OAuth使用说明

跳转到: 导航, 搜索

目录

概述

为了使用新浪微博开放平台提供的API(应用程序接口),你需要先注册一个应用。我们会给每一个应用一个专属的App Key和App Secret。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似,你可以使用你所熟悉的编程语言将key和secret结合,为你发出的每个请求添加签名,以此来向新浪微薄开放平台表明自己身份的合法性。


Web应用应该使用完整的OAuth认证方式来进行用户授权。桌面以及移动用户则推荐使用xAuth认证机制。当然,桌面和移动应用也可以使用Basic Auth,一种简单的通过用户名密码的方式来进行认证的方式,具体的说明可以参见授权机制说明页面中相关的部分。

新浪微博开放平台使用的是OAuth 1.0a 版本。

OAuth基本流程简介

OAuth请求循环可以分为如下四步:

oauth_flowchart.jpg

OAuth提供两种认证方式:query-string和HTTP headers。我们推荐使用HTTP headers进行认证。

请求签名

所有的OAuth请求使用同样的算法来生成签名字符基串(Signature Base String)和签名。

Base String是把HTTP方法名,请求URL以及请求参数用“&”字符连起来后做URL Encode编码。具体来讲,Base String由HTTP方法名,之后是&,接着是过URL Encode编码之后的URL和访问路径及“&”符号。接下来,把所有的请求参数包括POST方法体中的参数,经过排序(按参数名进行文本排序,如果参数名有重复则再安参数值进行重复项目排序),使用%3D替代=号,并且使用%26作为每个参数之间的分隔符,拼接成一个字符串。

这个算法可以简单表示为:

HTTPMethod + "&" +
  URL_encode(  base_uri ) + "&" +
  sorted_query_params.each  { | k, v |
      URL_encode ( k ) + "%3D" +
      URL_encode ( v )
  }.join("%26")

无论生成何种OAuth1.0请求,生成Base String的规则始终不变。

新浪微博要求所有的OAuth请求都使用HMAC-SHA1算法生成签名。

获取Request Token

获取Request Token是进行用户认证的第一步。这一步主要有两个目的:

第一,告诉新浪微博你将要做什么

第二,告诉新浪微博你在callback里要做什么

新浪微博开放平台的Request Token获取接口地址为:http://api.t.sina.com.cn/oauth/request_token

下面举个例子,以下是请求用的参数:

consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98"
oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11
oauth_consumer_key - GDdmIQH6jhtmLUypg82g
oauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk
oauth_signature_method - HMAC-SHA1
oauth_timestamp - 1272323042
oauth_version - 1.0

首先,用上文提到的算法形成Base String。需要注意的是callback在URL中包含请求参数,由于参数只CALLBACK URL的一部分,所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的Base String如下:

POST&http%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Frequest_token&oauth_callback%3Dhttp%253A%252F%252Flocalhost%253A3005%252Fthe_dance%252Fprocess_callback%253Fservice_provider_id%253D11%26oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DQP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323042%26oauth_version%3D1.0

注:由于我们是为了请求一个Request Token和一个Request Token Secret,所以还未获取到oauth_token和oauth_token_secret,所以我们的Base String里没有包含oauth_token和oauth_token_secret。

接下来我们就可以使用Signing Key(即App Secret后加一个&符)经HMAC-SHA1算法从Base String生成OAuth签名(oauth_signature):

8wUi7m5HFQy76nowoCThusfgB+Q=

接下来就可以向http://api.t.sina.com.cn/oauth/request_token 发送请求。生成的HTTP header如下:

OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", oauth_callback="HTTP%3A%2F%2Flocalhost%3A3005%2Fthe_dance%2Fprocess_callback%3Fservice_provider_id%3D11", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323042", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_signature="8wUi7m5HFQy76nowoCThusfgB%2BQ%3D", oauth_version="1.0"

当服务器端接到请求之后,会返回包含oauth_token,oauth_token_secret等内容,另外oauth_callback_confirmed字段如果为true就表示callback生效。服务器端的响应如下:

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true

这时需要将oauth_token和oauth_token_secret记下,我们需要用这个参数来获取Access Token。

用户认证

这一步主要是发送你获取的oauth_token,并且获得用户的授权。一般来说,WEB应用会简单的重定向到相应的页面,桌面应用程序会给出URL并要求用户自行验证.

新浪微博开放平台的验证URL是http://api.t.sina.com.cn/oauth/authorize。要求必须以oauth作为参数,一般来说请求格式如下:

http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc

如果用户没有登录新浪微博,则会要求用户登录。否则将会出现一个页面,用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后,Web应用页面将会重定向至你指定的oauth_callback,如果是桌面应用,将会显示PIN码,用户需要将PIN码输入你的应用中来完成授权过程。

如果使用了callback,那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下:

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY

获取Access Token

新浪微博开放平台Access Token请求地址为:http://api.t.sina.com.cn/oauth/access_token

以下是请求参数列表:

    oauth_consumer_key - GDdmIQH6jhtmLUypg82g
    oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8
    oauth_signature_method - HMAC-SHA1
    oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc
    oauth_timestamp - 1272323047
    oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY
    oauth_version - 1.0
    oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

第一步,准备Base String(使用上文提到的方法)

POST&HTTPs%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Faccess_token&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323047%26oauth_token%3D8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0

接着将consumer_secret和oauth_token_secret连接起来,中间用&分割(这是准备密钥的方法,下面还会用到):

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

生成的OAuth签名如下:

PUw/dHA4fnlJYM6RhXk5IU/0fCc=

然后向给定的URL发送请求,请求头部一定要包含Request Token,request头部如下:

OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0"

新浪微博开放平台会返回应用需要的信息,包括用户名,oauth_token/oaut_token_secret(当然这里就是Access Token了)。 response内容如下:

oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&user_id=819797&screen_name=openapi

现在就可以使用Access Token来发布信息了。

获取用户信息

新浪微博开放平台用户验证的请求地址为:
http://api.t.sina.com.cn/account/verify_credentials.xml

http://api.t.sina.com.cn/account/verify_credentials.json

接下来,就可以进行用户验证(如果验证成功,将会返回用户的详细信息)了。以下是进行用户验证的相关参数:

oauth_consumer_key - GDdmIQH6jhtmLUypg82gる
oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y
oauth_signature_method - HMAC-SHA1
oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw
oauth_timestamp - 1272325550
oauth_version - 1.0

使用Base String生成算法:

POST&HTTPs%3A%2F%2Fapi.t.sina.com.cn%2Faccount%2Fverify_credentials.json&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0

然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。

key如下:

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA

生成的签名如下:

ICuKVLKetCO4axEppJBqOofFg/A=

接下来就可以通过HTTP发送请求,生成的HTTP header如下:

OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg%2FA%3D", oauth_version="1.0"

响应如下:

{
   "id":1642466141,
   "screen_name":"huchao",
   "name":"huchao",
   "province":"11",
   "city":"8",
   "location":"北京 海淀区",
   "description":"Blogger,苹果迷,Google粉。",
   "url":"http://tuoniao.org",
   "profile_image_url":"http://tp2.sinaimg.cn/1642466141/50/1281523744",
   "domain":"westy",
   "gender":"m",
   "followers_count":65,
   "friends_count":59,
   "statuses_count":139,
   "favourites_count":1,
   "created_at":"Fri Aug 28 00:00:00 +0800 2009",
   "following":false,
   "allow_all_act_msg":false,
   "geo_enabled":false,
   "verified":false,
   "status":{
      "created_at":"Tue Sep 14 15:16:49 +0800 2010",
      "id":2617110512,
      "text":"请叫我杂务小队长[奥特曼] 哔哔哔哔~~~~~~(呼唤动感超人的表情)",
      "source":"<a href=\"http://t.sina.com.cn\" rel=\"nofollow\">新浪微博</a>",
      "favorited":false,
      "truncated":false,
      "in_reply_to_status_id":"",
      "in_reply_to_user_id":"",
      "in_reply_to_screen_name":"",
      "geo":null
   }
}

小提示

以下是新浪微薄开放平台团队在OAuth使用上的一些经验总结,希望能够让你更好的使用新浪微博的OAuth认证。

  • 使用基于HTTP-header的OAuth
  • 使用ssl - 对于所有的OAuth认证的步骤都使用SSL加密
  • 使用api.t.sina.com.cn - 而非t.sina.com.cn
  • 始终使用显式oauth_callback - 一般来说应用程序使用默认的callback地址,但是我们建议每次请求都显式声明callback(在请求中指定callback). 通过动态设定callback,你可以获取一些有用的附加的信息.如果是使用PIN码的话,callback应该是"oob".

使用OAuth发表微博

接下来,就可以使用获取的oauth_token和oauth_token_secret来发送微博了。发微博可以通过Statuses/update接口,以下是相关参数:

  • POST body - status=通过OAuth发送微博信息
  • oauth_consumer_key - GDdmIQH6jhtmLUypg82g
  • oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y
  • oauth_signature_method - HMAC-SHA1
  • oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw
  • oauth_timestamp - 1272325550
  • oauth_version - 1.0

接下来依然使用上文提到的Base String算法生成Base String如下:

POST&HTTP%3A%2F%2Fapi.t.sina.com.cn%2Fstatuses%2Fupdate.json&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DoElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_version%3D1.0%26status%3D%25E9%2580%259A%25E8%25BF%2587OAuth%25E5%258F%2591%25E9%2580%2581%25E5%25BE%25AE%25E5%258D%259A%25E4%25BF%25A1%25E6%2581%25AF

然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。 key如下:

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA

生成的签名如下:

yOahq5m0YjDDjfjxHaXEsW9D+X0=

接下来就可以通过HTTP发送请求,生成的HTTP header如下:

OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="yOahq5m0YjDDjfjxHaXEsW9D%2BX0%3D", oauth_version="1.0"

服务器端的响应如下:

{
    "created_at": "Mon Oct 11 12:00:16 +0800 2010", 
    "favorited": false, 
    "geo": null, 
    "id": 3034670049, 
    "in_reply_to_screen_name": "", 
    "in_reply_to_status_id": "", 
    "in_reply_to_user_id": "", 
    "source": "<a href=\"http://open.t.sina.com.cn\" rel=\"nofollow\">\u5fae\u535a\u5f00\u653e\u5e73\u53f0\u63a5\u53e3</a>", 
    "text": "\u901a\u8fc7OAuth\u53d1\u9001\u5fae\u535a\u4fe1\u606f", 
    "truncated": false, 
    "user": {
        "allow_all_act_msg": false, 
        "city": "8", 
        "created_at": "Fri Aug 28 00:00:00 +0800 2009", 
        "description": "Blogger\uff0c\u82f9\u679c\u8ff7\uff0cGoogle\u7c89\u3002", 
        "domain": "westy", 
        "favourites_count": 1, 
        "followers_count": 83, 
        "following": false, 
        "friends_count": 56, 
        "gender": "m", 
        "geo_enabled": true, 
        "id": 1642466141, 
        "location": "\u5317\u4eac \u6d77\u6dc0\u533a", 
        "name": "huchao", 
        "profile_image_URL": "http://tp2.sinaimg.cn/1642466141/50/1285424071", 
        "province": "11", 
        "screen_name": "huchao", 
        "statuses_count": 209, 
        "URL": "http://tuoniao.org", 
        "verified": false
    }
}

OAuth库和资源

ActionScript/Flash
oauth-as3 http://code.google.com/p/oauth-as3/
A flex oauth client http://www.arcgis.com/home/item.html?id=ff6ffa302ad04a7194999f2ad08250d7
C/C++
QTweetLib http://github.com/minimoog/QTweetLib
libOAuth http://liboauth.sourceforge.net/
clojure
clj-oauth http://github.com/mattrepl/clj-oauth
.net
oauth-dot-net http://code.google.com/p/oauth-dot-net/
DotNetOpenAuth http://www.dotnetopenauth.net/
Erlang
erlang-oauth http://github.com/tim/erlang-oauth
java
Scrible http://github.com/fernandezpablo85/scribe-java
oauth-signpost http://code.google.com/p/oauth-signpost/
javascript
oauth in js http://oauth.googlecode.com/svn/code/javascript/
Objective-C/Cocoa & iPhone programming
OAuthCore http://bitbucket.org/atebits/oauthcore
MPOAuthConnection http://code.google.com/p/mpoauthconnection/
Objective-C OAuth http://oauth.googlecode.com/svn/code/obj-c/
Perl
Net::OAuth http://oauth.googlecode.com/svn/code/perl/
PHP
tmhOAuth http://github.com/themattharris/tmhOAuth
oauth-php http://code.google.com/p/oauth-php/
Python
python-oauth2 http://github.com/brosner/python-oauth2
Qt
qOauth http://github.com/ayoy/qoauth
Ruby
Oauth ruby gem http://oauth.rubyforge.org/
Scala
DataBinder Dispatch http://dispatch.databinder.net/About