新浪微博OAuth认证简介

为了使用新浪微博开放平台提供的API(应用程序接口)，你需要先注册一个应用。我们会给每一个应用一个专属的[b]App Key和App Secret[/b]。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似，你可以使用你所熟悉的编程语言将key和secret结合，为你发出的每个请求添加签名，以此来向新浪微博开放平台表明自己身份的合法性。

[b]OAuth基本流程[/b]

[img]/blog/developer/wiki/oauth_flowchart.jpg[/img]

[b]获取request token[/b]

获取request token是进行用户认证的第一步。这一步主要有两个目的：

第一，告诉新浪微博你将要做什么

第二，告诉新浪微博你在callback里要做什么

新浪微博开放平台的request token获取接口地址为：http://api./oauth/request_token

下面举个例子，以下是请求用的参数：

consumer secret - "MCD8BKwGdgPHvAuvgvz4EQpqDAtx89grbuNMRd7Eh98"

oauth_callback - http://localhost:3005/the_dance/process_callback?service_provider_id=11

oauth_consumer_key - GDdmIQH6jhtmLUypg82g

oauth_nonce - QP70eNmVz8jvdPevU3oJD2AfF7R7odC2XJcn4XlZJqk

oauth_signature_method - HMAC-SHA1

oauth_timestamp - 1272323042

oauth_version - 1.0

当服务器端接到请求之后，会返回包含oauth_token,oauth_token_secret等内容。

这时需要将oauth_token和oauth_token_secret记下，我们需要用这个参数来获取access token。

[b]用户认证[/b]

这一步主要是发送你（即应用）获取的oauth_token，并且获得用户的授权。一般来说，WEB应用会简单的重定向到相应的页面.

新浪微博开放平台的验证URL是http://api./oauth/authorize 。要求必须以oauth作为参数,一般来说请求格式如下:

http://api./oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc

如果用户没有登录新浪微博，则会要求用户登录。否则将会出现一个页面，用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后，web应用页面将会重定向至你指定的oauth_callback。

如果使用了callback，那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下：

oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc&oauth_verifier=pDNg57prOHapMbhv25RNf75lVRd6

[b]获取access token[/b]

新浪微博开放平台access token请求地址为：http://api./oauth/access_token

以下是请求参数列表:

oauth_consumer_key - GDdmIQH6jhtmLUypg82g

oauth_nonce - 9zWH6qe0qG7Lc1telCn7FhUbLyVdjEaL3MO5uHxn8

oauth_signature_method - HMAC-SHA1

oauth_token - 8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc

oauth_timestamp - 1272323047

oauth_verifier - pDNg57prOHapMbhv25RNf75lVRd6JDsni1AJJIDYoTY

oauth_version - 1.0

oauth_token_secret - x6qpRnlEmW9JbQn4PQVVeVG8ZLPEx6A0TOebgwcuA

新浪微博开放平台会返回应用需要的信息，包括用户名，oauth_token/oaut_token_secret(当然这里就是access token了)。 response内容如下：

oauth_token=819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw&oauth_token_secret=J6zix3FfA9LofH0aw

现在就可以使用access token来发布信息了。

[b]获取用户信息[/b]

接下来，就可以进行用户验证(如果验证成功，将会返回用户的详细信息)了。以下是进行用户验证的相关参数：

oauth_consumer_key - GDdmIQH6jhtmLUypg82gる

oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y

oauth_signature_method - HMAC-SHA1

oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw//注：这个是access token

oauth_timestamp - 1272325550

oauth_version - 1.0

响应如下:

{

weibo=null,

id=1803876591,

name='loopa',

screenName='loopa',

location='北京 海淀区',

description='2fBAcRG0]8OGRvp',

profileImageUrl='/1803876591/50/0',

url='',

isProtected=false,

followersCount=23,

statusCreatedAt=Mon Sep 27 13:50:14 CST ,

statusId=2847344825,

statusText='uhYFQJ[',

statusSource='<a href="" rel="nofollow">微博开放平台接口</a>',

statusTruncated=false,

statusInReplyToStatusId=0,

statusInReplyToUserId=0,

statusFavorited=false,

statusInReplyToScreenName='',

profileBackgroundColor='',

profileTextColor='',

profileLinkColor='',

profileSidebarFillColor='',

profileSidebarBorderColor='',

friendsCount=1,

createdAt=Fri Aug 27 00:00:00 CST ,

favouritesCount=0,

utcOffset=-1,

timeZone='',

profileBackgroundImageUrl='',

profileBackgroundTile='',

following=false,

notificationEnabled=false,

statusesCount=8509,

geoEnabled=false,

verified=false

}

[b]使用OAuth发表微博[/b]

接下来,就可以使用获取的oauth_token和oauth_token_secret来发送微博了。发微博可以通过Statuses/update接口,以下是相关参数：

POST body - status=通过OAuth发送微博信息

oauth_consumer_key - GDdmIQH6jhtmLUypg82g

oauth_nonce - oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y

oauth_signature_method - HMAC-SHA1

oauth_token - 819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw

oauth_timestamp - 1272325550

oauth_version - 1.0

服务器端的响应如下：

{

"created_at": "Mon Oct 11 12:00:16 +0800 ",

"favorited": false,

"geo": null,

"id": 3034670049,

"in_reply_to_screen_name": "",

"in_reply_to_status_id": "",

"in_reply_to_user_id": "",

"source": "<a href=\"http://open.\" rel=\"nofollow\">\u5fae\u535a\u5f00\u653e\u5e73\u53f0\u63a5\u53e3</a>",

"text": "\u901a\u8fc7OAuth\u53d1\u9001\u5fae\u535a\u4fe1\u606f",

"truncated": false,

"user": {

"allow_all_act_msg": false,

"city": "8",

"created_at": "Fri Aug 28 00:00:00 +0800 ",

"description": "Blogger\uff0c\u82f9\u679c\u8ff7\uff0cGoogle\u7c89\u3002",

"domain": "westy",

"favourites_count": 1,

"followers_count": 83,

"following": false,

"friends_count": 56,

"gender": "m",

"geo_enabled": true,

"id": 1642466141,

"location": "\u5317\u4eac \u6d77\u6dc0\u533a",

"name": "huchao",

"profile_image_url": "/1642466141/50/1285424071",

"province": "11",

"screen_name": "huchao",

"statuses_count": 209,

"url": "",

"verified": false

}

}

[color=red]小结，大致步骤为

1 应用向微博平台发起请求,获得一个临时的oauth_token,和oauth_token_secret(A),这套key被称为request token.

2 应用将用户转向到微博授权页面,同时带上这个token和一个回调页面地址

3 用户在微博上同意授权后,会生成oauth_verifier(B),并在转向到回调页面是带上这个值.

4 应用通过$_REQUEST得到oauth_verifier（注意是在$_REQUEST中得到的，因此）,再加上之前(A)处的oauth_token和oauth_token_secret,向微博发起最后一次请求.

5 微博平台验证无误后,发给应用另外一套oauth_token和oauth_token_secret(C),这套key被成为access token.

6 拿到access token意味着应用已经获得了授权.之后应用就可以通过access token获取和发送微博了.

注1：access token不用每次都去取,可以把它保存下来,供下次使用.这样性能更高.

注2：oauth_verifier是应用通过$_REQUEST得到的，因此不能将对oauth_verifier的获取放到weibolist.php中，不然在刷新之后就不能得到这个值了。

注3：demo中将oauth_verifier的获取以及得到access token都放在callback.php中，这么设计是很合理的，满足了注1和注2。.

注4：demo中没有明确的获取用户信息的代码，可以认为是在得到access token时就得到了用户信息。[/color]

-------------------------以上来自sinaAPI说明----------------------------------

这里再提供一个网友写的用PHP使用API实现与新浪微博同步，写的比较详细，也比较入门，有兴趣的话可以看一下：

/article.php?act=show&id=35