开发者社区> zephyr> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

新浪微博OAuth详解以Python为例

简介:
+关注继续查看

让我先吐槽一下新浪微博的那个 OAuth 文档,写得就像个锤子一样!

1. 什么是OAuth

OAuth 是一套认证形式,并被逐渐推荐为一套标准,它的老家在 http://oauth.net 。

OAuth 实现的是一套三方委托认证的模式。

举例来说,有人想知道你新浪微博上的所有粉丝都有哪些,而你也愿意让他知道。但是,这里有一个问题,如果你直接把账号和密码告诉这个人的话,你可能会觉得很不安全,你只想把有限的东西给这个人,而不是把账号和密码都交出来。

于是,可以使用这样的一种方式,这个人去找新浪要你的粉丝资料,新浪就问你,你愿意把你的资料给这个人么?你说愿意。好,新浪就把你的资料给这个人了,只是给这个人。于是,这个人在你的授权下得到了你的粉丝资料,但是你并没有把账号和密码泄漏出去。

整个过程大概如下图所示:

                               4.Here you are
                          ---------------------
                          |                   |
                          |                   |
                 -------------                |
        2.argee? |           |  1.request     |
       --------- |   SINA    | <---------     |
       |         |           |          |     |
       |         -------------          |     |
       v              ^                 |     v
-------------         |             -------------
|           |         |             |           |
|    YQ     |----------             |    ZYS    |
|           |  3.Yes                |           |
-------------                       -------------

记住这里的 4 个过程:

request
argee?
Yes
Here you are

从图中可以看出,整个过程中 SINA 都扮演着一个中间者的作用, ZYS 和 YQ 通过与 SINA 的参数传递实现授权访问。

上面的前 3 个过程对应着 3 个新浪的认证 URL (最后一个是具体的应用 API 了):

这 3 个 URL 的作用是这样的:

  • ZYS 找到 SINA 说,等下 YQ 会过来,我要拿 YQ 的粉丝数据。通过参数的传递 ZYS 向 SINA 标明了自己的身份。SINA 说,我知道了,然后 SINA 会给 ZYS 一对request_token 和 request_secret 。
  • YQ 过来了,问 SINA 说是不是 ZYS 要拿我的粉丝数据啊,然后把 ZYS 私下给的request_token 和 request_secret 给 SINA 看了,并同意 ZYS 拿她的数据,这时 SINA 还给了 YQ 一个 verifier 。YQ 把 verifier 拿给了 ZYS ,表示她已经在 SINA 那里打过招呼了。
  • ZYS 拿着 request_token , request_secret , verifier 这三样东西,找到 SINA,说明他已经取得了 YQ 的授权。此时, SINA 给了 ZYS 一对 access_token 和access_secret 。之后,凭着这对东西, ZYS 就可以从 SINA 那里取得 YQ 的粉丝数据了。(实际上, request_secret 和 access_secret 是相同的)
  • 整个过程就是这样的,除了上面提到的几个参数,还有一组 APP_KEY 和 APP_SECRET ,是我们在新浪微博开放平台上申请应用时,被分配的。 我们关注的几个传递来传递去的参数有:

    • APP_KEY, APP_SECRET
    • request_token, request_secret
    • verifier
    • access_secret, access_secret

下面开始实战。

2. 准备工作

首先,需要去新浪微博的开放平台 http://open.t.sina.com.cn 上注册用户,然后创建一个应用。在应用的页面,你可以找到一对 APP_KEY 和 APP_SECRET 。

2.1. request_token

现在我们开始第一步,也是最难的一步。

OAuth 的认证过程无非就是通过 HTTP 协议把几个参数传递一下,没有什么复杂的东西。但是,因为文档描述问题,这些参数应该怎么包装,签名应该如何做,如果不得要领是很烦人的事。我们在这一步把参数的包装和签名计算方法搞定,之后的两步就水道渠成了。

OAuth 的认证参数通常是放到头部信息中传递的(当然,也可以放到 URL 中),这个头部信息如何包装我们之后会细细介绍。

参看官方文档 http://open.weibo.com/wiki/index.php/Oauth/request_token ,得知请求 request_token 时需要的参数有:

  • oauth_consumer_key: 创建应用时生成的 APP_KEY 。
  • oauth_signature_method: 签名方法,使用 HMAC-SHA1 。
  • oauth_timestamp: 时间戳。 int(time.time()) 就可以了。
  • oauth_nonce: 单次值,一个随机字符串,防止重复攻击。我使用 uuid.uuid4().hex 。
  • oauth_version: OAuth协议版本。填写 1.0 。
  • oauth_signature: 签名值,是由根据上面的 5 个参数生成的 Base String 经 HMAC-SHA1 算法计算得出。

上面的参数当中,除了最后一个 oauth_signature ,其它的都应该很清楚

2.2. oauth_signature的计算方法

oauth_signature 是通过 HMAC-SHA1 算法,处理一个叫 Base String 的字符串,最后取 base64 编码得到的。而 Base String 字符串是由访问方法,访问 URL ,及前面的 5 个参数拼接而成。

假设访问方法是 GET ,要访问的 URL 是http://api.t.sina.com.cn/oauth/request_token ,同时假设这 5 个参数为:

  • oauth_consumer_key: 1234567
  • oauth_version: 1.0
  • oauth_timestamp: 1307980836
  • oauth_nonce: xxoo
  • oauth_signature_method: HMAC-SHA1
  • method = 'GET'
  • url = 'http://api.t.sina.com.cn/oauth/request_token'
  • p = ''
  • base_string = '%s&%s&%s' % (method, quote(url, safe=''), p)

最后的 Base String 即是使用 & 连接这三组数据, url 需要进行 URL 编码( / 也要编码,所以要加一个 safe='' )。我们重点说 p 如何得到。

p 由上面的 5 个参数 按序 拼接而成。

from urllib import urlencode, quote

params = [
    ('oauth_consumer_key', '1234567'),
    ('oauth_version', '1.0'),
    ('oauth_timestamp', '1307980836'),
    ('oauth_nonce', 'xxoo'),
    ('oauth_signature_method', 'HMAC-SHA1'),
]
params.sort()

p = quote(urlencode(params))

简单说,就是排序后进行 URL 编码再进行第二次 URL 编码。于是:

from urllib import urlencode, quote

method = 'GET'
url = 'http://api.t.sina.com.cn/oauth/request_token'
params = [
    ('oauth_consumer_key', '1234567'),
    ('oauth_version', '1.0'),
    ('oauth_timestamp', '1307980836'),
    ('oauth_nonce', 'xxoo'),
    ('oauth_signature_method', 'HMAC-SHA1'),
]
params.sort()

p = quote(urlencode(params))

base_string = '%s&%s&%s' % (method, quote(url, safe=''), p)

-------------
GET&http%3A%2F%2Fapi.t.sina.com.cn%2Foauth%2Frequest_token&oauth_consumer
_key%3D1234567%26oauth_nonce%3Dxxoo%26oauth_signature_method%3DHMAC
-SHA1%26oauth_timestamp%3D1307980836%26oauth_version%3D1.0

得到 Base String 后,需要使用 HMAC-SHA1 算法对其进行处理(HMAC 算法需要一个 KEY ,在实际认证中使用 APP_SECRET 或者 *_secret ),在 Python 中有现成的模块可以使用:

import hmac, hashlib

KEY = 'abc'

h = hmac.new(KEY, base_string, hashlib.sha1)
s = h.digest()
signature = quote(s.encode('base64').rstrip())
#gA6Eo8xQgEgHMbaOdIdXFwbH/1Y%3D

最后的结果,就是我们需要的签名值。

2.3. 完整的例子

#! /usr/bin/python
# -*- coding: utf-8 -*-

from urllib import quote, urlencode
import urllib2
import time
import uuid
import hmac, hashlib

def get_token():
    URL = 'http://api.t.sina.com.cn/oauth/request_token'
    APP_KEY = '' #写自己的
    APP_SECRET = ''

    params = [
        ('oauth_consumer_key', APP_KEY),
        ('oauth_nonce', uuid.uuid4().hex),
        ('oauth_signature_method', 'HMAC-SHA1'),
        ('oauth_timestamp', int(time.time())),
        ('oauth_version', '1.0'),
    ]

    params.sort()

    p = 'GET&%s&%s' % (quote(URL, safe=''), quote(urlencode(params)))
    signature = hmac.new(APP_SECRET + '&', p, hashlib.sha1).digest().encode('base64').rstrip()

    params.append(('oauth_signature', quote(signature)))

    h = ', '.join(['%s="%s"' % (k, v) for (k, v) in params])

    r = urllib2.Request(URL, headers={'Authorization': 'OAuth realm="", %s' % h})

    data = urllib2.urlopen(r).read()
    token, secret = [pair.split('=')[1] for pair in data.split('&')]

    return token, secret

if __name__ == '__main__':
    print get_token()

这一步过后,我们就获得了 request_token 和 request_secret 。

2.4. authorize

这一步做得事情就简单多了,只需要把上一步获取到的 request_token 作为 oauth_token 这个参数添加到 URL http://api.t.sina.com.cn/oauth/authorize 后面进行访问就可以了。

新浪微博的系统会自动作用户的登陆处理(或者可以传入 userId 和 passwd 直接获取到verifier ),然后用户可以选择是否授权给你的应用。确认后,你可以得到 verifier 用于下一步。

参见官方的文档 http://open.weibo.com/wiki/index.php/Oauth/authorize ,除了oauth_token 这个必须的参数以个,还有几个可选的参数:

  • oauth_callback: 用户确认授权后,重定向到的 URL 地址, verifier 和 oauth_token 会作为参数跟在此 URL 后面。
  • display: 页面调用方式。
  • userId: 账户名。
  • passwd: 密码。

其中 userId 和 passwd 是和 oauth_callback=json|xml 配合使用的。它直接返回verifier ,没有确认授权页面。

假设上一步我们得到的 request_token 是 808cb0645284a4e0995fbcc7ac29e381 ,那么最简单的一个 URL 就是

http://api.t.sina.com.cn/oauth/authorize?oauth_token=808cb0645284a4e0995fbcc7ac29e381

在浏览器当中直接访问这个地址即可。新浪微博会让你登陆并确认授权。之后会在页面中显示verifier 。

如果是 web 应用的话,一般我们会使用回调地址的方式,使用 oauth_callback 传递地址:

http://api.t.sina.com.cn/oauth/authorize?oauth_token=808cb0645284a4e0995fbcc7ac29e381&oauth_callback=http%3A%2F%2Flocalhost%3A8080%2F

上面的 URL 中,我们把 http://localhost:8080/ 进行 URL 编码后放到 oauth_callback参数当中。

访问并授权后,页面会重定向到:

http://localhost:8080/?oauth_token=d18fbed6c40ba7b961aa860087b427e7&oauth_verifier=706286

这里有 oauth_token 和 oauth_verifier ,你可以在后端处理它们了。

经过这一步,我们现在手头上有 request_token , request_secret , verifier 这三个东西了。下一步会用到它们。

2.5. access_token

这一步我们使用手中的 request_token , request_secret , verifier 去换取一对access_token 和 access_secret 。整体上和第一步的操作相同。就是计算签名值和包装参数。前面是使用的 GET 方法,这里要使用 POST 方法了。

参见官方的文档 http://open.weibo.com/wiki/index.php/Oauth/access_token ,需要传递的 OAuth 参数有:

  • oauth_consumer_key: APP_KEY
  • oauth_token: 我们手中的 request_token
  • oauth_signature_method: 签名方法,使用 HMAC-SHA1
  • oauth_timestamp: 时间戳
  • oauth_nonce: 单次值
  • oauth_version: OAuth协议版本。写 1.0
  • oauth_verifier: 我们手中的 verifier
  • oauth_signature: 签名值,是由根据上面的几个参数生成的 Base String 经 HMAC-SHA1 算法计算得出。

这里计算 oauth_signature 时不同的地方就是要使用 request_secret 作为 HMAC 的 KEY 的一部分:

前面的是这样:

signature = hmac.new(APP_SECRET + '&', p, hashlib.sha1).digest().encode('base64').rstrip()

现在需要这样:

signature = hmac.new(APP_SECRET + '&' + request_token, p,
                     hashlib.sha1).digest().encode('base64').rstrip()

完整的代码如下:

#! /usr/bin/python
# -*- coding: utf-8 -*-

from urllib import quote, urlencode
import urllib2
import time
import uuid
import hmac, hashlib

def get_access_token(token, secret, verifier):
    URI = 'http://api.t.sina.com.cn/oauth/access_token'
    APP_KEY = '' #写自己的
    APP_SECRET = ''

    headers = [
        ('oauth_consumer_key', APP_KEY),
        ('oauth_nonce', uuid.uuid4().hex),
        ('oauth_signature_method', 'HMAC-SHA1'),
        ('oauth_timestamp', int(time.time())),
        ('oauth_version', '1.0'),
        ('oauth_token', token),
        ('oauth_verifier', verifier),
        ('oauth_token_secret', secret),
    ]

    headers.sort()

    p = 'POST&%s&%s' % (quote(URI, safe=''), quote(urlencode(headers)))
    signature = hmac.new(APP_SECRET + '&' + secret, p,
                         hashlib.sha1).digest().encode('base64').rstrip()

    headers.append(('oauth_signature', quote(signature)))

    h = ', '.join(['%s="%s"' % (k, v) for (k, v) in headers])

    r = urllib2.Request(URI, headers={'Authorization': 'OAuth realm="", %s' % h})

    data = urllib2.urlopen(r, data='').read()
    token, secret, user_id = [pair.split('=')[1] for pair in data.split('&')]

    return token, secret, user_id

if __name__ == '__main__':
    print get_access_token('0a426d1b8695df7888c0b79d77c2071c',
                           '77764447cbdd856463b3198c935bad41',
                           '601738')

上面代码中,调用 get_access_token 函数的三个参数都在上一步获取到了的。

访问之后,你可以得到一个新的 access_token ( request_secret 没有变的,当然,之后我们可以把它改叫做 access_secret ),之后我们就使用它去访问各个需要授权的 API 接口了。

3. 获取授权者的个人信息

现在我们手头上有 access_token 和 access_secret 了,作为示例,我们去获取一下授权者的个人信息。

查看官方文档 http://open.weibo.com/wiki/index.php/Account/verify_credentials,这个验证用户身份的 API 可以获取用户信息。

像之前的认证过程一样,需要在头部中带上 OAuth 的那 7 个参数:

  • oauth_consumer_key: APP_KEY
  • oauth_token: 我们手中的 access_token
  • oauth_signature_method: 签名方法,使用 HMAC-SHA1
  • oauth_timestamp: 时间戳
  • oauth_nonce: 单次值
  • oauth_version: OAuth协议版本。写 1.0
  • oauth_signature: 签名值,是由根据上面的几个参数生成的 Base String 经 HMAC-SHA1 算法计算得出。

应该说的前面已经说过了,直接上代码吧:

#! /usr/bin/python
# -*- coding: utf-8 -*-

from urllib import quote, urlencode
import urllib2
import time
import uuid
import hmac, hashlib

def get_info(token, secret):
    URI = 'http://api.t.sina.com.cn/account/verify_credentials.json'
    APP_KEY = '' #写自己的
    APP_SECRET = ''

    headers = [
        ('oauth_consumer_key', APP_KEY),
        ('oauth_nonce', uuid.uuid4().hex),
        ('oauth_signature_method', 'HMAC-SHA1'),
        ('oauth_timestamp', int(time.time())),
        ('oauth_version', '1.0'),
        ('oauth_token', token)
    ]

    headers.sort()

    p = 'POST&%s&%s' % (quote(URI, safe=''), quote(urlencode(headers)))
    signature = hmac.new(APP_SECRET + '&' + secret, p,
                         hashlib.sha1).digest().encode('base64').rstrip()

    headers.append(('oauth_signature', quote(signature)))

    h = ', '.join(['%s="%s"' % (k, v) for (k, v) in headers])

    r = urllib2.Request(URI, data='', headers={'Authorization': 'OAuth realm="", %s' % h})

    data = urllib2.urlopen(r).read()
    return data

if __name__ == '__main__':
    print get_info('97de3e2422c2b5fe4328d6cdc1ac5597', '2563a0ac36baecbbb7d93a4987d899df')

代码中调用 get_info 函数需要的两个参数就是前面我们已经取得的 access_token 和access_secret 。


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Python:OAuth2第三方登录之Github
Python:OAuth2第三方登录之Github
0 0
Python编程:MySQLdb模块对数据库的基本增删改查操作
Python编程:MySQLdb模块对数据库的基本增删改查操作
0 0
Python编程:entry_points将Python模块转变为命令行工具
Python编程:entry_points将Python模块转变为命令行工具
0 0
Python编程:SQLAlchemy查询数据没有变化
遇到一个问题,使用一条相同的sql,多次查询数据库,每次数据都一样,而且数据库更新了,也没有查到新数据 经过Google,发现是SQLAlchemy的缓存机制导致的 设置隔离级别参数isolation_level 就可以解决
0 0
Python程序设计 实验9:GUI编程
Python程序设计 实验9:GUI编程
0 0
Python编程:运行目录或zip压缩文件
Python编程:运行目录或zip压缩文件
0 0
Python编程:PyThink数据库交互模块提高爬虫编写速度
Python编程:PyThink数据库交互模块提高爬虫编写速度
0 0
Python编程:glob模块进行文件名模式匹配
Python编程:glob模块进行文件名模式匹配
0 0
Python编程:heapq模块堆排序
堆是一个二叉树,其中每个父节点的值都小于或等于其所有子节点的值。 整个堆的最小元素总是位于二叉树的根节点。 python的heapq模块提供了对堆的支持。 堆数据结构最重要的特征是heap[0]永远是最小的元素
0 0
Python编程:实现消息发布/订阅模型
Python编程:实现消息发布/订阅模型
0 0
+关注
zephyr
前端,Python,BI,OLAP
文章
问答
文章排行榜
最热
最新
相关电子书
更多
Python系列直播第一讲——Python中的一切皆对象
立即下载
ACE 区域技术发展峰会:Flink Python Table API入门及实践
立即下载
Python 系列直播——深入Python与日志服务,玩转大规模数据分析处理实战第二讲
立即下载