授权机制

最近想写新浪的微博应用，中间用到的东西记录一下，方便以后使用。 授权机制： 大部分REST API的访问如发表微博，获取私信都需要用户身份。目前用户身份鉴权有OAuth和Basic Auth两种方式。 1.Basic Access Authentication：直接看http://zh.wikipedia.org/zh-cn/HTTP基本认证吧。 在你访问一个需要HTTP Basic Authentication的URL的时候，如果你没有提供用户名和密码，服务器就会返回401，如果你直接在浏览器中打开，浏览器会提示你输入用户名和密码(google浏览器不会，bug？)。你可以尝试点击这个url看看效果：http://api.minicloud.com.cn/statuses/friends_timeline.xml 要在发送请求的时候添加HTTP Basic Authentication认证信息到请求中，有两种方法：

• 一是在请求头中添加Authorization： Authorization: "Basic 用户名和密码的base64加密字符串"
• 二是在url中添加用户名和密码： http://userName:password@api.minicloud.com.cn/statuses/friends_timeline.xml

下面来看下对于第一种在请求中添加Authorization头部的实现代码： [php]<?php $fp = fsockopen("www.mydomain.com",80); fputs($fp,"GET /downloads HTTP/1.0"); fputs($fp,"Host: www.mydomain.com"); fputs($fp,"Authorization: Basic " . base64_encode("user:pass") . ""); fpassthru($fp); ?>[/php] 2.OAuth：是一种国际通用的授权方式，它的特点是不需要用户在第三方应用输入用户名及密码。OAuth的技术说明可参看官方网站http://oauth.net (英文)。 OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息，而不需要分享他们的访问许可或他们数据的所有内容。 OAUTH认证授权就三个步骤，三句话可以概括： 1. 获取未授权的Request Token 2. 获取用户授权的Request Token 3. 用授权的Request Token换取Access Token