授权机制说明

大部分REST API的访问如发表微博，获取私信都需要用户身份。目前用户身份鉴权有OAuth和Basic Auth（仅用于开发者调试接口）两种方式。

OAuth

OAuth是一种国际通用的授权方式， OAuth的官方技术说明可参看 http://oauth.net/2/ (英文)。

新浪微博开放平台已推出OAuth2.0，同时提供对Web，桌面和移动应用程序的支持，并较1.0相比整个授权验证流程更简单更安全。也是未来最主要的用户身份验证和授权方式。

开发者需要根据不同的应用场景，选择适用的OAuth授权流程：

• • 1. 微博登录或者站外Web应用，请参考：Web应用的验证授权(Authorization Code)
    2. 桌面和无线客户端应用，请参考：统一使用Web应用的验证授权(Authorization Code)，特殊情况下可申请客户端的验证授权（Resource Owner Password Credentials）
    3. Javascript类应用，请参考：Javascript Client的验证授权(Implicit Grant)
    4. 微博站内应用，请参考 站内应用开发指南。

查看完整的OAuth2.0开发指南

如果你仍在使用Oauth1.0或者xAuth，请进入浏览相关文档。

HTTP普通鉴权(Basic Authentication)方式

Basic Authentication是一种通过HTTP头传递用户身份的授权方式。在非HTTPS方式下使用存在密码被窃听风险。 采用普通鉴权(Basic Authentication)时app_key(consumer key)通过请求参数直接传递，参数名为 source=consumer key，如

curl -u user:password -d "source=10001&status=api test" http://api.t.sina.com.cn/statuses/update.xml

Basic Auth编程也可以参看这篇文章 http://www.cnblogs.com/QLeelulu/archive/2009/11/22/1607898.html