填写“1.0”。
• oauth_signature：签名值，是由根据上面的5个参数生成的 Base String经HMAC-SHA1算法计算得出。

全部的OAuth请求 使用一样的算法来生成(signature base string)签名字符基串和签名。base string是把http方法名,请求URL以及请求参数用&字符连起来后作URL Encode编码。

签名字符基串：把http方法名,请求URL以及请求参数用&字符连起来后作URL Encode编码，不管生成何种OAuth1.0请求，生成BASE STRING的规则始终不变。

具体来说，base string由http方法名，以后是&，接着是过url编码(url-encoded)以后的url和访问路径及&。接下来，把全部的请求参数包括POST方法体中的参数，通过排序(按参数名进行文本排序，若是参数名有重复则再安参数值进行重复项目排序)，使用=替代=号，而且使用&做为每一个参数之间的分隔符，拼接成一个字符串。这个算法能够简单表示为：

httpMethod + "&" + url_encode( base_uri ) + "&" + sorted_query_params.each { | k, v | url_encode ( k ) + "=" + url_encode ( v ) }.join("&")

签名：由签名字符基串按必定算法计算出来。（如HMAC-SHA1）

新浪微博要求全部的OAuth请求都使用 HMAC-SHA1算法生成签名。

返回值

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8Z

获取request token

request token是进行用户认证的第一步。这一步主要有两个目的：

第一，告诉新浪微博你将要作什么

第二，告诉新浪微博你在callback里要作什么

下面举个例子，如下是请求用的参数： （注意，这里是请求用到的参数，并不必定是【请求参数】）

consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98" 这个作什么用 ?
 oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11 受权后的重定向的URL
 oauth_consumer_key - GDdmIQH6jhtmLUypg82g  建立应用时生成的APP KEY。
oauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk  单次值，一个随机字符串，防止重复***
oauth_signature_method - HMAC-SHA1  签名方法
oauth_timestamp - 1272323042  时间戳
oauth_version - OAuth协议版本
 
 个人理解：请求时，使用consumer_secret做为密钥对请求参数进行加密，而传输过程当中只传输公钥（consumer_key），因此在接口参数中只有oauth_consumer_key，而没有包含上文提到的consumer_secret。
好比，文中提到的oauth_callback等参数做为字符基串，生成oauth_signature：签名值，再做为请求参数传输。
 

第一步，用上文提到的算法造成BASE STRING。须要注意的是callback在URL中包含请求参数，因为参数只CALLBACK URL的一部分，因此并不须要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的BASE STRING以下:
POST&https://api.t.sina.com.cn/oauth/request_token&oauth_callback=http://loca

因为咱们还未获取到oauth_token和oauth_token_secret，因此咱们的BASE STRING里没有包含oauth_token和oauth_token_secret。

接下来使用signing key(App Secret后加一个&符)从base string生成oauth_signature： ?

8wUi7m5HFQy76nowoCThusfgB+Q=

接下来就能够向 http://api.t.sina.com.cn/oauth/request_token 发送请求。 生成的http header以下:

OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", 
oauth_callback="http://localhost:3005
 

当服务器端接到请求以后，会返回包含oauth_token,oauth_token_secret等内容，另外oauth_callback_confirmed字段若是为true就表示callback生效。服务器端的响应以下:

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true  

这时须要将oauth_token和oauth_token_secret记下，咱们须要用这个参数来获取access token。

用户认证

这一步主要是发送你获取的oauth_token，而且得到用户的受权。通常来讲，WEB应用会简单的重定向到相应的页面,桌面应用程序会给出URL并要求用户自行验证.

新浪微博开放平台的验证URL是 http://api.t.sina.com.cn/oauth/authorize 。要求必须以oauth做为参数,通常来讲请求格式以下:

http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc

如使用XML/JSON返回方式（参看后文），需传递如下附加参数：

• oauth_token 上一步获（即：oauth/request_token接口调用）取到的oauth token
• oauth_callback, 须要进行url encode
• display,定义页面调用类型,目前咱们提供了6种调用类型
  

　　　　普通web调用:display=page 这个也是默认调用类型
　　　　Android,iPhone调用:display=mobile

        wap访问页面自动调用:display=wap 咱们会根据信息头来判断是wap1.2仍是wap2.0
        wap1.2页面调用:display=wap1.2 供wap1.2访问
        wap2.0页面调用:display=wap2.0 供wap2.0访问
 

　　　　popup弹窗调用:display=popup

json 或 xml(一般移动终端使用)

• userId 新浪通行证帐户名
• passwd 密码

使用说明

• 当请求参数 oauth_callback=oob 则代表为桌面应用，会提示用户作桌面应用操做.

部分移动终端客户端可能不方便访问Web/WAP页面，可使用如下方法

• oauth_callback=json, 页面直接返回参数

{"oauth_token":"c248561721393a78260b8d00ece7d703", "oauth_verifier":"234256"}

• oauth_callback=xml, 页面直接返回参数

<oauth_token>c248561721393a78260b8d00ece7d703</oauth_token> <oauth_verifier>234256</oauth_verifier>

若是用户没有登陆新浪微博，则会要求用户登陆。不然将会出现一个页面，用户能够在此页面上一键赞成或者拒绝对此应用受权。用户受权后，web应用页面将会重定向至你指定的oauth_callback，若是是桌面应用,将会显示PIN码，用户须要将PIN码输入你的应用中来完成受权过程。

若是使用了callback，那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例以下：

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY
 
这一步，咱们须要获取oauth_token ，oauth_verifier。 
 

获取access token（受权过的Oauth_token）

新浪微博开放平台access token请求地址为： http://api.t.sina.com.cn/oauth/access_token

如下是请求参数列表:

 oauth_consumer_key - GDdmIQH6jhtmLUypg82g 建立应用时生成的APP KEY。
oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8 单次值，一个随机字符串 oauth_signature_method - HMAC-SHA1 签名方法
oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc 通过用户受权的Request Token。 
oauth_timestamp - 1272323047 时间戳
oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY 可选。在oauth/authorize这一步中，新浪微博给出的认证码。
oauth_version - 1.0  Oauth版本号
oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA
 
参数说明：
 

• oauth_consumer_key: 建立应用时生成的APP KEY。
• oauth_token:通过用户受权的Request Token。
• oauth_signature_method: 签名方法，建议使用“HMAC-SHA1”。
• oauth_timestamp:时间戳。生成Base String时的时间戳。
• oauth_nonce:单次值，一个随机字符串，防止重复***。该参数只支持ASCII码的字符串.
• oauth_version : OAuth协议版本。填写“1.0”。
• oauth_verifier: 可选。在oauth/authorize这一步中，新浪微博给出的认证码。
• oauth_signature：签名值，是由根据上面的几个参数生成的 Base String经HMAC-SHA1算法计算得出。

第一步,准备base string(使用上文提到的方法)

POST&https://api.t.sina.com.cn/oauth/access_token&oauth_consumer_key=GDdmIQH6jhtmLUypg82g&oauth_nonce=9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1272323047&oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY&oauth_version=1.0

接着将consumer_secret和oauth_token_secret链接起来，中间用&分割(这是准备密钥的方法,下面还会用到)：

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

生成的OAuth签名以下：

PUw/dHA4fnlJYM6RhXk5IU/0fCc=

而后向给定的url发送请求, 请求头部必定要包含request token，request头部以下：

OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", 
oauth_signature_method="HMAC-SHA1", 
oauth_timestamp="1272323047", 
oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw/dHA4fnlJYM6RhXk5IU/0fCc=", 
oauth_version="1.0"

新浪微博开放平台会返回应用须要的信息，包括 用户名，oauth_token/oaut_token_secret(固然这里就是access token了)。 response内容以下：

oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&
 user_id=819797&
 screen_name=openapi

如今就可使用access token来发布信息了。

获取用户信息

接口地址： http://api.t.sina.com.cn/users/show.(json|xml)

按用户ID或昵称返回用户资料以及用户的最新发布的一条微博消息。

请求参数：

	必选	类型及范围	说明
source	true	string	申请应用时分配的AppKey，调用接口时候表明应用的惟一身份。（采用OAuth受权方式不须要此参数）
:id	false	int64/string	用户ID(int64)或者昵称(string)。该参数为一个REST风格参数。调用示例见注意事项
user_id	false	int64	用户ID，主要是用来区分用户ID跟微博昵称。当微博昵称为数字致使和用户ID产生歧义，特别是当微博昵称和用户ID同样的时候，建议使用该参数
screen_name	false	string	微博昵称，主要是用来区分用户UID跟微博昵称，当两者同样而产生歧义的时候，建议使用该参数
:id、user_id、screen_name这三个参数三者至少要提供一个

接下来，就能够进行用户验证(若是验证成功，将会返回用户的详细信息)了。如下是进行用户验证的相关参数：

oauth_consumer_key - GDdmIQH6jhtmLUypg82g
oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y 
oauth_signature_method - HMAC-SHA1 
oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw 
oauth_timestamp - 1272325550 
oauth_version - 1.0

使用BASE STRING生成算法：

POST&http://api.t.sina.com.cn/account/verify_credentials&oauth_consumer_key=GDdmIQH6jhtmLUypg82g&oauth_nonce=9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1272325550&oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY&oauth_version=1.0

而后将oauth_comsumer_secret和oauth_token_secret以&做为分隔符拼起来。将拼接后的字符串做为签名的KEY进行加密，生成签名。

key以下:

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA

生成的签名以下:

ICuKVLKetCO4axEppJBqOofFg/A=

接下来就能够经过http发送请求,生成的http header以下:

OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", 
oauth_signature_method="HMAC-SHA1", 
oauth_timestamp="1272325550", 
oauth_consumer_key="GDdmIQH6jhtmLUypg82g", 
oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg/A=", 
oauth_version="1.0"

响应以下:

{ weibo=null, id=1803876591, name='loopa', screenName='loopa', location='北京 海淀区', description='2fBAcRG0]8OGRvp', profileImageUrl='http://tp4.sinaimg.cn/1803876591/50/0', url='', isProtected=false, followersCount=23, statusCreatedAt=Mon Sep 27 13:50:14 CST 2010, statusId=2847344825, statusText='uhYFQJ[', statusSource='<a href="" rel="nofollow">微博开放平台接口</a>', statusTruncated=false, statusInReplyToStatusId=0, statusInReplyToUserId=0, statusFavorited=false, statusInReplyToScreenName='', profileBackgroundColor='', profileTextColor='', profileLinkColor='', profileSidebarFillColor='', profileSidebarBorderColor='', friendsCount=1, createdAt=Fri Aug 27 00:00:00 CST 2010, favouritesCount=0, utcOffset=-1, timeZone='', profileBackgroundImageUrl='', profileBackgroundTile='', following=false, notificationEnabled=false, statusesCount=8509, geoEnabled=false, verified=false }