OAuth 学习笔记

OAuth基本流程简介（以新浪微薄为例）

OAuth请求循环可以分为如下四步：

OAuth提供两种认证方式：query-string和http headers。我们推荐使用http header进行认证。

请求签名

所有的OAuth请求使用同样的算法来生成(signature base string)签名字符基串和签名。

base string是把http方法名,请求URL以及请求参数用&字符连起来后做URL Encode编码。具体来讲，base string由http方法名，之后是&，接着是过url编码(url-encoded)之后的url和访问路径及&。接下来，把所有的请求参数包括POST方法体中的参数，经过排序(按参数名进行文本排序，如果参数名有重复则再安参数值进行重复项目排序)，使用%3D替代=号，并且使用%26作为每个参数之间的分隔符，拼接成一个字符串。

httpMethod + "&" +  url_encode(  base_uri ) + "&" +  sorted_query_params.each  { | k, v |      url_encode ( k ) + "%3D" +      url_encode ( v )  }.join("%26"

无论生成何种OAuth1.0请求,生成BASE STRING的规则始终不变。

新浪微博要求所有的OAuth请求都使用HMAC-SHA1算法生成签名。

获取request token

获取request token是进行用户认证的第一步。这一步主要有两个目的：

第一，告诉新浪微博你将要做什么

第二，告诉新浪微博你在callback里要做什么

新浪微博开放平台的request token获取接口地址为：http://api.t.sina.com.cn/oauth/request_token

下面举个例子，以下是请求用的参数：

consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98"oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11oauth_consumer_key - GDdmIQH6jhtmLUypg82goauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqkoauth_signature_method - HMAC-SHA1oauth_timestamp - 1272323042oauth_version - 1.0

第一步，用上文提到的算法形成BASE STRING。需要注意的是callback在URL中包含请求参数，由于参数只CALLBACK URL的一部分，所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的BASE STRING如下:

POST&https%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Frequest_token&oauth_callback%3Dhttp%253A%252F%252Flocalhost%253A3005%252Fthe_dance%252Fprocess_callback%253Fservice_provider_id%253D11%26oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3DQP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323042%26oauth_version%3D1.0

由于我们还未获取到oauth_token和oauth_token_secret，所以我们的BASE STRING里没有包含oauth_token和oauth_token_secret。

接下来使用signing key(App Secret后加一个&符)从base string生成oauth_signature：

8wUi7m5HFQy76nowoCThusfgB+Q=

接下来就可以向http://api.t.sina.com.cn/oauth/request_token 发送请求。生成的http header如下:

OAuth oauth_nonce="QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk", oauth_callback="http%3A%2F%2Flocalhost%3A3005%2Fthe_dance%2Fprocess_callback%3Fservice_provider_id%3D11", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323042", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_signature="8wUi7m5HFQy76nowoCThusfgB%2BQ%3D", oauth_version="1.0"

当服务器端接到请求之后，会返回包含oauth_token,oauth_token_secret等内容，另外oauth_callback_confirmed字段如果为true就表示callback生效。服务器端的响应如下:

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_token_secret=x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA&oauth_callback_confirmed=true

这时需要将oauth_token和oauth_token_secret记下，我们需要用这个参数来获取access token。

用户认证

这一步主要是发送你获取的oauth_token，并且获得用户的授权。一般来说，WEB应用会简单的重定向到相应的页面,桌面应用程序会给出URL并要求用户自行验证.

新浪微博开放平台的验证URL是http://api.t.sina.com.cn/oauth/authorize 。要求必须以oauth作为参数,一般来说请求格式如下:

http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc

如果用户没有登录新浪微博，则会要求用户登录。否则将会出现一个页面，用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后，web应用页面将会重定向至你指定的oauth_callback，如果是桌面应用,将会显示PIN码，用户需要将PIN码输入你的应用中来完成授权过程。

如果使用了callback，那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下：

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY

获取access token

新浪微博开放平台access token请求地址为：http://api.t.sina.com.cn/oauth/access_token

以下是请求参数列表:

  oauth_consumer_key - GDdmIQH6jhtmLUypg82g    oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8    oauth_signature_method - HMAC-SHA1    oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc    oauth_timestamp - 1272323047    oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY    oauth_version - 1.0    oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

第一步,准备base string(使用上文提到的方法)

POST&https%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Faccess_token&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272323047%26oauth_token%3D8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0

接着将consumer_secret和oauth_token_secret连接起来，中间用&分割(这是准备密钥的方法,下面还会用到)：

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

生成的OAuth签名如下：

PUw/dHA4fnlJYM6RhXk5IU/0fCc=

然后向给定的url发送请求,请求头部一定要包含request token，request头部如下：

OAuth oauth_nonce="9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272323047", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc", oauth_verifier="pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY", oauth_signature="PUw%2FdHA4fnlJYM6RhXk5IU%2F0fCc%3D", oauth_version="1.0"

新浪微博开放平台会返回应用需要的信息，包括用户名，oauth_token/oaut_token_secret(当然这里就是access token了)。 response内容如下：

oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA&user_id=819797&screen_name=openapi

现在就可以使用access token来发布信息了。

获取用户信息

接下来，就可以进行用户验证(如果验证成功，将会返回用户的详细信息)了。以下是进行用户验证的相关参数：

oauth_consumer_key - GDdmIQH6jhtmLUypg82gるoauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Yoauth_signature_method - HMAC-SHA1oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimwoauth_timestamp - 1272325550oauth_version - 1.0

使用BASE STRING生成算法：

POST&http%3A%2F%2Fapi.t.sina.com.cn%2Faccount%2Fverify_credentials&oauth_consumer_key%3DGDdmIQH6jhtmLUypg82g%26oauth_nonce%3D9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1272325550%26oauth_token%3D819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw%26oauth_verifier%3DpDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY%26oauth_version%3D1.0

然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密，生成签名。

key如下:

MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98&J6zix3FfA9LofH0awS24M3HcBYXO5nI1iYe8EfBA

生成的签名如下:

ICuKVLKetCO4axEppJBqOofFg/A=

接下来就可以通过http发送请求,生成的http header如下:

OAuth oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1272325550", oauth_consumer_key="GDdmIQH6jhtmLUypg82g", oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw", oauth_signature="ICuKVLKetCO4axEppJBqOofFg%2FA%3D", oauth_version="1.0"

响应如下:

{weibo=null, id=1803876591, name='loopa', screenName='loopa', location='北京 海淀区', description='2fBAcRG0]8OGRvp', profileImageUrl='http://tp4.sinaimg.cn/1803876591/50/0', url='', isProtected=false, followersCount=23, statusCreatedAt=Mon Sep 27 13:50:14 CST 2010, statusId=2847344825, statusText='uhYFQJ[', statusSource='<a href="" rel="nofollow">微博开放平台接口</a>', statusTruncated=false, statusInReplyToStatusId=0, statusInReplyToUserId=0, statusFavorited=false, statusInReplyToScreenName='', profileBackgroundColor='', profileTextColor='', profileLinkColor='', profileSidebarFillColor='', profileSidebarBorderColor='', friendsCount=1, createdAt=Fri Aug 27 00:00:00 CST 2010, favouritesCount=0, utcOffset=-1, timeZone='', profileBackgroundImageUrl='', profileBackgroundTile='', following=false, notificationEnabled=false, statusesCount=8509, geoEnabled=false, verified=false}

OAuth库和资源

ActionScript/Flash

oauth-as3 http://code.google.com/p/oauth-as3/

A flex oauth client http://www.arcgis.com/home/item.html?id=ff6ffa302ad04a7194999f2ad08250d7

C/C++

QTweetLib http://github.com/minimoog/QTweetLib

libOAuth http://liboauth.sourceforge.net/

clojure

clj-oauth http://github.com/mattrepl/clj-oauth

.net

oauth-dot-net http://code.google.com/p/oauth-dot-net/

DotNetOpenAuth http://www.dotnetopenauth.net/

Erlang

erlang-oauth http://github.com/tim/erlang-oauth

java

Scrible http://github.com/fernandezpablo85/scribe-java

oauth-signpost http://code.google.com/p/oauth-signpost/

javascript

oauth in js http://oauth.googlecode.com/svn/code/javascript/

Objective-C/Cocoa & iPhone programming

OAuthCore http://bitbucket.org/atebits/oauthcore

MPOAuthConnection http://code.google.com/p/mpoauthconnection/

Objective-C OAuth http://oauth.googlecode.com/svn/code/obj-c/

Perl

Net::OAuth http://oauth.googlecode.com/svn/code/perl/

PHP

tmhOAuth http://github.com/themattharris/tmhOAuth

oauth-php http://code.google.com/p/oauth-php/

Python

python-oauth2 http://github.com/brosner/python-oauth2

Qt

qOauth http://github.com/ayoy/qoauth

Ruby

Oauth ruby gem http://oauth.rubyforge.org/

Scala

DataBinder Dispatch http://dispatch.databinder.net/About