OAuth简介及sina微博开放平台

 OAuth简介及sina微博开放平台
2010-10-26 13:15:25
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://haolloyin.blog.51cto.com/1177454/410776

 之前就在新浪微博中创建了一个应用,获得了 App key 和 Secret key 以便去调用新浪微博开放平台 API学习一下到底是怎样一回事。前几天连续4天没课,算是比较耐心地去尝试弄明白怎样使用API 。 

 

 

虽然新浪微博开放平台中提供各种语言版本的开发 SDK 下载,也各自附有一些基本接口调用的Demo 和接口说明文档。但是这几天的耐心尝试之后,感觉新浪微博开放平台上的入门指导和下载到的Java 开发包 weibo4j 包里面的 Demo 使用注释有些不一致。再加上自身领悟能力有限,导致遇到好些摸不着头脑的难题。不过幸好没有放弃去尝试弄懂它。废话少说,下面是我学习的过程。 

 

 

想要通过调用新浪微博开放平台 API 开发自己的微博应用,第一步是拥有sina 微博账号和CSDN账号,因为我们要同时用这两个账号创建微博应用,以此获得 App key 和 Secret key 。那 App key和 Secret key 有什么用? 

 

其实我单单看了sina 微博开放平台的一系列说明都不怎么理解App key 和 Secret key 有啥用。因为更加重点是必须理解 OAuth 认证、授权的整个流程,以及在整个OAuth 认证、授权流程中好几个Token 、4个 URL的作用。 

 

刚开始遇到完全没个概念的 OAuth 时,以为就没戏学习不下去了。好在搜到下面这些文章,对于理解 OAuth 非常有帮助,链接如下: 

OAUTH协议简介

基于 OAuth 安全协议的 Java 应用编程

在Twitter应用中使用OAuth 

在 OAuth 中有3个参与者,分别是 User 、Service Provider 、Consumer 。假设我要开发一个基于 sina 微博开放平台的应用(App),供其他 sina 微博用户使用。它们的对应关系如下: 

User  =>  想要使用此App的sina微博用户

Provider  =>  sina微博开放平台

Consumer  =>  App 

其实我们这个 App 对于 User 和 Provider(sina微博平台)来说,相当于一个第三方应用。作为第三方的 App 想要访问 User保存于 sina微博平台中的资源,肯定必须经过一系列认证和授权之后才能够行得通。 

 

下面是基于我对整个 OAuth 认证、授权流程的理解画成的图(可以看一下跳过,当对后面的一些概念有一定理解之后再回头看看这流程图):

650) this.width=650;" onsubmit="" onchange="" onunload="" onselect="" onreset="">

结合上面的流程图,下面是我对这些术语的理解以及各个流程的描述: 

Consumer key Consumer Secret :在sina 微博开放平台分别称为 App key、Secret key。Consumer向 Provider 申请希望能够调用其开放 API,申请通过后由 Provider 分配给符合其要求的 Consumer ,用于唯一标识该 Consumer 符合 Provider 的要求。

对应于上图的流程 1 和 2。 

 

Request Token Request Secret :当 User 访问 Consumer 并希望能够获得其特殊服务,该服务由 Consumer 对 User 自身存放在 Provider 中的资源进行整合操作之后返回。此时 Consumer向 Provider 请求获得 Requst Token,用于唯一标识该 Consumer 与该 User 的特定关联。

对应于上图的流程 3 、4 、5。 

 

至流程 6 ,Consumer 必须把 User 引导到Provider所提供的 OAuth 认证、授权页面,其实就是浏览器重定向到附加有 Request Token 和 Request Secret 参数的 authenticationURL。该 URL由 Provider 提供。 

 

接下来流程 7 和 8 中 User 授权该 Consumer(一般是通过输入账号、密码登录而已),则Provider 将重定向到流程 1 中 Consumer 提供的 Callback_URL ,并且在该 URL 参数中附加了OAuth Token 和OAuth Verifier 。

 

流程 9 是 Consumer 通过之前已从 Provider 那里获取来的 Request Token 再次请求 Provider以获取 Access Token 。 

 

Access Token  Access Secret :若流程 10 中 Provider 返回一个未经 User 授权的Access Token ,它用于唯一标识特定 Consumer 可以访问某 User 存放在 Provider 中的资源、信息。那么 Consumer 就可以开始使用获取到的 Access Token 和 Access Secret 访问对应 User 存放在 Provider 中的资源。 

经过流程 11 中对 User 信息的整合、操作之后,就可以将特定的服务结果返回给 User 了。

 

通过上面对于 OAuth 流程的理解,我们知道其实 User 完全没有将自己登录 Provider 所需的账号、密码等泄露给第三方的 Consumer 。同时 User 又能使用到 Consumer 的特殊服务。真是很巧妙的而又安全的操作流程啊!      

       此外,上图中 Consumer 有 3 次与 Provider 发出不同的请求,其实就是由 Provider 提供3 个不同作用的 URL 给 Consumer 访问。在 sina 微博开放平台中这 3 个 URL 的截图如下:

650) this.width=650;" onsubmit="" onchange="" onunload="" onselect="" onreset="">

650) this.width=650;" onsubmit="" onchange="" onunload="" onselect="" onreset="">650) this.width=650;" onsubmit="" onchange="" onunload="" onselect="" onreset="">

 

 

小结: 

1、以上对于 OAuth 的流程理解非常有可能存在误解,因为我更多的是根据 sina 微博开发包weibo4j 中的代码的理解,以及动手做测试总结出来的。当然,上面那些文章包括 sina 微博的部分API 文档我都看了好几遍了…希望若发现错误,请指正一下,谢谢! 

2、光是一些理论知识的理解还不够,要动手操作实现一下,下一篇文章应该就会给出实际代码了。

 

 

本文出自 “蚂蚁” 博客,请务必保留此出处http://haolloyin.blog.51cto.com/1177454/410776

posted on 2013-07-25 14:59  尸香魔芋2013  阅读(199)  评论(0编辑  收藏  举报