OAuth使用说明
(创建新页面为 '==概述== 为了使用新浪微博开放平台提供的API(应用程序接口),你需要先注册一个应用。我们会给每一个应用一个专属的App Key和App Secret…') |
|||
| 第3行: | 第3行: | ||
| − | + | Web应用应该使用完整的OAuth认证方式来进行用户授权。桌面以及移动用户则推荐使用[[xAuth]]认证机制。当然,桌面和移动应用也可以使用Basic Auth,一种简单的通过用户名密码的方式来进行认证的方式,具体的说明可以参见[[授权机制说明]]页面中相关的部分。 | |
新浪微博开放平台使用的是OAuth 1.0a 版本。 | 新浪微博开放平台使用的是OAuth 1.0a 版本。 | ||
| 第10行: | 第10行: | ||
OAuth请求循环可以分为如下四步: | OAuth请求循环可以分为如下四步: | ||
{{center|http://open.sinaimg.cn/oauth/oauth_flowchart.jpg}} | {{center|http://open.sinaimg.cn/oauth/oauth_flowchart.jpg}} | ||
| − | OAuth提供两种认证方式:query- | + | OAuth提供两种认证方式:query-string和HTTP headers。我们推荐使用HTTP headers进行认证。 |
===请求签名=== | ===请求签名=== | ||
| − | + | 所有的OAuth请求使用同样的算法来生成签名字符基串(Signature Base String)和签名。 | |
| − | + | Base String是把HTTP方法名,请求URL以及请求参数用“&”字符连起来后做URL Encode编码。具体来讲,Base String由HTTP方法名,之后是&,接着是过URL Encode编码之后的URL和访问路径及“&”符号。接下来,把所有的请求参数包括POST方法体中的参数,经过排序(按参数名进行文本排序,如果参数名有重复则再安参数值进行重复项目排序),使用%3D替代=号,并且使用%26作为每个参数之间的分隔符,拼接成一个字符串。 | |
这个算法可以简单表示为: | 这个算法可以简单表示为: | ||
<pre> | <pre> | ||
| − | + | HTTPMethod + "&" + | |
| − | + | URL_encode( base_uri ) + "&" + | |
sorted_query_params.each { | k, v | | sorted_query_params.each { | k, v | | ||
| − | + | URL_encode ( k ) + "%3D" + | |
| − | + | URL_encode ( v ) | |
}.join("%26") | }.join("%26") | ||
</pre> | </pre> | ||
| − | 无论生成何种OAuth1.0请求, | + | 无论生成何种OAuth1.0请求,生成Base String的规则始终不变。 |
新浪微博要求所有的OAuth请求都使用<b>HMAC-SHA1</b>算法生成签名。 | 新浪微博要求所有的OAuth请求都使用<b>HMAC-SHA1</b>算法生成签名。 | ||
| − | === | + | ===获取Request Token=== |
| − | + | 获取Request Token是进行用户认证的第一步。这一步主要有两个目的: | |
第一,告诉新浪微博你将要做什么 | 第一,告诉新浪微博你将要做什么 | ||
| 第36行: | 第36行: | ||
第二,告诉新浪微博你在callback里要做什么 | 第二,告诉新浪微博你在callback里要做什么 | ||
| − | + | 新浪微博开放平台的Request Token获取接口地址为:http://api.t.sina.com.cn/oauth/request_token | |
下面举个例子,以下是请求用的参数: | 下面举个例子,以下是请求用的参数: | ||
| 第48行: | 第48行: | ||
oauth_version - 1.0 | oauth_version - 1.0 | ||
</pre> | </pre> | ||
| − | + | 首先,用上文提到的算法形成Base String。需要注意的是callback在URL中包含请求参数,由于参数只CALLBACK URL的一部分,所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的Base String如下: | |
<pre> | <pre> | ||
| − | POST& | + | POST&http%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Frequest_token&oauth_callback%3Dhttp%253A%252F%252Flocalhost%253A3005%252Fthe_dance%252Fprocess_callback%253Fservice_provider_id%253D11%26oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DQP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323042%26oauth_version%3D1.0 |
</pre> | </pre> | ||
| − | + | 注:由于我们是为了请求一个Request Token和一个Request Token Secret,所以还未获取到oauth_token和oauth_token_secret,所以我们的Base String里没有包含oauth_token和oauth_token_secret。 | |
| − | + | 接下来我们就可以使用Signing Key(即App Secret后加一个&符)经HMAC-SHA1算法从Base String生成OAuth签名(oauth_signature): | |
<pre> | <pre> | ||
8wUi7m5HFQy76nowoCThusfgB+Q= | 8wUi7m5HFQy76nowoCThusfgB+Q= | ||
</pre> | </pre> | ||
| − | 接下来就可以向http://api.t.sina.com.cn/oauth/request_token | + | 接下来就可以向http://api.t.sina.com.cn/oauth/request_token 发送请求。生成的HTTP header如下: |
<pre> | <pre> | ||
| − | OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", oauth_callback=" | + | OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", oauth_callback="HTTP%3A%2F%2Flocalhost%3A3005%2Fthe_dance%2Fprocess_callback%3Fservice_provider_id%3D11", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323042", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_signature="8wUi7m5HFQy76nowoCThusfgB%2BQ%3D", oauth_version="1.0" |
</pre> | </pre> | ||
| 第69行: | 第69行: | ||
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true | oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true | ||
</pre> | </pre> | ||
| − | + | 这时需要将oauth_token和oauth_token_secret记下,我们需要用这个参数来获取Access Token。 | |
===用户认证=== | ===用户认证=== | ||
| 第78行: | 第78行: | ||
http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc | http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc | ||
| − | + | 如果用户没有登录新浪微博,则会要求用户登录。否则将会出现一个页面,用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后,Web应用页面将会重定向至你指定的oauth_callback,如果是桌面应用,将会显示PIN码,用户需要将PIN码输入你的应用中来完成授权过程。 | |
如果使用了callback,那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下: | 如果使用了callback,那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下: | ||
| 第85行: | 第85行: | ||
</pre> | </pre> | ||
| − | === | + | ===获取Access Token=== |
| − | + | 新浪微博开放平台Access Token请求地址为:http://api.t.sina.com.cn/oauth/access_token | |
以下是请求参数列表: | 以下是请求参数列表: | ||
| 第99行: | 第99行: | ||
oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA | oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA | ||
</pre> | </pre> | ||
| − | 第一步, | + | 第一步,准备Base String(使用上文提到的方法) |
<pre> | <pre> | ||
| − | POST& | + | POST&HTTPs%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Faccess_token&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323047%26oauth_token%3D8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0 |
</pre> | </pre> | ||
接着将consumer_secret和oauth_token_secret连接起来,中间用&分割(这是准备密钥的方法,下面还会用到): | 接着将consumer_secret和oauth_token_secret连接起来,中间用&分割(这是准备密钥的方法,下面还会用到): | ||
| 第112行: | 第112行: | ||
PUw/dHA4fnlJYM6RhXk5IU/0fCc= | PUw/dHA4fnlJYM6RhXk5IU/0fCc= | ||
</pre> | </pre> | ||
| − | + | 然后向给定的URL发送请求,请求头部一定要包含Request Token,request头部如下: | |
<pre> | <pre> | ||
OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0" | OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0" | ||
</pre> | </pre> | ||
| − | 新浪微博开放平台会返回应用需要的信息,包括用户名,oauth_token/oaut_token_secret( | + | 新浪微博开放平台会返回应用需要的信息,包括用户名,oauth_token/oaut_token_secret(当然这里就是Access Token了)。 response内容如下: |
<pre> | <pre> | ||
oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&user_id=819797&screen_name=openapi | oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&user_id=819797&screen_name=openapi | ||
</pre> | </pre> | ||
| − | + | 现在就可以使用Access Token来发布信息了。 | |
===获取用户信息=== | ===获取用户信息=== | ||
| + | 新浪微博开放平台用户验证的请求地址为:<br/> | ||
| + | http://api.t.sina.com.cn/account/verify_credentials.xml<br/> | ||
| + | 或<br/> | ||
| + | http://api.t.sina.com.cn/account/verify_credentials.json<br/> | ||
| + | |||
接下来,就可以进行用户验证(如果验证成功,将会返回用户的详细信息)了。以下是进行用户验证的相关参数: | 接下来,就可以进行用户验证(如果验证成功,将会返回用户的详细信息)了。以下是进行用户验证的相关参数: | ||
<pre> | <pre> | ||
| 第132行: | 第137行: | ||
oauth_version - 1.0 | oauth_version - 1.0 | ||
</pre> | </pre> | ||
| − | + | 使用Base String生成算法: | |
<pre> | <pre> | ||
| − | POST& | + | POST&HTTPs%3A%2F%2Fapi.t.sina.com.cn%2Faccount%2Fverify_credentials.json&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0 |
</pre> | </pre> | ||
| 第147行: | 第152行: | ||
ICuKVLKetCO4axEppJBqOofFg/A= | ICuKVLKetCO4axEppJBqOofFg/A= | ||
</pre> | </pre> | ||
| − | + | 接下来就可以通过HTTP发送请求,生成的HTTP header如下: | |
<pre> | <pre> | ||
OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg%2FA%3D", oauth_version="1.0" | OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg%2FA%3D", oauth_version="1.0" | ||
| 第154行: | 第159行: | ||
<pre> | <pre> | ||
{ | { | ||
| − | + | "id":1642466141, | |
| − | + | "screen_name":"huchao", | |
| − | + | "name":"huchao", | |
| − | + | "province":"11", | |
| − | + | "city":"8", | |
| − | + | "location":"北京 海淀区", | |
| − | + | "description":"Blogger,苹果迷,Google粉。", | |
| − | + | "url":"http://tuoniao.org", | |
| − | + | "profile_image_url":"http://tp2.sinaimg.cn/1642466141/50/1281523744", | |
| − | + | "domain":"westy", | |
| − | + | "gender":"m", | |
| − | + | "followers_count":65, | |
| − | + | "friends_count":59, | |
| − | + | "statuses_count":139, | |
| − | + | "favourites_count":1, | |
| − | + | "created_at":"Fri Aug 28 00:00:00 +0800 2009", | |
| − | + | "following":false, | |
| − | + | "allow_all_act_msg":false, | |
| − | + | "geo_enabled":false, | |
| − | + | "verified":false, | |
| − | + | "status":{ | |
| − | + | "created_at":"Tue Sep 14 15:16:49 +0800 2010", | |
| − | + | "id":2617110512, | |
| − | + | "text":"请叫我杂务小队长[奥特曼] 哔哔哔哔~~~~~~(呼唤动感超人的表情)", | |
| − | + | "source":"<a href=\"http://t.sina.com.cn\" rel=\"nofollow\">新浪微博</a>", | |
| − | + | "favorited":false, | |
| − | + | "truncated":false, | |
| − | + | "in_reply_to_status_id":"", | |
| − | + | "in_reply_to_user_id":"", | |
| − | + | "in_reply_to_screen_name":"", | |
| − | + | "geo":null | |
| − | + | } | |
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
} | } | ||
</pre> | </pre> | ||
| 第195行: | 第196行: | ||
===小提示=== | ===小提示=== | ||
以下是新浪微薄开放平台团队在OAuth使用上的一些经验总结,希望能够让你更好的使用新浪微博的OAuth认证。 | 以下是新浪微薄开放平台团队在OAuth使用上的一些经验总结,希望能够让你更好的使用新浪微博的OAuth认证。 | ||
| − | * | + | *使用基于HTTP-header的OAuth |
*使用ssl - 对于所有的OAuth认证的步骤都使用SSL加密 | *使用ssl - 对于所有的OAuth认证的步骤都使用SSL加密 | ||
*使用api.t.sina.com.cn - 而非t.sina.com.cn | *使用api.t.sina.com.cn - 而非t.sina.com.cn | ||
| 第210行: | 第211行: | ||
* oauth_version - 1.0 | * oauth_version - 1.0 | ||
| − | + | 接下来依然使用上文提到的Base String算法生成Base String如下: | |
<pre> | <pre> | ||
| − | POST& | + | POST&HTTP%3A%2F%2Fapi.t.sina.com.cn%2Fstatuses%2Fupdate.json&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DoElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_version%3D1.0%26status%3D%25E9%2580%259A%25E8%25BF%2587OAuth%25E5%258F%2591%25E9%2580%2581%25E5%25BE%25AE%25E5%258D%259A%25E4%25BF%25A1%25E6%2581%25AF |
</pre> | </pre> | ||
然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。 | 然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。 | ||
| 第223行: | 第224行: | ||
yOahq5m0YjDDjfjxHaXEsW9D+X0= | yOahq5m0YjDDjfjxHaXEsW9D+X0= | ||
</pre> | </pre> | ||
| − | + | 接下来就可以通过HTTP发送请求,生成的HTTP header如下: | |
<pre> | <pre> | ||
OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="yOahq5m0YjDDjfjxHaXEsW9D%2BX0%3D", oauth_version="1.0" | OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="yOahq5m0YjDDjfjxHaXEsW9D%2BX0%3D", oauth_version="1.0" | ||
| 第255行: | 第256行: | ||
"location": "\u5317\u4eac \u6d77\u6dc0\u533a", | "location": "\u5317\u4eac \u6d77\u6dc0\u533a", | ||
"name": "huchao", | "name": "huchao", | ||
| − | " | + | "profile_image_URL": "http://tp2.sinaimg.cn/1642466141/50/1285424071", |
"province": "11", | "province": "11", | ||
"screen_name": "huchao", | "screen_name": "huchao", | ||
"statuses_count": 209, | "statuses_count": 209, | ||
| − | " | + | "URL": "http://tuoniao.org", |
"verified": false | "verified": false | ||
} | } | ||
2010年12月13日 (一) 11:20的最后版本
目录 |
概述
为了使用新浪微博开放平台提供的API(应用程序接口),你需要先注册一个应用。我们会给每一个应用一个专属的App Key和App Secret。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似,你可以使用你所熟悉的编程语言将key和secret结合,为你发出的每个请求添加签名,以此来向新浪微薄开放平台表明自己身份的合法性。
Web应用应该使用完整的OAuth认证方式来进行用户授权。桌面以及移动用户则推荐使用xAuth认证机制。当然,桌面和移动应用也可以使用Basic Auth,一种简单的通过用户名密码的方式来进行认证的方式,具体的说明可以参见授权机制说明页面中相关的部分。
新浪微博开放平台使用的是OAuth 1.0a 版本。
OAuth基本流程简介
OAuth请求循环可以分为如下四步:
OAuth提供两种认证方式:query-string和HTTP headers。我们推荐使用HTTP headers进行认证。
请求签名
所有的OAuth请求使用同样的算法来生成签名字符基串(Signature Base String)和签名。
Base String是把HTTP方法名,请求URL以及请求参数用“&”字符连起来后做URL Encode编码。具体来讲,Base String由HTTP方法名,之后是&,接着是过URL Encode编码之后的URL和访问路径及“&”符号。接下来,把所有的请求参数包括POST方法体中的参数,经过排序(按参数名进行文本排序,如果参数名有重复则再安参数值进行重复项目排序),使用%3D替代=号,并且使用%26作为每个参数之间的分隔符,拼接成一个字符串。
这个算法可以简单表示为:
HTTPMethod + "&" +
URL_encode( base_uri ) + "&" +
sorted_query_params.each { | k, v |
URL_encode ( k ) + "%3D" +
URL_encode ( v )
}.join("%26")
无论生成何种OAuth1.0请求,生成Base String的规则始终不变。
新浪微博要求所有的OAuth请求都使用HMAC-SHA1算法生成签名。
获取Request Token
获取Request Token是进行用户认证的第一步。这一步主要有两个目的:
第一,告诉新浪微博你将要做什么
第二,告诉新浪微博你在callback里要做什么
新浪微博开放平台的Request Token获取接口地址为:http://api.t.sina.com.cn/oauth/request_token
下面举个例子,以下是请求用的参数:
consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98" oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11 oauth_consumer_key - GDdmIQH6jhtmLUypg82g oauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk oauth_signature_method - HMAC-SHA1 oauth_timestamp - 1272323042 oauth_version - 1.0
首先,用上文提到的算法形成Base String。需要注意的是callback在URL中包含请求参数,由于参数只CALLBACK URL的一部分,所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的Base String如下:
POST&http%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Frequest_token&oauth_callback%3Dhttp%253A%252F%252Flocalhost%253A3005%252Fthe_dance%252Fprocess_callback%253Fservice_provider_id%253D11%26oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DQP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323042%26oauth_version%3D1.0
注:由于我们是为了请求一个Request Token和一个Request Token Secret,所以还未获取到oauth_token和oauth_token_secret,所以我们的Base String里没有包含oauth_token和oauth_token_secret。
接下来我们就可以使用Signing Key(即App Secret后加一个&符)经HMAC-SHA1算法从Base String生成OAuth签名(oauth_signature):
8wUi7m5HFQy76nowoCThusfgB+Q=
接下来就可以向http://api.t.sina.com.cn/oauth/request_token 发送请求。生成的HTTP header如下:
OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", oauth_callback="HTTP%3A%2F%2Flocalhost%3A3005%2Fthe_dance%2Fprocess_callback%3Fservice_provider_id%3D11", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323042", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_signature="8wUi7m5HFQy76nowoCThusfgB%2BQ%3D", oauth_version="1.0"
当服务器端接到请求之后,会返回包含oauth_token,oauth_token_secret等内容,另外oauth_callback_confirmed字段如果为true就表示callback生效。服务器端的响应如下:
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true
这时需要将oauth_token和oauth_token_secret记下,我们需要用这个参数来获取Access Token。
用户认证
这一步主要是发送你获取的oauth_token,并且获得用户的授权。一般来说,WEB应用会简单的重定向到相应的页面,桌面应用程序会给出URL并要求用户自行验证.
新浪微博开放平台的验证URL是http://api.t.sina.com.cn/oauth/authorize。要求必须以oauth作为参数,一般来说请求格式如下:
http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc
如果用户没有登录新浪微博,则会要求用户登录。否则将会出现一个页面,用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后,Web应用页面将会重定向至你指定的oauth_callback,如果是桌面应用,将会显示PIN码,用户需要将PIN码输入你的应用中来完成授权过程。
如果使用了callback,那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下:
oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY
获取Access Token
新浪微博开放平台Access Token请求地址为:http://api.t.sina.com.cn/oauth/access_token
以下是请求参数列表:
oauth_consumer_key - GDdmIQH6jhtmLUypg82g
oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8
oauth_signature_method - HMAC-SHA1
oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc
oauth_timestamp - 1272323047
oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY
oauth_version - 1.0
oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA
第一步,准备Base String(使用上文提到的方法)
POST&HTTPs%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Faccess_token&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323047%26oauth_token%3D8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0
接着将consumer_secret和oauth_token_secret连接起来,中间用&分割(这是准备密钥的方法,下面还会用到):
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA
生成的OAuth签名如下:
PUw/dHA4fnlJYM6RhXk5IU/0fCc=
然后向给定的URL发送请求,请求头部一定要包含Request Token,request头部如下:
OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0"
新浪微博开放平台会返回应用需要的信息,包括用户名,oauth_token/oaut_token_secret(当然这里就是Access Token了)。 response内容如下:
oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&user_id=819797&screen_name=openapi
现在就可以使用Access Token来发布信息了。
获取用户信息
新浪微博开放平台用户验证的请求地址为:
http://api.t.sina.com.cn/account/verify_credentials.xml
或
http://api.t.sina.com.cn/account/verify_credentials.json
接下来,就可以进行用户验证(如果验证成功,将会返回用户的详细信息)了。以下是进行用户验证的相关参数:
oauth_consumer_key - GDdmIQH6jhtmLUypg82gる oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y oauth_signature_method - HMAC-SHA1 oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw oauth_timestamp - 1272325550 oauth_version - 1.0
使用Base String生成算法:
POST&HTTPs%3A%2F%2Fapi.t.sina.com.cn%2Faccount%2Fverify_credentials.json&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0
然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。
key如下:
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA
生成的签名如下:
ICuKVLKetCO4axEppJBqOofFg/A=
接下来就可以通过HTTP发送请求,生成的HTTP header如下:
OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg%2FA%3D", oauth_version="1.0"
响应如下:
{
"id":1642466141,
"screen_name":"huchao",
"name":"huchao",
"province":"11",
"city":"8",
"location":"北京 海淀区",
"description":"Blogger,苹果迷,Google粉。",
"url":"http://tuoniao.org",
"profile_image_url":"http://tp2.sinaimg.cn/1642466141/50/1281523744",
"domain":"westy",
"gender":"m",
"followers_count":65,
"friends_count":59,
"statuses_count":139,
"favourites_count":1,
"created_at":"Fri Aug 28 00:00:00 +0800 2009",
"following":false,
"allow_all_act_msg":false,
"geo_enabled":false,
"verified":false,
"status":{
"created_at":"Tue Sep 14 15:16:49 +0800 2010",
"id":2617110512,
"text":"请叫我杂务小队长[奥特曼] 哔哔哔哔~~~~~~(呼唤动感超人的表情)",
"source":"<a href=\"http://t.sina.com.cn\" rel=\"nofollow\">新浪微博</a>",
"favorited":false,
"truncated":false,
"in_reply_to_status_id":"",
"in_reply_to_user_id":"",
"in_reply_to_screen_name":"",
"geo":null
}
}
小提示
以下是新浪微薄开放平台团队在OAuth使用上的一些经验总结,希望能够让你更好的使用新浪微博的OAuth认证。
- 使用基于HTTP-header的OAuth
- 使用ssl - 对于所有的OAuth认证的步骤都使用SSL加密
- 使用api.t.sina.com.cn - 而非t.sina.com.cn
- 始终使用显式oauth_callback - 一般来说应用程序使用默认的callback地址,但是我们建议每次请求都显式声明callback(在请求中指定callback). 通过动态设定callback,你可以获取一些有用的附加的信息.如果是使用PIN码的话,callback应该是"oob".
使用OAuth发表微博
接下来,就可以使用获取的oauth_token和oauth_token_secret来发送微博了。发微博可以通过Statuses/update接口,以下是相关参数:
- POST body - status=通过OAuth发送微博信息
- oauth_consumer_key - GDdmIQH6jhtmLUypg82g
- oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y
- oauth_signature_method - HMAC-SHA1
- oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw
- oauth_timestamp - 1272325550
- oauth_version - 1.0
接下来依然使用上文提到的Base String算法生成Base String如下:
POST&HTTP%3A%2F%2Fapi.t.sina.com.cn%2Fstatuses%2Fupdate.json&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DoElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_version%3D1.0%26status%3D%25E9%2580%259A%25E8%25BF%2587OAuth%25E5%258F%2591%25E9%2580%2581%25E5%25BE%25AE%25E5%258D%259A%25E4%25BF%25A1%25E6%2581%25AF
然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。 key如下:
MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA
生成的签名如下:
yOahq5m0YjDDjfjxHaXEsW9D+X0=
接下来就可以通过HTTP发送请求,生成的HTTP header如下:
OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="yOahq5m0YjDDjfjxHaXEsW9D%2BX0%3D", oauth_version="1.0"
服务器端的响应如下:
{
"created_at": "Mon Oct 11 12:00:16 +0800 2010",
"favorited": false,
"geo": null,
"id": 3034670049,
"in_reply_to_screen_name": "",
"in_reply_to_status_id": "",
"in_reply_to_user_id": "",
"source": "<a href=\"http://open.t.sina.com.cn\" rel=\"nofollow\">\u5fae\u535a\u5f00\u653e\u5e73\u53f0\u63a5\u53e3</a>",
"text": "\u901a\u8fc7OAuth\u53d1\u9001\u5fae\u535a\u4fe1\u606f",
"truncated": false,
"user": {
"allow_all_act_msg": false,
"city": "8",
"created_at": "Fri Aug 28 00:00:00 +0800 2009",
"description": "Blogger\uff0c\u82f9\u679c\u8ff7\uff0cGoogle\u7c89\u3002",
"domain": "westy",
"favourites_count": 1,
"followers_count": 83,
"following": false,
"friends_count": 56,
"gender": "m",
"geo_enabled": true,
"id": 1642466141,
"location": "\u5317\u4eac \u6d77\u6dc0\u533a",
"name": "huchao",
"profile_image_URL": "http://tp2.sinaimg.cn/1642466141/50/1285424071",
"province": "11",
"screen_name": "huchao",
"statuses_count": 209,
"URL": "http://tuoniao.org",
"verified": false
}
}
OAuth库和资源
- ActionScript/Flash
- oauth-as3 http://code.google.com/p/oauth-as3/
- A flex oauth client http://www.arcgis.com/home/item.html?id=ff6ffa302ad04a7194999f2ad08250d7
- C/C++
- QTweetLib http://github.com/minimoog/QTweetLib
- libOAuth http://liboauth.sourceforge.net/
- clojure
- clj-oauth http://github.com/mattrepl/clj-oauth
- .net
- oauth-dot-net http://code.google.com/p/oauth-dot-net/
- DotNetOpenAuth http://www.dotnetopenauth.net/
- Erlang
- erlang-oauth http://github.com/tim/erlang-oauth
- java
- Scrible http://github.com/fernandezpablo85/scribe-java
- oauth-signpost http://code.google.com/p/oauth-signpost/
- javascript
- oauth in js http://oauth.googlecode.com/svn/code/javascript/
- Objective-C/Cocoa & iPhone programming
- OAuthCore http://bitbucket.org/atebits/oauthcore
- MPOAuthConnection http://code.google.com/p/mpoauthconnection/
- Objective-C OAuth http://oauth.googlecode.com/svn/code/obj-c/
- Perl
- Net::OAuth http://oauth.googlecode.com/svn/code/perl/
- PHP
- tmhOAuth http://github.com/themattharris/tmhOAuth
- oauth-php http://code.google.com/p/oauth-php/
- Python
- python-oauth2 http://github.com/brosner/python-oauth2
- Qt
- Ruby
- Oauth ruby gem http://oauth.rubyforge.org/
- Scala
- DataBinder Dispatch http://dispatch.databinder.net/About
文档更新时间: 2010-12-13
