2022年腾讯微博Android客户端开发OAuth认证学习整理 .pdf

腾讯微博 Android 客户端开发博客： http:/ 1页(共 4页)腾讯微博 Android 客户端开发 OAuth 认证介绍腾讯微博是一个由腾讯推出，提供微型博客服务的类Twitter 网站。在腾讯官方的软件或网站中发布微博我们需要输入QQ 号和密码，同样如果我们自己开发客户端给用户使用， 我们也需要用户提供QQ 号和密码，这就留下了安全隐患。不发分子可以在程序中留下后门，获取 QQ 号和密码，从而进行违法操作。为了保护 QQ 用户的利益， 提高微博开放平台的安全指数，腾讯微博 API 采用 OAuth协议为第三方提供接入服务，遵循RFC-5849规范。目前OAuth 最新版本为OAuth2.0 ， 腾 讯 微 博 API 使 用 OAuth 1.0A 版 本 。 OAuth 官 网 地 址 ：http:/ 是什么OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAuth 的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAuth 是安全的。同时，任何第三方都可以使用OAuth认证服务，任何服务提供商都可以实现自身的OAuth 认证服务，因而 OAuth 是开放的。业界提供了OAuth 的多种实现如 PHP，JavaScript，Java，Ruby 等各种语言开发包，大大节约了程序员的时间，因而OAuth 是简易的。目前互联网很多服务如 OpenAPI， 很多大头公司如 Google， Yahoo， Microsoft 等都提供了 OAuth认证服务，这些都足以说明OAuth 标准逐渐成为开放资源授权的标准。在官方网站的首页，可以看到下面这段简介：An open protocol to allow secureAPI authorization in a simple and standardmethodfrom desktopandweb applications.大概意思是说OAuth 是一种开放的协议，为桌面程序或者基于BS 的 web应用提供了一种简单的，标准的方式去访问需要用户授权的API 服务。 OAuth类似于 Flickr Auth、GooglesAuthSub1、YahoosBBAuth 、 FacebookAuth 等。OAuth 认证授权具有以下特点：1. 简单：不管是 OAuth 服务提供者还是应用开发者，都很容易于理解与使用；2. 安全：没有涉及到用户密钥等信息，更安全更灵活；3. 开放：任何服务提供商都可以实现OAuth，任何软件开发商都可以使用OAuth；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 腾讯微博 Android 客户端开发博客： http:/ 2页(共 4页)OAuth 的认证流程具体每步执行信息如下：A. 第三方软件（我们自己开发的软件）向OAuth 服务提供商请求未授权的RequestToken。向 RequestTokenURL 发起请求，请求需要带上的以下参数：B. OAuth 服务提供商同意使用者的请求， 并向其颁发未经用户授权的oauth_token与对应的 oauth_token_secret ，并返回给使用者：C. 使 用者 向 OAuth 服 务 提 供 商请 求 用户 授 权 的 RequestToken。 向 UserAuthorization URL 发起请求，请求带上上步拿到的未授权的token与其密钥：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 腾讯微博 Android 客户端开发博客： http:/ 3页(共 4页)D. OAuth 服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。 此步可能会返回授权的RequestToken也可能不返回。在腾讯认证过程中此过程会定位到腾讯的授权页面，要求用户输入QQ 号和密码，然后选择同意或者拒绝对应用授权。授权成功后客户端应用会在网页中给出授权码 ，用户需要手工将验证码输入到应用中才能完成授权流程。返回参数：E. RequestToken 授权后，使用者将向 AccessToken URL 发起请求， 将上步授权的 RequestToken换取成 AccessToken。请求的参数：F. OAuth 服务提供商同意使用者的请求，并向其颁发AccessToken 与对应的密钥，并返回给使用者。G. 使用者以后就可以使用上步返回的AccessToken访问用户授权的资源。注：AccessToken和 AccessTokenSecret永远不会过期，直到用户撤销应用授权或腾讯回收您的 app访问权限才会失效。从上面的步骤可以看出， 用户始终没有将其用户名与密码等信息提供给使用者（第三方软件），从而更安全。OAuth 相关术语了解认证流程后，我们顺便了解下OAuth 的一些术语的定义：OAuth 相关的三个 URL ：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 - - - - - - - - - 腾讯微博 Android 客户端开发博客： http:/ 4页(共 4页)RequestTokenURL: 获取未授权的 RequestToken服务地址；UserAuthorization URL: 获取用户授权的 RequestToken 服务地址；AccessTokenURL: 用授权的 RequestToken换取 AccessToken 的服务地址；OAuth 相关的参数定义：oauth_consumer_key:使用者的 ID，OAuth 服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAuth 服务提供商处注册一个应用，再获取该应用的 oauth_consumer_key 。oauth_consumer_secret ：oauth_consumer_key对应的密钥。oauth_signature_method:请求串的签名方法， 应用每次向 OAuth 三个服务地址发送请求时，必须对请求进行签名。签名的方法有：HMAC-SHA1 、RSA-SHA1 与PLAINTEXT 等三种。oauth_signature: 用上面的签名方法对请求的签名。oauth_timestamp: 发起请求的时间戳，其值是距197000:00:00 GMT 的秒数，必须是大于 0 的整数。本次请求的时间戳必须大于或者等于上次的时间戳。oauth_nonce: 随机生成的字符串，用于防止请求的重放，防止外界的非法攻击。oauth_version:OAuth 的版本号，可选，其值必须为1.0。OAuth HTTP 响应代码：HTTP 400Bad Request 请求错误Unsupportedparameter 参数错误Unsupportedsignaturemethod 签名方法错误Missing requiredparameter 参数丢失Duplicated OAuth Protocol Parameter 参数重复HTTP 401Unauthorized 未授权Invalid ConsumerKey 非法 keyInvalid / expiredToken 失效或者非法的tokenInvalid signature 签名非法Invalid / usednonce 非法的 nonce名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -