新浪微博OAuth详解以Python为例

曹至梧 2016-01-10 16:55 更新
  1. 什么是OAuth
  2. 准备工作
  3. 获取授权者的个人信息

让我先吐槽一下新浪微博的那个 OAuth 文档,写得就像个锤子一样!

1. 什么是OAuth

OAuth 是一套认证形式,并被逐渐推荐为一套标准,它的老家在 http://oauth.net

OAuth 实现的是一套三方委托认证的模式。

举例来说,有人想知道你新浪微博上的所有粉丝都有哪些,而你也愿意让他知道。但是,这里有一个问题,如果你直接把账号和密码告诉这个人的话,你可能会觉得很不安全,你只想把有限的东西给这个人,而不是把账号和密码都交出来。

于是,可以使用这样的一种方式,这个人去找新浪要你的粉丝资料,新浪就问你,你愿意把你的资料给这个人么?你说愿意。好,新浪就把你的资料给这个人了,只是给这个人。于是,这个人在你的授权下得到了你的粉丝资料,但是你并没有把账号和密码泄漏出去。

整个过程大概如下图所示:

                               4.Here you are
                          ---------------------
                          |                   |
                          |                   |
                 -------------                |
        2.argee? |           |  1.request     |
       --------- |   SINA    | <---------     |
       |         |           |          |     |
       |         -------------          |     |
       v              ^                 |     v
-------------         |             -------------
|           |         |             |           |
|    YQ     |----------             |    ZYS    |
|           |  3.Yes                |           |
-------------                       -------------

记住这里的 4 个过程:

request
argee?
Yes
Here you are

从图中可以看出,整个过程中 SINA 都扮演着一个中间者的作用, ZYS 和 YQ 通过与 SINA 的参数传递实现授权访问。

上面的前 3 个过程对应着 3 个新浪的认证 URL (最后一个是具体的应用 API 了):

这 3 个 URL 的作用是这样的:

下面开始实战。

2. 准备工作

首先,需要去新浪微博的开放平台 http://open.t.sina.com.cn 上注册用户,然后创建一个应用。在应用的页面,你可以找到一对 APP_KEYAPP_SECRET

2.1. request_token

现在我们开始第一步,也是最难的一步。

OAuth 的认证过程无非就是通过 HTTP 协议把几个参数传递一下,没有什么复杂的东西。但是,因为文档描述问题,这些参数应该怎么包装,签名应该如何做,如果不得要领是很烦人的事。我们在这一步把参数的包装和签名计算方法搞定,之后的两步就水道渠成了。

OAuth 的认证参数通常是放到头部信息中传递的(当然,也可以放到 URL 中),这个头部信息如何包装我们之后会细细介绍。

参看官方文档 http://open.weibo.com/wiki/index.php/Oauth/request_token ,得知请求 request_token 时需要的参数有:

上面的参数当中,除了最后一个 oauth_signature ,其它的都应该很清楚

2.2. oauth_signature的计算方法

oauth_signature 是通过 HMAC-SHA1 算法,处理一个叫 Base String 的字符串,最后取 base64 编码得到的。而 Base String 字符串是由访问方法,访问 URL ,及前面的 5 个参数拼接而成。

假设访问方法是 GET ,要访问的 URL 是 http://api.t.sina.com.cn/oauth/request_token ,同时假设这 5 个参数为:

最后的 Base String 即是使用 & 连接这三组数据, url 需要进行 URL 编码( / 也要编码,所以要加一个 safe='' )。我们重点说 p 如何得到。

p 由上面的 5 个参数 按序 拼接而成。

from urllib import urlencode, quote

params = [
    ('oauth_consumer_key', '1234567'),
    ('oauth_version', '1.0'),
    ('oauth_timestamp', '1307980836'),
    ('oauth_nonce', 'xxoo'),
    ('oauth_signature_method', 'HMAC-SHA1'),
]
params.sort()

p = quote(urlencode(params))

简单说,就是排序后进行 URL 编码再进行第二次 URL 编码。于是:

from urllib import urlencode, quote

method = 'GET'
url = 'http://api.t.sina.com.cn/oauth/request_token'
params = [
    ('oauth_consumer_key', '1234567'),
    ('oauth_version', '1.0'),
    ('oauth_timestamp', '1307980836'),
    ('oauth_nonce', 'xxoo'),
    ('oauth_signature_method', 'HMAC-SHA1'),
]
params.sort()

p = quote(urlencode(params))

base_string = '%s&%s&%s' % (method, quote(url, safe=''), p)

-------------
GET&http%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Frequest_token&oauth_consumer
_key%3D1234567%26oauth_nonce%3Dxxoo%26oauth_signature_method%3DHMAC
-SHA1%26oauth_timestamp%3D1307980836%26oauth_version%3D1.0

得到 Base String 后,需要使用 HMAC-SHA1 算法对其进行处理(HMAC 算法需要一个 KEY ,在实际认证中使用 APP_SECRET 或者 *_secret ),在 Python 中有现成的模块可以使用:

import hmac, hashlib

KEY = 'abc'

h = hmac.new(KEY, base_string, hashlib.sha1)
s = h.digest()
signature = quote(s.encode('base64').rstrip())
#gA6Eo8xQgEgHMbaOdIdXFwbH/1Y%3D

最后的结果,就是我们需要的签名值。

2.3. 完整的例子

#! /usr/bin/python
# -*- coding: utf-8 -*-

from urllib import quote, urlencode
import urllib2
import time
import uuid
import hmac, hashlib

def get_token():
    URL = 'http://api.t.sina.com.cn/oauth/request_token'
    APP_KEY = '' #写自己的
    APP_SECRET = ''

    params = [
        ('oauth_consumer_key', APP_KEY),
        ('oauth_nonce', uuid.uuid4().hex),
        ('oauth_signature_method', 'HMAC-SHA1'),
        ('oauth_timestamp', int(time.time())),
        ('oauth_version', '1.0'),
    ]

    params.sort()

    p = 'GET&%s&%s' % (quote(URL, safe=''), quote(urlencode(params)))
    signature = hmac.new(APP_SECRET + '&', p, hashlib.sha1).digest().encode('base64').rstrip()

    params.append(('oauth_signature', quote(signature)))

    h = ', '.join(['%s="%s"' % (k, v) for (k, v) in params])

    r = urllib2.Request(URL, headers={'Authorization': 'OAuth realm="", %s' % h})

    data = urllib2.urlopen(r).read()
    token, secret = [pair.split('=')[1] for pair in data.split('&')]

    return token, secret

if __name__ == '__main__':
    print get_token()

这一步过后,我们就获得了 request_tokenrequest_secret

2.4. authorize

这一步做得事情就简单多了,只需要把上一步获取到的 request_token 作为 oauth_token 这个参数添加到 URL http://api.t.sina.com.cn/oauth/authorize 后面进行访问就可以了。

新浪微博的系统会自动作用户的登陆处理(或者可以传入 userId 和 passwd 直接获取到 verifier ),然后用户可以选择是否授权给你的应用。确认后,你可以得到 verifier 用于下一步。

参见官方的文档 http://open.weibo.com/wiki/index.php/Oauth/authorize ,除了 oauth_token 这个必须的参数以个,还有几个可选的参数:

其中 userId 和 passwd 是和 oauth_callback=json|xml 配合使用的。它直接返回 verifier ,没有确认授权页面。

假设上一步我们得到的 request_token808cb0645284a4e0995fbcc7ac29e381 ,那么最简单的一个 URL 就是

http://api.t.sina.com.cn/oauth/authorize?oauth_token=808cb0645284a4e0995fbcc7ac29e381

在浏览器当中直接访问这个地址即可。新浪微博会让你登陆并确认授权。之后会在页面中显示 verifier

如果是 web 应用的话,一般我们会使用回调地址的方式,使用 oauth_callback 传递地址:

http://api.t.sina.com.cn/oauth/authorize?oauth_token=808cb0645284a4e0995fbcc7ac29e381&oauth_callback=http%3A%2F%2Flocalhost%3A8080%2F

上面的 URL 中,我们把 http://localhost:8080/ 进行 URL 编码后放到 oauth_callback 参数当中。

访问并授权后,页面会重定向到:

http://localhost:8080/?oauth_token=d18fbed6c40ba7b961aa860087b427e7&oauth_verifier=706286

这里有 oauth_tokenoauth_verifier ,你可以在后端处理它们了。

经过这一步,我们现在手头上有 request_tokenrequest_secretverifier 这三个东西了。下一步会用到它们。

2.5. access_token

这一步我们使用手中的 request_tokenrequest_secretverifier 去换取一对 access_tokenaccess_secret 。整体上和第一步的操作相同。就是计算签名值和包装参数。前面是使用的 GET 方法,这里要使用 POST 方法了。

参见官方的文档 http://open.weibo.com/wiki/index.php/Oauth/access_token ,需要传递的 OAuth 参数有:

这里计算 oauth_signature 时不同的地方就是要使用 request_secret 作为 HMAC 的 KEY 的一部分:

前面的是这样:

signature = hmac.new(APP_SECRET + '&', p, hashlib.sha1).digest().encode('base64').rstrip()

现在需要这样:

signature = hmac.new(APP_SECRET + '&' + request_token, p,
                     hashlib.sha1).digest().encode('base64').rstrip()

完整的代码如下:

#! /usr/bin/python
# -*- coding: utf-8 -*-

from urllib import quote, urlencode
import urllib2
import time
import uuid
import hmac, hashlib

def get_access_token(token, secret, verifier):
    URI = 'http://api.t.sina.com.cn/oauth/access_token'
    APP_KEY = '' #写自己的
    APP_SECRET = ''

    headers = [
        ('oauth_consumer_key', APP_KEY),
        ('oauth_nonce', uuid.uuid4().hex),
        ('oauth_signature_method', 'HMAC-SHA1'),
        ('oauth_timestamp', int(time.time())),
        ('oauth_version', '1.0'),
        ('oauth_token', token),
        ('oauth_verifier', verifier),
        ('oauth_token_secret', secret),
    ]

    headers.sort()

    p = 'POST&%s&%s' % (quote(URI, safe=''), quote(urlencode(headers)))
    signature = hmac.new(APP_SECRET + '&' + secret, p,
                         hashlib.sha1).digest().encode('base64').rstrip()

    headers.append(('oauth_signature', quote(signature)))

    h = ', '.join(['%s="%s"' % (k, v) for (k, v) in headers])

    r = urllib2.Request(URI, headers={'Authorization': 'OAuth realm="", %s' % h})

    data = urllib2.urlopen(r, data='').read()
    token, secret, user_id = [pair.split('=')[1] for pair in data.split('&')]

    return token, secret, user_id

if __name__ == '__main__':
    print get_access_token('0a426d1b8695df7888c0b79d77c2071c',
                           '77764447cbdd856463b3198c935bad41',
                           '601738')

上面代码中,调用 get_access_token 函数的三个参数都在上一步获取到了的。

访问之后,你可以得到一个新的 access_tokenrequest_secret 没有变的,当然,之后我们可以把它改叫做 access_secret ),之后我们就使用它去访问各个需要授权的 API 接口了。

3. 获取授权者的个人信息

现在我们手头上有 access_tokenaccess_secret 了,作为示例,我们去获取一下授权者的个人信息。

查看官方文档 http://open.weibo.com/wiki/index.php/Account/verify_credentials ,这个验证用户身份的 API 可以获取用户信息。

像之前的认证过程一样,需要在头部中带上 OAuth 的那 7 个参数:

应该说的前面已经说过了,直接上代码吧:

#! /usr/bin/python
# -*- coding: utf-8 -*-

from urllib import quote, urlencode
import urllib2
import time
import uuid
import hmac, hashlib

def get_info(token, secret):
    URI = 'http://api.t.sina.com.cn/account/verify_credentials.json'
    APP_KEY = '' #写自己的
    APP_SECRET = ''

    headers = [
        ('oauth_consumer_key', APP_KEY),
        ('oauth_nonce', uuid.uuid4().hex),
        ('oauth_signature_method', 'HMAC-SHA1'),
        ('oauth_timestamp', int(time.time())),
        ('oauth_version', '1.0'),
        ('oauth_token', token)
    ]

    headers.sort()

    p = 'POST&%s&%s' % (quote(URI, safe=''), quote(urlencode(headers)))
    signature = hmac.new(APP_SECRET + '&' + secret, p,
                         hashlib.sha1).digest().encode('base64').rstrip()

    headers.append(('oauth_signature', quote(signature)))

    h = ', '.join(['%s="%s"' % (k, v) for (k, v) in headers])

    r = urllib2.Request(URI, data='', headers={'Authorization': 'OAuth realm="", %s' % h})

    data = urllib2.urlopen(r).read()
    return data

if __name__ == '__main__':
    print get_info('97de3e2422c2b5fe4328d6cdc1ac5597', '2563a0ac36baecbbb7d93a4987d899df')

代码中调用 get_info 函数需要的两个参数就是前面我们已经取得的 access_tokenaccess_secret

评论
©2010-2016 zouyesheng.com All rights reserved. Powered by GitHub , txt2tags , MathJax