[转载]腾讯微博oauth的原理与认证流程

腾讯微博oauth的原理与认证流程

原文链接地址为http://www.w82.org/archives/915

 

腾讯微博API通过以下四个步骤来完成认证授权并访问或修改受限资源的流程

1 1.获取未授权的Request Token(temporary credentials)

2 2.请求用户授权Request Token

3 3.使用授权后的Request Token换取Access Token(token credentials)

4 4.使用 Access Token 访问或修改受保护资源

其中1~3步使用https方式， 第4步使用http方式。

请求签名说明

所有TOKEN请求和受保护的资源请求必须被签名，微博开放平台会根据签名来判断请求的合法性。签名算法使用Signature Base String和密钥（Secret）生成签名，参数oauth_signature用于指定签名。

 

说明:

Signature Base String由以下三部分组成，各项之间使用&符号分隔。

1、Http Method
请求方法，GET/POST

2、URL Encode之后的请求URL（URL要小写）
例如：
请求URL：https://open.t.qq.com/cgi-bin/request_token
经URL Encode之后的请求URL为：
https%3A%2F%2Fopen.t.qq.com%2Fcgi-bin%2Frequest_token

3、URL Encode并排序之后的请求参数
例如： URL请求参数为：
oauth_callback=www.qq.com&oauth_consumer_key=49b0bes7352943a1a5609f9e30346201&oauth_nonce=90523669&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1298513816&oauth_version=1.0
经URL Encode并排序之后的请求参数格式如下（参数间使用%26(即&符号)分隔）：
oauth_callback%3Dwww.qq.com%26oauth_consumer_key%5D49b0bes7352943a1a5609f9e30346201%26oauth_nonce%3D90523669%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D1298513816%26oauth_version%3D1.0

算法伪码：

httpMethod + "&" + url_encode( base_uri ) + "&" + sorted_query_params.each { | k, v | url_encode ( k ) + "%3D" + url_encode ( v ) }.join("%26")

密钥由App Secret和Token Secret组成（中间使用&符号分隔）
签名算法目前只支持HMAC-SHA1。

获取未授权的Request Token

通过访问以下 URL 获取未授权的 Request Token

https://open.t.qq.com/cgi-bin/request_token

请求参数

参数	意义
oauth_consumer_key	App Key(应用信息中的App Key值)
oauth_signature_method	签名方法，暂只支持HMAC-SHA1
oauth_signature	签名值，密钥为：App Secret。计算说明。
oauth_timestamp	时间戳, 其值是距1970 00:00:00 GMT的秒数，必须是大于0的整数
oauth_nonce	单次值，随机生成的32位字符串，防止重放攻击（每次请求必须不同）
oauth_callback	认证成功后浏览器会被重定向到这个url中
oauth_version(可选)	版本号，如果有必须为“1.0”

返回参数

参数	意义
oauth_token	未授权的Request Token
oauth_token_secret	对应的Request Token Secret
oauth_callback_confirmed	对oauth_callback的确认信号

说明：

① 用户授权后web应用将会重定向到oauth_callback。当应用为pc客户端或手机客户端应用时，没有回调url(oauth_callback)的概念，此时设置为字符串null即可。字符串“null”必须是小写。

② 时间戳与标准时间偏差不得大于8分钟。

示例：

request_token

https://open.t.qq.com/cgi-bin/request_token?oauth_callback=null&oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=yQDMuXvdcEfQs2Mzf3XcT1r36WTULJls&oauth_signature=exxzU/tTbpdicmYHcyYh5kqgYgo=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569145&oauth_version=1.0

参数名	参数值
oauth_consumer_key	aca77d2eb96f46e1b3353bc6743e8bfc
oauth_signature_method	HMAC-SHA1
oauth_signature	exxzU/tTbpdicmYHcyYh5kqgYgo=
oauth_timestamp	1299569145
oauth_nonce	yQDMuXvdcEfQs2Mzf3XcT1r36WTULJls
oauth_callback	null
oauth_version	1.0

返回结果：

oauth_token=hdk48Djdsa&oauth_token_secret=xyz4992k83j47x0b&oauth_callback_confirmed=true

参数名	参数值
oauth_token	hdk48Djdsa
oauth_token_secret	xyz4992k83j47x0b
oauth_callback_confirmed	true

请求用户授权Request Token

此步骤的目的是请求用户授权Request Token，请求URL：

https://open.t.qq.com/cgi-bin/authorize

请求参数:

参数	意义
oauth_token	上一步中获得的未授权的Request Token

返回参数:

参数	意义
oauth_token	用户授权之后的Token值，与未授权Token值相同。
oauth_verifier	验证码

说明：

①此页面中会要求用户登陆，然后选择同意或者拒绝对应用授权。

②授权成功后:

· A: web应用会重定向到oauth_callback所指定的URL（含返回参数）。

· B: 客户端应用(oauth_callback=null)会在网页中给出授权码，用户需要手工将验证码输入到应用中才能完成授权流程。

示例：

参数	意义
oauth_token	hdk48Djdsa
oauth_verifier	473f82d3

oauth_token=hdk48Djdsa&oauth_verifier=473f82d3

使用授权后的Request Token换取Access Token

用户完成授权后，第三方应用可以通过访问如下url，将已授权的Request Token换取Access Token。Access Token将被用于访问或修改受限资源。

https://open.t.qq.com/cgi-bin/access_token

请求参数:

参数	意义
oauth_consumer_key	AppKey
oauth_token	第一步中获得的Request Token
oauth_signature_method	签名方法，暂只支持HMAC-SHA1
oauth_signature	签名值，密钥为：App Secret&Request Token Secret。计算说明。
oauth_timestamp	时间戳, 其值是距1970 00:00:00 GMT的秒数，必须是大于0的整数
oauth_nonce	单次值，随机生成的32位字符串，防止重放攻击（每次请求必须不同）
oauth_verifier	上一步请求授权request token时返回的验证码
oauth_version(可选)	版本号，有的话必须为“1.0”

返回参数:

参数	意义
oauth_token	Access Token
oauth_token_secreate	Access Token Secret

说明：

· ①本步骤用于签名的密钥为App Secret和Request Token Secret(中间使用&分隔)

· ②获得返回值后就可以使用Access Token来访问资源了。

· ③Access Token和Access Token Secret永远不会过期，直到用户撤销应用授权或腾讯回收您的app访问权限才会失效。用于签名的Signature Base String格式如下： 

示例：access_token:

https://open.t.qq.com/cgi-bin/access_token?oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=y2FrX7Muouma5vxWTKngEb7uHkRu4P5u&oauth_signature=209vcEaHkmb/QwHqsRU3HRPvlqw=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569210&oauth_token=6b99583b7bc8446bb57e86128158994f&oauth_verifier=877973&oauth_version=1.0

参数	意义
oauth_consumer_key	aca77d2eb96f46e1b3353bc6743e8bfc
oauth_token	6b99583b7bc8446bb57e86128158994f
oauth_signature_method	HMAC-SHA1
oauth_signature	209vcEaHkmb/QwHqsRU3HRPvlqw=
oauth_timestamp	1299569210
oauth_nonce	y2FrX7Muouma5vxWTKngEb7uHkRu4P5u
oauth_verifier	877973
oauth_version(可选)	1.0

返回结果：

oauth_token=nnch734d00ls2jdk&oauth_token_secreate=pdkkdhi9sl3r4s00

参数	意义
oauth_token	oauth_token_secreate
nnch734d00ls2jdk	pdkkdhi9sl3r4s00

至此，您的应用就取得了用户的授权，请妥善保管获得的Access Token和Access Token Secret。

此后，您的应用就可以使用该Access Token访问腾讯微博了。

使用Access Token访问腾讯微博

获得Access Token之后，您的应用就可以使用该Access Token访问腾讯微博。

在每次调用接口API时，请求都必须包含以下参数：

参数	意义
oauth_consumer_key	AppKey
oauth_token	Access Token
oauth_signature_method	签名方法，暂只支持HMAC-SHA1
oauth_signature	签名值，密钥为：App Secret&Access Token Secret。计算说明。
oauth_timestamp	时间戳
oauth_nonce	单次值

示例：

调用API：http://open.t.qq.com/api/t/add 发布一条微博：

参数包括：
1）接口参数：content和format；
2）OAuth协议参数

参数	参数值
content	%E6%9D%A5%E8%87%AA%23weibo_SDK%23%E7%9A%84%E6%B5%8B%E8%AF%95%E6%B6%88%E6%81%AF%EF%BC%81
format	json
oauth_consumer_key	aca77d2eb96f46e1b3353bc6743e8bfc
oauth_nonce	Tld5QvrtTlRJvaSWPlCC7DIXxnTBeumD
oauth_signature	JuPSe7ibf0uPECp4HcX4Fu9y3l0=
oauth_signature_method	HMAC-SHA1
oauth_timestamp	1299569293
oauth_token	b8c8f1a888ea4f2887eac88787b6e895
oauth_version	1.0

post:

http://open.t.qq.com/api/t/add?content=%E6%9D%A5%E8%87%AA%23weibo_SDK%23%E7%9A%84%E6%B5%8B%E8%AF%95%E6%B6%88%E6%81%AF%EF%BC%81&format=json&oauth_consumer_key=aca77d2eb96f46e1b3353bc6743e8bfc&oauth_nonce=Tld5QvrtTlRJvaSWPlCC7DIXxnTBeumD&oauth_signature=JuPSe7ibf0uPECp4HcX4Fu9y3l0=&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1299569293&oauth_token=b8c8f1a888ea4f2887ea