oauth简介

from：http://www.minroad.com/?p=351

貌似现在一接触到网络客户端编程，第一个要解决的问题就是oauth/xauth，那么就先从这个说起。

再好的某个sns网站的库，我感觉都没有自己封装的用的顺，所以以下的代码主要介绍google code上的oauth库，并对各大网站做一些简单的介绍。

oauth与xauth的具体原理就不多说了，纯理论，xauth相当于oauth的简化版，省去了oauth中的前2步（3个api中的前2个，获取未授权的token及跳转到网站登录）。

先主要介绍几个类：

OAAsynchronousDataFetcher，OADataFetcher 这2个类是关于nsurlconnection的封装。

OAConsumer其实就是将app key和app secret做的MVC中的M

OAToken与OAConsumer类似，只不过是token相关的（oauth认证中未授权，已授权的token）

OAHMAC_SHA1SignatureProvider 加密算法

OARequestParameter 主要是在http方法为POST的时候添加POST参数用的，我一般用[hmacSha1Request setOAuthParameterName:key withValue:value];代替

OAAsynchronousDataFetcher，OADataFetcher我建议使用异步的，因为做url取消，ssl认证都必须使用异步的（之前同步的可以用私有api，现在被苹果干掉了）。

下面主要介绍一下如何使用这些类

OAConsumer *consumer = [[OAConsumer alloc] initWithKey:sinaAPPKEY secret:sinaAPPSECRET];

这个永远是固定的，把2个参数换成申请sns app时获得的。在之后永远是这个。

创建一个request

加密方法也是固定的（如果一直使用Sha1），如果是第一次访问，那么是没有token的，所以传NULL就可以。获得时间戳和随机字符串的方法在OAMutableURLRequest类中。

OAHMAC_SHA1SignatureProvider *hmacSha1Provider = [[OAHMAC_SHA1SignatureProvider alloc] init];

OAMutableURLRequest *hmacSha1Request = [[OAMutableURLRequest alloc] initWithURL:[NSURLURLWithString:RequestURL]

consumer:consumer

token:NULL

realm:NULL

signatureProvider:hmacSha1Provider

nonce:[self _generateNonce]

timestamp:[self _generateTimestamp]];

发送请求

OAAsynchronousDataFetcher *loginFetcher =

[[OAAsynchronousDataFetcher alloc] initWithRequest:request

delegate:self

didFinishSelector:@selector(requestTokenTicket:finishedWithData:)

didFailSelector:@selector(requestTokenTicket:failedWithError:)];

[loginFetcher start];

这时就可以等待selector返回数据，然后token就可以

NSString *responseBody = [[NSString alloc] initWithData:data

encoding:NSUTF8StringEncoding];

OAToken *token = [[OAToken alloc] initWithHTTPResponseBody:responseBody];

这样获得。

然后就是讲如何区别POST和GET，并传参。

GET好说，直接在URL后面拼接。

而POST，就像我之前说的2种方法

[hmacSha1Request setOAuthParameterName:key withValue:value];

和

[hmacSha1Request setParameters:[NSArray arrayWithObjects:[[OARequestParameter alloc]initWithName:key value:value],nil]];

上传图片的时候会遇到“图片不参数加密”类似的提示，那么这时候你就只要先生成request，之后把pic data setHTTPBody一下就可以了。（pic data我是用的模拟http的方法，不知直接传data有用不）

现在区别一下各大sns认证的不同（主要在于回调URL）

douban,sina的回调URL是在获得了未授权的token之后，跳转到网页的URL以get的方式传过去的oauth_callback。

sina特有oauth_verifier，该加的时候别忘了加上，否则会提示加密错误。

而twitter则在第一次获取未授权的token的request上添加POST参数oauth_callback