手机浏览 RSS 2.0 订阅 膘叔的简单人生 , 腾讯云RDS购买 | 超便宜的Vultr , 注册 | 登陆
浏览模式: 标准 | 列表Tag:新浪

Oauth的变迁

Submitted by gouki on 2011, November 10, 10:01 PM

因为新浪的Oauth即将变成2.0,所以找找资料
老王更新了,还画了ascii图,说实话我是对他文中的那个画ascii图的视频有兴趣。。。
老王在博客里是这么介绍的:

OAuth2.0

OAuth1.0虽然在安全性上经过修补已经没有问题了,但还存在其它的缺点,其中最主要的莫过于以下两点:其一,签名逻辑过于复杂,对开发者不够友好;其二,授权流程太过单一,除了Web应用以外,对桌面、移动应用来说不够友好。

为了弥补这些短板,OAuth2.0做了以下改变:

首先,去掉签名,改用SSL(HTTPS)确保安全性,所有的token不再有对应的secret存在,这也直接导致OAuth2.0不兼容老版本。

其次,针对不同的情况使用不同的授权流程,和老版本只有一种授权流程相比,新版本提供了四种授权流程,可依据客观情况选择。

在详细说明授权流程之前,我们需要先了解一下OAuth2.0中的角色:

OAuth1.0定义了三种角色:User、Service Provider、Consumer。而OAuth2.0则定义了四种角色:Resource Owner、Resource Server、Client、Authorization Server:

  • Resource Owner:User
  • Resource Server:Service Provider
  • Client:Consumer
  • Authorization Server:Service Provider

也就是说,OAuth2.0把原本OAuth1.0里的Service Provider角色分拆成Resource Server和Authorization Server两个角色,在授权时交互的是Authorization Server,在请求资源时交互的是Resource Server,当然,有时候他们是合二为一的。

-------
当然,我这里CP的不全,更详细的请看:http://huoding.com/2011/11/08/126
如果不把ascii图CP过来,老王是不是很伤心?

这是第二次CP的。希望成功
  1. +----------+  
  2. | resource |  
  3. |   owner  |  
  4. |          |  
  5. +----------+  
  6.      ^  
  7.      |  
  8.     (B)  
  9. +----|-----+          Client Identifier      +---------------+  
  10. |         -+----(A)-- & Redirection URI ---->|               |  
  11. |  User-   |                                 | Authorization |  
  12. |  Agent  -+----(B)-- User authenticates --->|     Server    |  
  13. |          |                                 |               |  
  14. |         -+----(C)-- Authorization Code ---<|               |  
  15. +-|----|---+                                 +---------------+  
  16.   |    |                                         ^      v  
  17.  (A)  (C)                                        |      |  
  18.   |    |                                         |      |  
  19.   ^    v                                         |      |  
  20. +---------+                                      |      |  
  21. |         |>---(D)-- Authorization Code ---------'      |  
  22. |  Client |          & Redirection URI                  |  
  23. |         |                                             |  
  24. |         |<---(E)----- Access Token -------------------'  
  25. +---------+       (w/ Optional Refresh Token)  
哈哈,好象失败了。。。
OK,还有一篇介绍 :http://hueniverse.com/2010/05/introducing-oauth-2-0/

6 New Flows

  • User-Agent Flow – for clients running inside a user-agent (typically a web browser).
  • Web Server Flow – for clients that are part of a web server application, accessible via HTTP requests. This is a simpler version of the flow provided by OAuth 1.0.
  • Device Flow – suitable for clients executing on limited devices, but where the end-user has separate access to a browser on another computer or device.
  • Username and Password Flow – used in cases where the user trusts the client to handle its credentials but it is still undesirable for the client to store the user’s username and password.  This flow is only suitable when there is a high degree of trust between the user and the client.
  • Client Credentials Flow – the client uses its credentials to obtain an access token. This flow supports what is known as the 2-legged scenario.
  • Assertion Flow – the client presents an assertion such as a SAML assertion to the authorization server in exchange for an access token.

Native application support (applications running on a desktop or mobile device) can be implemented using many of the flows above.

----其实看起来就很纠结,反正先了解一下,refresh_token还得向新浪申请。真纠结

 

Tags: oauth, 新浪

PHP | 评论:1 | 阅读:16026

新浪微博API更换

Submitted by gouki on 2011, November 8, 11:42 PM

纠结,新浪微博的接口更新到V2了
不知道以后的项目中还能不能使用目前的方法了。
不管怎么样,先看起来再说吧。TNND

自11月1日起,新浪微博开放平台将启用新版接口,新版接口采用api.weibo.com的URL,更加高效,规范,也为开发者带来更多功能。


更高效:

1. 微博、评论、用户等接口返回值增加了trim开关,可屏蔽返回值字段。

2. 支持数据过滤与应用隔离,新增feature参数可以按“全部、原创、图片、视频、音乐”过滤输出微博;base_app参数可以设置是否只输出基于当前应用产生的微博内容;


更规范:

1. 使用OAuth2.0授权机制。

2. 重新梳理了URI里资源类的概念,比如:statuses/comments 改为 comments/show;

3. 统一参数、返回值字段,全新的错误返回值格式。

4. 放弃REST风格URI,采用域+版本号+资源类+接口名+返回值格式+参数


更多功能:

新增100多个新接口,其中包含:增强的关系接口、推荐接口、搜索推荐接口 、短链接接口、热门微博接口、帐号接口,陆续还会有更多新接口开放。


其中,OAuth2.0授权更安全,更简单


更安全:

Access Token不再永久有效,约定回调页,接口使用https,对用户和开发者都更加安全。


更简单:

授权流程更简单,签名机制大大简化,不再需要特殊的编码处理和对参数排序。


注:需要说明的是,新版接口只能使用OAuth2.0授权机制,建议大家近期逐渐开始迁移工作,以保证应用的正常使用;但短时间内旧的授权接口依旧可以使用,具体下线日期另行通知。


如您在迁移工作中有任何疑问,请发邮件至weibo_app@vip.sina.com,或者私信@微博api,会有专人为您解答问题。


新版接口WIKI文档:http://t.cn/aF4zI1

OAuth2.0开发指南:http://t.cn/aF4we8

----------------
短时间内可用旧接口,哎,怎么办
这是官网的地址:http://open.weibo.com/wiki/OAuth2/access_token#OAuth2.2Faccess_token

Tags: 新浪, weibo, api, oauth2

Linux | 评论:0 | 阅读:15265

SAE的升级真TMD扯蛋

Submitted by gouki on 2011, May 17, 9:09 PM

上午登录SAE的时候还是好好的,结果下午再看的时候,发现不能登录了。登录界面就一个,使用微博帐号登录。我晶,怎么搞成这样了?
再看一下首页,居然有老用户必看:http://sae.sina.com.cn/?m=devcenter&a=index&catId=33&content_id=121
内容就是这样的:

XML/HTML代码
  1. 即日(5月17日)起,SAE正式对外开放注册。  
  2.    
  3. 为答谢各位的支持,用户系统全新改版升级。您只需将帐号关联到微博便可享受升级的畅快与轻松,立即体验~~  
  4. 点击链接升级: http://sae.sina.com.cn/user/upgrade  
  5.    
  6. 注意:可以更换帐号安全认证的手机号,但手机号不能与其他帐号使用的手机号重复,一个手机号只能注册一个帐户  
  7.    
  8. 全新升级版SAE具有以下特性:  
  9.     *增加帐号关联微博功能,一键登录、多渠道快速接收最新最全通知;  
  10.     *新版SDK 支持代码冲突检测,解决多人多电脑编辑代码相互覆盖的问题;  
  11.     *新版SDK 支持全局热键。可将更新上传的热键设置为Ctrl+S,这样在编辑器里保存代码的同时即可进行上传哦!  
  12.    
  13. 如果您在升级过程中,有任何的疑问和建议,请@SinaAppEngine(http://weibo.com/saet)官方微博反馈给我们。我们会尽快为您答复和解决!  
  14. SAE更多精彩,更多体验,敬请期待!感谢大家对SAE的支持!  

我靠,这太TMD扯蛋了,比如,不能绑定域名先不说,现在又非要绑定微博帐号,真是觉得所有的人就非得用你的玩意吗?
新浪,请不要强*奸用户的意愿。看来真是做微博做的走火入魔了。

Tags: sae, 扯蛋, 升级, 新浪, 新浪微博

Misc | 评论:0 | 阅读:15855

奶粉,不多说,看源码

Submitted by gouki on 2008, September 19, 2:23 PM

http://news.sina.com.cn/c/2008-09-19/074516317802.shtml
http://news.sina.com.cn/c/2008-09-17/131714460852s.shtml
不多说,看这两个页面源码,再联系XX门事件。

忘了提了,是懂SEO的人看。普通人看了也白看。不截图,不留把柄

Tags: 奶粉, 新浪, 源码, 伊利

Misc | 评论:0 | 阅读:16942