本文主要是介绍OAuth认证以及各大平台粗略比较,如有纰漏,望请谅解。
转载请注明:http://www.cnblogs.com/lingyun1120/archive/2012/07/11/2585767.html
Preface:
- 开发目的及进展
利用工作上关于SNS网站的研究,将多个SNS平台集成起来,一键分享。利用闲暇时间做了一个demo,还有很多需要改进的地方,请大家多多指教。
目前基本进展是完成了包括新浪微博、腾讯微博、QQ空间、人人网、开心网、豆瓣网、搜狐微博、网易微博在内的8个国内主要网站的OAuth认证以及简单api的使用。为此我总结成一篇博客,详细分析一下OAuth认证过程的要点,以及几大平台的比较。
以下是我做的demo的相关UI以及登录各个平台进行认证界面(webview)。
- OAuth介绍
在分享过程中不可避免的会考虑到用户账户安全性的问题,第三方程序不应该直接接触用户账户信息,但是没有账户信息,又如何取得SNS平台的数据呢?OAuth很好的解决了这个问题,从第三方发起认证过程,在webview或者浏览器中完成认证过程,获得access token来代替账户密码,从而可以获取平台数据。OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用OAUTH认证服务,任何服务提供商都可以实现自身的OAUTH认证服务,因而OAUTH是开放的。
- 国内各平台支持程度
SNS
OAuth1.0a
OAuth2.0
备注
新浪微博
不支持(曾经支持)
支持
最近已经放弃1.0认证。但是1.0的开发文档还是可以学习。
腾讯微博
支持
支持
两者都支持,向2.0转变
QQ空间
不支持
支持
节操摆一边,文档干净清晰
人人
不支持
支持
人人文档很糟糕,用过的都知道
开心
支持
支持
两者都支持,向2.0转变
豆瓣
支持
不支持
豆瓣在开发平台方面确实做得不好,看它的文档就一目了然。
搜狐微博
支持
不支持
文档一般,logo素材太少
网易微博
支持
支持
文档一般,logo素材丰富
- 关于开发文档
文档地址:
新浪:http://open.weibo.com/wiki/%E9%A6%96%E9%A1%B5
空间:
http://wiki.opensns.qq.com/wiki/%E3%80%90QQ%E7%99%BB%E5%BD%95%E3%80%91%E6%96%87%E6%A1%A3%E8%B5%84%E6%BA%90
腾讯:http://wiki.open.t.qq.com/index.php/%E9%A6%96%E9%A1%B5
人人:http://wiki.dev.renren.com/wiki/%E9%A6%96%E9%A1%B5
开心:http://open.kaixin001.com/document.php
豆瓣:http://www.douban.com/service/apidoc/
搜狐:http://open.t.sohu.com/en/%E9%A6%96%E9%A1%B5
网易:http://open.t.163.com/wiki/index.php?title=%E9%A6%96%E9%A1%B5
我们在进行开发时最重要的还是看平台的开发文档,而从开发文档也可以看出这个公司或者开发团队的专业程度。以下是我总结的各个平台的优缺之处,也给大家使用开发文档时增加一些帮助。
首先我觉得一个开放平台开发文档比较重要的几个点:OAuth文档、API文档、SDK、视觉(标示)素材、返回错误码说明这几个方面,当然这是从我现有的开发经验来选择,你可以根据实际情况侧重其他方面进行比较。
(BTW,8个平台中豆瓣的文档是最简陋的,而且许多接口也没有开放,无SDK,不过整体思路还是清晰的,开发时也不会有太多困惑,因此下面不再提及。)
OAuth文档:所有文档中以开心和腾讯微博做的最好,腾讯微博是有清晰示意图,本文也是引用他们的图片,而开心在于每个细节都描述的很清楚,在开发时不会有任何困惑的地方。最差的是人人和搜狐的文档,人人整体还是可以的,但是因为他们对于session key的处理让人很困惑,也不讲清楚,而且文档中有很多地方做的不够好,连请求参数都不列清楚,而搜狐在于他们的OAuth文档居然是外网的链接(包括OAuth官网地址,若干博客地址),既然做了就做完整。为了能够在搜狐认证成功,我最后在API列表中找到接口,在找到参数列表。其他平台的话,新浪稍好一点,其他半斤八两吧。
API文档:包含接口说明、访问权限、请求地址、支持格式、请求方式(POST/GET)、请求参数说明,返回结果(有例子)、字段说明。做的最好的是开心,除了这些说明,还会给出注意事项、调用示例、请求参数细分(api参数、OAuth1.0参数、OAuth2.0参数)。其他平台大同小异,不再赘述。
SDK:其实如果你不想了解OAuth认证以及调用API的细节之处,你完全可以使用它们的SDK。但是也有很多局限性:首先作为Android开发,有些网站不提供AndroidSDK(当然可以使用java SDK代替);其次SDK中很多代码你并不需要使用到(比如人人的支付功能),直接导入SDK包也会造成程序的臃肿;再者,如何我们需要修改SDK的一些功能,阅读SDK代码的代价也是很大的,每个平台的SDK整体结构也是天差地别。这些网站中,新浪、开心、腾讯微博的SDK比较好(后来和facebook的SDK相比较,大家都是各种借鉴啊)。而搜狐最让我伤心,居然什么SDK都没有……
视觉素材:搜狐提供的非常稀少,其他平台都有丰富的素材。
综上:开心网应该是做的比较好,为此我的demo主要是借鉴了它的SDK,给位读者可以去开心网自己下载SDK研究,下面是关于关于OAuth1.0和OAuth2.0的介绍,如果你已经了解,请直接无视吧。
Part 1:OAuth 1.0a
- OAuth1认证基本步骤:
- 获取未授权的Request Token(temporary credentials)
- 请求用户授权Request Token
- 使用授权后的Request Token换取Access Token(token credentials)
- 使用 Access Token 访问或修改受保护资源
示意图(来自腾讯微博开发文档)
- 请求签名
所有的OAuth请求使用同样的算法来生成(signature base string)签名字符基串和签名。
base string是把http方法名,请求URL以及请求参数用&字符连起来后做URL Encode编码。具体来讲,base string由http方法名,之后是&,接着是过url编码(url-encoded)之后的url和访问路径及&。接下来,把所有的请求参数包括POST方法体中的参数,经过排序(按参数名进行文本排序,如果参数名有重复则再安参数值进行重复项目排序),使用%3D替代=号,并且使用%26作为每个参数之间的分隔符,拼接成一个字符串。
示意图(来自腾讯微博开发文档)
1 private static String generateSignature(String baseString, 2 String consumerKeySecret, String tokenSecret) { 3 4 byte[] byteHMAC = null; 5 try { 6 Mac mac = Mac.getInstance("HmacSHA1"); 7 SecretKeySpec spec; 8 String oauthSignature = encode(consumerKeySecret) + "&" 9 + ((tokenSecret != null) ? encode(tokenSecret) : "");10 spec = new SecretKeySpec(oauthSignature.getBytes(), "HmacSHA1");11 mac.init(spec);12 byteHMAC = mac.doFinal(baseString.getBytes());13 } catch (InvalidKeyException e) {14 e.printStackTrace();15 } catch (NoSuchAlgorithmException ignore) {16 // should never happen17 }18 return new base64Encoder().encode(byteHMAC);19 }
- 获取未授权的Request Token
接口地址:
支持格式:OAuth
HTTP请求方式:GET/POST
是否需要登录:否
请求参数:
如需调用扩展权限,必需传递此参数,
返回参数:
注:有一些平台不需要输入scope参数,在开发时请参照开发文档。
1 public boolean getRequestToken(Context context, String callbackUrl, 2 String[] permissions) throws IOException { 3 Bundle params = new Bundle(); 4 params.putString("oauth_callback", callbackUrl); 5 if (permissions != null && permissions.length > 0) { 6 String scope = TextUtils.join(" ", permissions); 7 params.putString("scope", scope); 8 } 9 params = Util.generateURLParams(OAUTH1_REQUEST_TOKEN_URL, GET_METHOD,10 params, CONSUMER_KEY, CONSUMER_SECRET, null);11 String response = Util.openUrl(context, OAUTH1_REQUEST_TOKEN_URL,12 GET_METHOD, params, null);13 if (response == null) {14 return false;15 }16 17 Bundle bundle = Util.decodeUrl(response);18 String token = (String) bundle.get(OUATH_TOKEN);19 String tokenSecret = (String) bundle.get(OUATH_TOKEN_SECRET);20 if (token == null || tokenSecret == null) {21 return false;22 }23 24 setRequestToken(token);25 setRequestTokenSecret(tokenSecret);26 27 return true;28 }
- 请求用户授权Request Token
接口地址:
支持格式:OAuth
HTTP请求方式:GET/POST
是否需要登录:否
请求参数:
返回参数:
- 使用授权后的Request Token换取Access Token
接口地址:
支持格式:OAuth
HTTP请求方式:GET/POST
是否需要登录:否
请求参数:
返回参数:
1 public boolean getAccessToken(Context context, String requestToken, 2 String requestTokenSecret, String verifier) throws IOException { 3 Bundle params = new Bundle(); 4 params.putString(OUATH_TOKEN, requestToken); 5 if (verifier != null) 6 params.putString(OUATH_TOKEN_VERIFIER, verifier); 7 params = Util.generateURLParams(OAUTH1_ACCESS_TOKEN_URL, GET_METHOD, 8 params, CONSUMER_KEY, CONSUMER_SECRET, requestTokenSecret); 9 String response = Util.openUrl(context, OAUTH1_ACCESS_TOKEN_URL,10 GET_METHOD, params, null);11 if (response == null) {12 return false;13 }14 15 Bundle bundle = Util.decodeUrl(response);16 String token = (String) bundle.get(OUATH_TOKEN);17 String tokenSecret = (String) bundle.get(OUATH_TOKEN_SECRET);18 if (token == null || tokenSecret == null) {19 return false;20 }21 22 setAccessToken(token);23 setAccessTokenSecret(tokenSecret);24 25 return true;26 }
Part 2:OAuth 2.0
OAuth2.0和OAuth1.0的区别还是在于简化了认证过程,不需要从未授权的Request Token转化到授权Request Token,而是利用app key通过用户授权生成access token但是,与1.0的不同之处是access token有自身的有效期,且不同平台、不同级别的程序有着不同的有效期,在程序开发中一定记得判断access token是否过期,对于过期之后的处理方法主要是利用access token和refresh token重新生成access token或者重新利用app key向服务器发送请求生成access token。由于这个问题,与OAuth1.0基本一致不一样,各个平台OAuth2.0做了不一样的选择。
OAuth2.0服务支持以下获取Access Token的方式:
a. Authorization Code:Web Server Flow,适用于所有有Server端配合的应用。
b. Implicit Grant:User-Agent Flow,适用于所有无Server端配合的应用。
因为demo是无服务器的程式,所以我们采用Implicit Grant:User-Agent Flow的获取方式。
示意图(来自腾讯微博开发文档)
- 获取Access Token
为了获取Access Token,应用需要将用户浏览器(或手机/桌面应用中的浏览器组件)到OAuth2.0授权服务的“http://xxxxxxxxx/authorize”地址上,并带上以下参数:
其值可以是“oob”。
如需调用扩展权限,必需传递此参数
浏览器到“redirect_uri”时),会在Query Parameter中原样回传该参数
若用户登录并接受授权,授权服务将重定向用户浏览器到“redirect_uri”,并在Fragment中追加如下参数:
用于刷新Access Token 的 Refresh Token
一些平台不返回这个参数,需要程序员进行判断处理
Access Token最终的访问范围,即用户实际授予的权限列表
- 人人网和QQ空间的后续操作
人人网获得access token还需要获得session key和session secret,然后再调用api接口的时候利用app key、session key以及sig(签名认证,点击此处查看详细算法),最近人人说可以使用access token来替换app key和session key的组合,貌似不需要session key,但是sig参数又需要通过session key才能获得,真是多此一举。
1 public void getRenrenSessionKey(Context context, String accessToken) { 2 if (accessToken == null || accessToken.length() < 1) { 3 return; 4 } 5 Bundle params = new Bundle(); 6 params.putString("oauth_token", accessToken); 7 try { 8 String sk = Util.openUrl( 9 "http://graph.renren.com/renren_api/session_key", "POST",10 params);11 JSonObject obj = new JSonObject(sk);12 String error = obj.optString("error", null);13 if (error != null) {14 throw new SNSAuthError(obj.toString(), null, null);15 }16 String sessionKey = obj.getJSonObject("renren_token").getString(17 "session_key");18 String sessionSecret = obj.getJSonObject("renren_token").getString(19 "session_secret");20 21 long uid = obj.getJSonObject("user").getLong("id");22 // 服务器返回的过期时间单位为秒,故乘以100023 long expires = obj.getJSonObject("renren_token").getLong(24 "expires_in") * 1000;25 long current = System.currentTimeMillis();26 long expireTime = current + expires;27 28 setSeeionKey(sessionKey);29 setSeeionSecret(sessionSecret);30 setSeeionExpires(expireTime);31 32 Log.i(Util.LOG_TAG, "---login success sessionKey:" + sessionKey33 + " expires:" + expires + " sessionSecret:" + sessionSecret34 + " uid:" + uid);35 } catch (JSonException e) {36 throw new RuntimeException(e.getMessage(), e);37 }38 }
QQ空间没有人人网这么麻烦,只是在返回参数中多了一个openId参数,这个参数在调用api接口是需要传入,除此之外没什么特殊之处,openid估计是为了他们平台的统一性设计的,无大碍。
1 public void getQzoneOpenId(Context context, String accessToken) { 2 if (accessToken == null || accessToken.length() < 1) { 3 return; 4 } 5 Bundle params = new Bundle(); 6 params.putString("access_token", accessToken); 7 String open = Util.openUrl("https://graph.z.qq.com/moc2/me", "GET", params); 8 String[] param = open.split("&"); 9 String[] openid = param[1].split("=");10 11 setOpendId(openid[1]);12 13 }
Summary
OAuth认证其实很简单,调用api也是根据各个平台进行些许的调整而已,在进行开发的过程更细心的一点应该没什么问题,如果你有问题,欢迎大家来交流。关于代码的问题,大家把平台上相关的SDK下载下来稍微研究一下就可以了,本人是利用开心网的SDK修改的,新浪和腾讯的都不错,以上信息,仅作参考,如有错误之处,望指正!谢谢!