Android学习笔记——OAuth完全手册_国内篇

本文主要是介绍OAuth认证以及各大平台粗略比较&＃xff0c;如有纰漏&＃xff0c;望请谅解。

转载请注明&＃xff1a;http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html 

　　Preface&＃xff1a;

• 开发目的及进展

　　利用工作上关于SNS网站的研究&＃xff0c;将多个SNS平台集成起来&＃xff0c;一键分享。利用闲暇时间做了一个demo&＃xff0c;还有很多需要改进的地方&＃xff0c;请大家多多指教。

　　目前基本进展是完成了包括新浪微博、腾讯微博、QQ空间、人人网、开心网、豆瓣网、搜狐微博、网易微博在内的8个国内主要网站的OAuth认证以及简单api的使用。为此我总结成一篇博客&＃xff0c;详细分析一下OAuth认证过程的要点&＃xff0c;以及几大平台的比较。

　　以下是我做的demo的相关UI以及登录各个平台进行认证界面(webview)。

• OAuth介绍

　　在分享过程中不可避免的会考虑到用户账户安全性的问题&＃xff0c;第三方程序不应该直接接触用户账户信息&＃xff0c;但是没有账户信息&＃xff0c;又如何取得SNS平台的数据呢&＃xff1f;OAuth很好的解决了这个问题&＃xff0c;从第三方发起认证过程&＃xff0c;在webview或者浏览器中完成认证过程&＃xff0c;获得access token来代替账户密码&＃xff0c;从而可以获取平台数据。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时&＃xff0c;任何第三方都可以使用OAUTH认证服务&＃xff0c;任何服务提供商都可以实现自身的OAUTH认证服务&＃xff0c;因而OAUTH是开放的。

• 国内各平台支持程度

• 关于开发文档

　　文档地址&＃xff1a;

　　新浪&＃xff1a;http://open.weibo.com/wiki/%E9%A6%96%E9%A1%B5

　　空间&＃xff1a;

　　http://wiki.opensns.qq.com/wiki/%E3%80%90QQ%E7%99%BB%E5%BD%95%E3%80%91%E6%96%87%E6%A1%A3%E8%B5%84%E6%BA%90

　　腾讯&＃xff1a;http://wiki.open.t.qq.com/index.php/%E9%A6%96%E9%A1%B5

　　人人&＃xff1a;http://wiki.dev.renren.com/wiki/%E9%A6%96%E9%A1%B5

　　开心&＃xff1a;http://open.kaixin001.com/document.php

　　豆瓣&＃xff1a;http://www.douban.com/service/apidoc/

　　搜狐&＃xff1a;http://open.t.sohu.com/en/%E9%A6%96%E9%A1%B5

　　网易&＃xff1a;http://open.t.163.com/wiki/index.php?title&＃61;%E9%A6%96%E9%A1%B5

　　我们在进行开发时最重要的还是看平台的开发文档&＃xff0c;而从开发文档也可以看出这个公司或者开发团队的专业程度。以下是我总结的各个平台的优缺之处&＃xff0c;也给大家使用开发文档时增加一些帮助。

　　首先我觉得一个开放平台开发文档比较重要的几个点&＃xff1a;OAuth文档、API文档、SDK、视觉(标示)素材、返回错误码说明这几个方面&＃xff0c;当然这是从我现有的开发经验来选择&＃xff0c;你可以根据实际情况侧重其他方面进行比较。

　　&＃xff08;BTW&＃xff0c;8个平台中豆瓣的文档是最简陋的&＃xff0c;而且许多接口也没有开放&＃xff0c;无SDK&＃xff0c;不过整体思路还是清晰的&＃xff0c;开发时也不会有太多困惑&＃xff0c;因此下面不再提及。&＃xff09;  

       OAuth文档&＃xff1a;所有文档中以开心和腾讯微博做的最好&＃xff0c;腾讯微博是有清晰示意图&＃xff0c;本文也是引用他们的图片&＃xff0c;而开心在于每个细节都描述的很清楚&＃xff0c;在开发时不会有任何困惑的地方。最差的是人人和搜狐的文档&＃xff0c;人人整体还是可以的&＃xff0c;但是因为他们对于session key的处理让人很困惑&＃xff0c;也不讲清楚&＃xff0c;而且文档中有很多地方做的不够好&＃xff0c;连请求参数都不列清楚&＃xff0c;而搜狐在于他们的OAuth文档居然是外网的链接&＃xff08;包括OAuth官网地址&＃xff0c;若干博客地址&＃xff09;&＃xff0c;既然做了就做完整。为了能够在搜狐认证成功&＃xff0c;我最后在API列表中找到接口&＃xff0c;在找到参数列表。其他平台的话&＃xff0c;新浪稍好一点&＃xff0c;其他半斤八两吧。

       API文档&＃xff1a;包含接口说明、访问权限、请求地址、支持格式、请求方式&＃xff08;POST/GET&＃xff09;、请求参数说明&＃xff0c;返回结果&＃xff08;有例子&＃xff09;、字段说明。做的最好的是开心&＃xff0c;除了这些说明&＃xff0c;还会给出注意事项、调用示例、请求参数细分&＃xff08;api参数、OAuth1.0参数、OAuth2.0参数&＃xff09;。其他平台大同小异&＃xff0c;不再赘述。

       SDK&＃xff1a;其实如果你不想了解OAuth认证以及调用API的细节之处&＃xff0c;你完全可以使用它们的SDK。但是也有很多局限性&＃xff1a;首先作为Android开发&＃xff0c;有些网站不提供AndroidSDK&＃xff08;当然可以使用java SDK代替&＃xff09;&＃xff1b;其次SDK中很多代码你并不需要使用到&＃xff08;比如人人的支付功能&＃xff09;&＃xff0c;直接导入SDK包也会造成程序的臃肿&＃xff1b;再者&＃xff0c;如何我们需要修改SDK的一些功能&＃xff0c;阅读SDK代码的代价也是很大的&＃xff0c;每个平台的SDK整体结构也是天差地别。这些网站中&＃xff0c;新浪、开心、腾讯微博的SDK比较好&＃xff08;后来和facebook的SDK相比较&＃xff0c;大家都是各种借鉴啊&＃xff09;。而搜狐最让我伤心&＃xff0c;居然什么SDK都没有……

       视觉素材&＃xff1a;搜狐提供的非常稀少&＃xff0c;其他平台都有丰富的素材。

　　 综上&＃xff1a;开心网应该是做的比较好&＃xff0c;为此我的demo主要是借鉴了它的SDK&＃xff0c;给位读者可以去开心网自己下载SDK研究&＃xff0c;下面是关于关于OAuth1.0和OAuth2.0的介绍&＃xff0c;如果你已经了解&＃xff0c;请直接无视吧。

 　　Part 1&＃xff1a;OAuth 1.0a

• OAuth1认证基本步骤&＃xff1a;　　

1. 获取未授权的Request Token(temporary credentials)
2. 请求用户授权Request Token
3. 使用授权后的Request Token换取Access Token(token credentials)
4. 使用 Access Token 访问或修改受保护资源

　　示意图&＃xff08;来自腾讯微博开发文档&＃xff09;

• 请求签名

　　所有的OAuth请求使用同样的算法来生成(signature base string)签名字符基串和签名。

　　base string是把http方法名,请求URL以及请求参数用&字符连起来后做URL Encode编码。具体来讲&＃xff0c;base string由http方法名&＃xff0c;之后是&&＃xff0c;接着是过url编码(url-encoded)之后的url和访问路径及&。接下来&＃xff0c;把所有的请求参数包括POST方法体中的参数&＃xff0c;经过排序(按参数名进行文本排序&＃xff0c;如果参数名有重复则再安参数值进行重复项目排序)&＃xff0c;使用%3D替代&＃61;号&＃xff0c;并且使用%26作为每个参数之间的分隔符&＃xff0c;拼接成一个字符串。

　　示意图&＃xff08;来自腾讯微博开发文档&＃xff09;

• 获取未授权的Request Token

　　接口地址&＃xff1a;

　　支持格式&＃xff1a;OAuth HTTP 标准认证返回格式

　　HTTP请求方式&＃xff1a;GET/POST

　　是否需要登录&＃xff1a;否

　　请求参数&＃xff1a;

　　返回参数&＃xff1a;

　　注&＃xff1a;有一些平台不需要输入scope参数&＃xff0c;在开发时请参照开发文档。

　　接口地址&＃xff1a;

　　支持格式&＃xff1a;OAuth HTTP 标准认证返回格式

　　HTTP请求方式&＃xff1a;GET/POST

　　是否需要登录&＃xff1a;否

　　请求参数&＃xff1a;

　　返回参数&＃xff1a;

　　接口地址&＃xff1a;

　　支持格式&＃xff1a;OAuth HTTP 标准认证返回格式

　　HTTP请求方式&＃xff1a;GET/POST

　　是否需要登录&＃xff1a;否

　　请求参数&＃xff1a;

　　返回参数&＃xff1a;

　　Part 2&＃xff1a;OAuth 2.0 

　　 OAuth2.0和OAuth1.0的区别还是在于简化了认证过程&＃xff0c;不需要从未授权的Request Token转化到授权Request Token&＃xff0c;而是利用app key通过用户授权生成access token但是&＃xff0c;与1.0的不同之处是access token有自身的有效期&＃xff0c;且不同平台、不同级别的程序有着不同的有效期&＃xff0c;在程序开发中一定记得判断access token是否过期&＃xff0c;对于过期之后的处理方法主要是利用access token和refresh token重新生成access token或者重新利用app key向服务器发送请求生成access token。由于这个问题&＃xff0c;与OAuth1.0基本一致不一样&＃xff0c;各个平台OAuth2.0做了不一样的选择。

　　OAuth2.0服务支持以下获取Access Token的方式&＃xff1a;

　　a. Authorization Code&＃xff1a;Web Server Flow&＃xff0c;适用于所有有Server端配合的应用。
　　b. Implicit Grant&＃xff1a;User-Agent Flow&＃xff0c;适用于所有无Server端配合的应用。

　　因为demo是无服务器的程式&＃xff0c;所以我们采用Implicit Grant&＃xff1a;User-Agent Flow的获取方式。

　　示意图&＃xff08;来自腾讯微博开发文档&＃xff09;

• 获取Access Token