新浪微博开发（二）Oauth介绍

开放平台有两种认证方式，一种是Basic Auth，一种是OAuth。

1、Basic Auth（HTTP Auth）

Basic Auth简单点说明就是每次请求API时都提供用户的username和password。例如：

“curl -u user:password -d"source=10001&status=api test"http://api.t.sina.com.cn/update.xml”

2、OAuth

OAuth为用户资源的授权提供了一个安全、开放的标准，将会是以后开发平台普遍遵守的，目前Twitter、Sina微博、豆瓣、Google等都提供对它的支持。它分为几个交互过程：

1）应用用APP KEY和APP SECRET换取OAuth_token；

2）应用将用户引导到服务商的页面对该OAuth_token进行授权（可能需要输入用户名和密码）；

3）服务商的页面跳转回应用，应用再根据参数去服务商获得Access Token；

4）使用这个Access Token就可以访问API了。

上述过程如下图所示：

OAuth认证过程

OAuth的优点：

²安全性高，用户的账户和密码只需要提供一次，而且是在服务商的页面上提供，防止了Basic Auth反复传输密码带来的安全隐患；

²Access Token访问权限仅限于应用，被窃取不会影响用户在该服务商的其他服务；

²Access Token即使被监听丢失了随时可以撤销，不像密码丢失可能就被别人篡改了；

²用户修改了密码也不会影响该应用的正常使用

OAuth2.0

OAuth2.0是从2006年开始设计OAuth协议的下一个版本，OAuth2.0同时提供Web，桌面和移动应用程序的支持，并较1.0相比整个授权验证流程更简单更安全。也是新浪微博开放平台未来最主要的用户身份验证和授权方式。

新浪微博开放平台已推出OAuth2.0，同时提供对Web，桌面和移动应用程序的支持，并较1.0相比整个授权验证流程更简单更安全。也是未来最主要的用户身份验证和授权方式。

要强调一下，我使用的是Oauth 1.0 认证进行开发的