文档介绍:Android 开发我的新浪微博客户端-OAuth 篇()
本篇说说关于 OAuth 授权认证的事情,新浪开放 api 都必须在这个基础上才能调用,所以
有必要专门来讲讲,前面的文章中已经提到过关于新浪微博提供了 OAuth 和 Base OAut
h 两种认证方式,并且本项目采用 OAuth 认证方式,至于为什么采用这个 OAuth 认证而
不采用 Base OAuth 认证原因很简单,自从 Twitter 只支持 OAuth 认证方式以来,各大
应用都纷纷转向 OAuth 认证方式,而新浪微博的开放平台也将在近日停止 Base OAuth
的认证方式。
OAuth 的基本概念,OAUTH 协议为用户资源的授权提供了一个安全的、开放而又简易的
标准。与以往的授权方式不同之处是 OAUTH 的授权不会使第三方触及到用户的帐号信息
(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的
授权,因此 OAUTH 是安全的。同样新浪微博提供 OAuth 认证也是为了保证用户账号和密
码的安全,在这里通过 OAuth 建立普通新浪微博用户、客户端程序(我们正在开发的这个
android 客户端程序)、新浪微博三者之间的相互信任关系,让客户端程序(我们正在开发
的这个 android 客户端程序)不需要知道用户的账号和密码也能浏览、发布微博,这样有
效的保护了用户账号的安全性不需要把账号密码透露给客户端程序又达到了通过客户端程
序写微博看微博目的。这个是 OAuth 的作用。
结合新浪微博的 OAuth 认证来说说具体的功能实现,首先罗列一下关键字组,下面四组关
键字跟我们接下来 OAuth 认证有非常大的关系。
第一组:(App Key 和 App Secret),这组参数就是本系列文本第一篇提到的建一个新
的应用获取 App Key 和 App Secret。
第二组:(Request Token 和 Request Secret)
第三组:(oauth_verifier)
第四组:(user_id、Access Token 和 Access Secret)
新浪微博的 OAuth 认证过程,当用户第一次使用本客户端软件时,客户端程序
用第一组作为参数向新浪微博发起请求,然后新浪微博经过验证后返回第二组参
数给客户端软件同时表示新浪微博信任本客户端软件,当客户端软件获取第二组
参数时作为参数引导用户浏览器跳至新浪微博的授权页面,然后用户在新浪的这
个授权页面里输入自己的微博账号和密码进行授权,完成授权后根据客户端设定
的回调地址把第三组参数返回给客户端软件并表示用户也信任本客户端软件,接
下客户端软件把第二组参数和第三组参数作为参数再次向新浪微博发起请求,然
后新浪微博返回第四组参数给客户端软件,第四组参数需要好好的保存起来这个
就是用来代替用户的新浪账号和密码用的,在后面调用 api 时都需要。从这个过
程来看用户只是在新浪微博的认证网页输入过账户和密码并没有在客户端软件
里输入过账户和密码,客户端软件只保存了第四组数据并没有保存用户的账户和
密码,这样有效的避免了账户和密码透露给新浪微博之外的第三方应用程序,保
证了安全性。
本项目用为