xAuth简介
使用xAuth认证方式,您仍然需要了解如何生成OAuth签名。
为了方便桌面应用和移动应用,特别是那些缺乏浏览器支持的应用,xAuth认证为这类应用提供了一种使用用户名和密码来获取OAuth的 Access Token的方式。 采用xAuth认证的桌面应用和移动应用可以跳过oauth/request_token(获取Request Token)以及oauth/authorize(授权Request Token)两步,只要提供了username和password以后,即可直接通过oauth/access_token接口得到Access Token。
使用xAuth
要使用xAuth认证,需要经过以下步骤:
1. 申请xAuth认证使用资格:现在Xauth权限已经对所有客户端类型应用直接开放。只要在申请应用时选择应用类型为“客户端”,都将直接开通Xauth权限。没有开通xauth权限的key将会返回403,forbidden。如果您已经获得xAuth使用权,请直接看第2步。
2. 获得xAuth的使用权后,为了能够生成OAuth签名,首先应该生成OAuth的BaseString。注意,生成BaseString时需要传入如下几个参数:
* x_auth_username:用户名
* x_auth_password:密码
* x_auth_mode:标识字段,这里必须是"client_auth"。
* oauth_consumer_key: 创建应用时生成的APP KEY。
* oauth_signature_method: 签名方法,建议使用“HMAC-SHA1”。
* oauth_timestamp:时间戳。生成Base String时的时间戳。
* oauth_nonce:单次值,一个随机字符串,防止重复攻击。
* oauth_version : OAuth协议版本。填写“1.0”。
生成的BaseString如下:
"POST&http%3A%2F%2Fapi.t.sohu.com%2Foauth%2Faccess_token&oauth_consumer_key%3D"+oauth_consumer_key+"%26"+
"oauth_nonce%3D"+noonce+"%26oauth_signature_method%3DHMAC-SHA1%26oauth_timestamp%3D"+time+"%26oauth_version%3D1.0"+
"%26x_auth_mode%3Dclient_auth%26x_auth_password%3D"+password+"%26x_auth_username%3D"+username;
3.根据oauth生成算法,.用刚刚生成的BaseString,经过HMAC-SHA1生成oauth_signature,注意这里的key是 consumer secret 后面加一个&,因为我们并没有oauth_token_secret,这是和oauth生成算法不一样的地方。生成key示例如下:
2u/xFErTc8vC1Z6R940HU3i5wAk=
URLEncode如下:
2u%2FxFErTc8vC1Z6R940HU3i5wAk%3D
4.根据以下参数向并向http://api.t.sohu.com/oauth/access_token接口提交POST请求:
· Httpheader 中的参数包括:
o oauth_consumer_key -
o oauth_nonce -
o oauth_signature_method - HMAC-SHA1
o oauth_timestamp - 1284565601
o oauth_version - 1.0
· HTTP post-body中包含的参数:
o x_auth_mode - client_auth
o x_auth_password – pwd
o x_auth_username – user_name
如下所示:
POST /oauth/access_token HTTP/1.1
Authorization: OAuth oauth_consumer_key="dbdP67NTrrNU0v2N6Yuu",oauth_version="1.0", oauth_signature_method="HMAC-SHA1",oauth_timestamp="1310372236", oauth_nonce="518611817947878737",oauth_signature="2u%2FxFErTc8vC1Z6R940HU3i5wAk%3D"
User-Agent: Java/1.6.0_13
Host: api.t.sohu.com
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: keep-alive
Content-type: application/x-www-form-urlencoded
Content-Length: 78
x_auth_username=---------&x_auth_password=------&x_auth_mode=client_auth
5. 得到的返回结果示例如下:
oauth_token=b3d804ee16d9d92820fb2f188203909a&oauth_token_secret=c2d687416889d575575ed8c2694a208b&user_id=100945678&screen_name=..&x_auth_expires=0
将返回结果按"&"拆开,oauth_token的值即为access_token。
6.如何使用access_token和oauth_token_secret来调用接口. 这里我们以查看用户详细信息为例子介绍。http://api.t.sohu.com/users/show.json
OAuthConsumer consumer = new DefaultOAuthConsumer(
"dbdP67NTrrNU0v2N6Yuu",consumer_secret);
// access_token和 access_token_secret consumer.setTokenWithSecret("b3d804ee16d9d92820fb2f188203909a","c2d687416889d575575ed8c2694a208b");
URL url = new URL("http://api.t.sohu.com/users/show.json");
HttpURLConnection request;
request = (HttpURLConnection)url.openConnection();
request.setDoOutput(true);
request.setRequestMethod("GET");
System.out.println("Sendingrequest...");
consumer.sign(request);
request.connect();
System.out.println("Response: " +request.getResponseCode() + " "
+ request.getResponseMessage());
BufferedReader reader =newBufferedReader(new InputStreamReader(request.getInputStream()));
String b = null;
while((b = reader.readLine())!=null){
System.out.println(b);
}
request.disconnect();
}
得到结果如下:
{"id":"100945678","screen_name":"未见见","name":"","location":"北京市,海淀区","description":"","url":"","profile_image_url":"http://s4.cr.itc.cn/mblog/icon/3d/6f/m_13080399324892.jpg","protected":true,"followers_count":62,"profile_background_color":"","profile_text_color":"","profile_link_color":"","profile_sidebar_fill_color":"","profile_sidebar_border_color":"","friends_count":213,"created_at":"MonMay 09 20:09:06 +08002011","favourites_count":1,"utc_offset":"","time_zone":"","profile_background_image_url":"","notifications":"","geo_enabled":false,"statuses_count":264,"following":true,"verified":false,"lang":"zh_cn","contributors_enabled":false}
HTTP 请求如下:
GET /users/show.json HTTP/1.1
Authorization: OAuthoauth_token="b3d804ee16d9d92820fb2f188203909a",oauth_consumer_key="dbdP67NTrrNU0v2N6Yuu", oauth_version="1.0",oauth_signature_method="HMAC-SHA1",oauth_timestamp="1310437374",oauth_nonce="-4185729389431891046", oauth_signature="tEvVrQobzXoyJYqLq7qxApPQJks%3D"
User-Agent: Java/1.6.0_13
Host: api.t.sohu.com
Accept: text/html, image/gif,image/jpeg, *; q=.2, */*; q=.2