OAuth的原理认证流程及访问资源流程
OAuth的原理认证流程及访问资源流程
腾讯微博API通过以下四个步骤来完成认证授权并访问或修改受限资源的流程
- 1.获取未授权的Request Token(temporary credentials)
- 2.请求用户授权Request Token
- 3.使用授权后的Request Token换取Access Token(token credentials)
- 4.使用 Access Token 访问或修改受保护资源
其中1~3步使用https方式, 第4步使用http方式。
请求签名说明
所有TOKEN请求和受保护的资源请求必须被签名,微博开放平台会根据签名来判断请求的合法性。签名算法使用Signature Base String和密钥(Secret)生成签名,参数oauth_signature用于指定签名。
说明:
Signature Base String由以下三部分组成,各项之间使用&符号分隔。
1、Http Method
请求方法,GET/POST
2、URL Encode之后的请求URL(URL要小写)
例如:
请求URL:https://open.t.qq.com/cgi-bin/request_token
经URL Encode之后的请求URL为:
https%3A%2F%2Fopen.t.qq.com%2Fcgi-bin%2Frequest_token
3、URL Encode并排序之后的请求参数
例如: URL请求参数为:
oauth_callback=www.qq.com&oauth_consumer_key=49b0bes7352943a1a5609f9e30346201&oauth_nonce=90523669&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1298513816&oauth_version=1.0
经URL Encode并排序之后的请求参数格式如下(参数间使用%26(即&符号)分隔):
oauth_callback%3Dwww.qq.com%26oauth_consumer_key%5D49b0bes7352943a1a5609f9e30346201%26oauth_nonce%3D90523669%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1298513816%26oauth_version%3D1.0
算法伪码:
httpMethod + "&" + url_encode( base_uri ) + "&" + sorted_query_params.each { | k, v | url_encode ( k ) + "%3D" + url_encode ( v ) }.join("%26")
密钥由App Secret和Token Secret组成(中间使用&符号分隔)
签名算法目前只支持HMAC-SHA1。
获取未授权的Request Token
通过访问以下 URL 获取未授权的 Request Token
https://open.t.qq.com/cgi-bin/request_token
请求参数
参数 | 意义 |
---|---|
oauth_consumer_key | App Key(应用信息中的App Key值) |
oauth_signature_method | 签名方法,暂只支持HMAC-SHA1 |
oauth_signature | 签名值,密钥为:App Secret。计算说明。 |
oauth_timestamp | 时间戳, 其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数 |
oauth_nonce | 单次值,随机生成的32位字符串,防止重放攻击(每次请求必须不同) |
oauth_callback | 认证成功后浏览器会被重定向到这个url中 |
oauth_version(可选) | 版本号,如果有必须为“1.0” |
返回参数
参数 | 意义 |
---|---|
oauth_token | 未授权的Request Token |
oauth_token_secret | 对应的Request Token Secret |
oauth_callback_confirmed | 对oauth_callback的确认信号 |
说明:
① 用户授权后web应用将会重定向到oauth_callback。当应用为pc客户端或手机客户端应用时,没有回调url(oauth_callback)的概念,此时设置为字符串null即可。字符串“null”必须是小写。
② 时间戳与标准时间偏差不得大于8分钟。
示例:
request_token
https://open.t.qq.com/cgi-bin/request_token?oauth_callback=null&oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=yQDMuXvdcEfQs2Mzf3XcT1r36WTULJls&oauth_signature=exxzU/tTbpdicmYHcyYh5kqgYgo=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569145&oauth_version=1.0
参数名 | 参数值 |
---|---|
oauth_consumer_key | aca77d2eb96f46e1b3353bc6743e8bfc |
oauth_signature_method | HMAC-SHA1 |
oauth_signature | exxzU/tTbpdicmYHcyYh5kqgYgo= |
oauth_timestamp | 1299569145 |
oauth_nonce | yQDMuXvdcEfQs2Mzf3XcT1r36WTULJls |
oauth_callback | null |
oauth_version | 1.0 |
返回结果:
oauth_token=hdk48Djdsa&oauth_token_secret=xyz4992k83j47x0b&oauth_callback_confirmed=true
参数名 | 参数值 |
---|---|
oauth_token | hdk48Djdsa |
oauth_token_secret | xyz4992k83j47x0b |
oauth_callback_confirmed | true |
请求用户授权Request Token
此步骤的目的是请求用户授权Request Token,请求URL:
https://open.t.qq.com/cgi-bin/authorize
请求参数:
参数 | 意义 |
---|---|
oauth_token | 上一步中获得的未授权的Request Token |
返回参数:
参数 | 意义 |
---|---|
oauth_token | 用户授权之后的Token值,与未授权Token值相同。 |
oauth_verifier | 验证码 |
说明:
①此页面中会要求用户登陆,然后选择同意或者拒绝对应用授权。
②授权成功后:
- A: web应用会重定向到oauth_callback所指定的URL(含返回参数)。
- B: 客户端应用(oauth_callback=null)会在网页中给出授权码,用户需要手工将验证码输入到应用中才能完成授权流程。
示例:
参数 | 意义 |
---|---|
oauth_token | hdk48Djdsa |
oauth_verifier | 473f82d3 |
oauth_token=hdk48Djdsa&oauth_verifier=473f82d3
使用授权后的Request Token换取Access Token
用户完成授权后,第三方应用可以通过访问如下url,将已授权的Request Token换取Access Token。Access Token将被用于访问或修改受限资源。
https://open.t.qq.com/cgi-bin/access_token
请求参数:
参数 | 意义 |
---|---|
oauth_consumer_key | AppKey |
oauth_token | 第一步中获得的Request Token |
oauth_signature_method | 签名方法,暂只支持HMAC-SHA1 |
oauth_signature | 签名值,密钥为:App Secret&Request Token Secret。计算说明。 |
oauth_timestamp | 时间戳, 其值是距1970 00:00:00 GMT的秒数,必须是大于0的整数 |
oauth_nonce | 单次值,随机生成的32位字符串,防止重放攻击(每次请求必须不同) |
oauth_verifier | 上一步请求授权request token时返回的验证码 |
oauth_version(可选) | 版本号,有的话必须为“1.0” |
返回参数:
参数 | 意义 |
---|---|
oauth_token | Access Token |
oauth_token_secreate | Access Token Secret |
说明:
- ①本步骤用于签名的密钥为App Secret和Request Token Secret(中间使用&分隔)
- ②获得返回值后就可以使用Access Token来访问资源了。
- ③Access Token和Access Token Secret永远不会过期,直到用户撤销应用授权或腾讯回收您的app访问权限才会失效。
用于签名的Signature Base String格式如下:
示例:access_token:
https://open.t.qq.com/cgi-bin/access_token?oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=y2FrX7Muouma5vxWTKngEb7uHkRu4P5u&oauth_signature=209vcEaHkmb/QwHqsRU3HRPvlqw=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569210&oauth_token=6b99583b7bc8446bb57e86128158994f&oauth_verifier=877973&oauth_version=1.0
参数 意义 oauth_consumer_key aca77d2eb96f46e1b3353bc6743e8bfc oauth_token 6b99583b7bc8446bb57e86128158994f oauth_signature_method HMAC-SHA1 oauth_signature 209vcEaHkmb/QwHqsRU3HRPvlqw= oauth_timestamp 1299569210 oauth_nonce y2FrX7Muouma5vxWTKngEb7uHkRu4P5u oauth_verifier 877973 oauth_version(可选) 1.0 返回结果:
oauth_token=nnch734d00ls2jdk&oauth_token_secreate=pdkkdhi9sl3r4s00
参数 意义 oauth_token oauth_token_secreate nnch734d00ls2jdk pdkkdhi9sl3r4s00 至此,您的应用就取得了用户的授权,请妥善保管获得的Access Token和Access Token Secret。
此后,您的应用就可以使用该Access Token访问腾讯微博了。
使用Access Token访问腾讯微博
获得Access Token之后,您的应用就可以使用该Access Token访问腾讯微博。
在每次调用接口API时,请求都必须包含以下参数:
参数 意义 oauth_consumer_key AppKey oauth_token Access Token oauth_signature_method 签名方法,暂只支持HMAC-SHA1 oauth_signature 签名值,密钥为:App Secret&Access Token Secret。计算说明。 oauth_timestamp 时间戳 oauth_nonce 单次值 示例:
调用API:http://open.t.qq.com/api/t/add 发布一条微博:
参数包括:
1)接口参数:content和format;
2)OAuth协议参数参数 参数值 content %E6%9D%A5%E8%87%AA%23weibo_SDK%23%E7%9A%84%E6%B5%8B%E8%AF%95%E6%B6%88%E6%81%AF%EF%BC%81 format json oauth_consumer_key aca77d2eb96f46e1b3353bc6743e8bfc oauth_nonce Tld5QvrtTlRJvaSWPlCC7DIXxnTBeumD oauth_signature JuPSe7ibf0uPECp4HcX4Fu9y3l0= oauth_signature_method HMAC-SHA1 oauth_timestamp 1299569293 oauth_token b8c8f1a888ea4f2887eac88787b6e895 oauth_version 1.0 post:
http://open.t.qq.com/api/t/add?content=%E6%9D%A5%E8%87%AA%23weibo_SDK%23%E7%9A%84%E6%B5%8B%E8%AF%95%E6%B6%88%E6%81%AF%EF%BC%81&format=json&oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=Tld5QvrtTlRJvaSWPlCC7DIXxnTBeumD&oauth_signature=JuPSe7ibf0uPECp4HcX4Fu9y3l0=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569293&oauth_token=b8c8f1a888ea4f2887eac88787b6e895&oauth_version=1.0