使用Java通过OAuth协议验证发送微博的教程
虽然新浪微博开放平台中提供各种语言版本的开发 sdk 下载,也各自附有一些基本接口调用的 demo 和接口说明文档。但是这几天的耐心尝试之后,感觉新浪微博开放平台上的入门指导和下载到的 java 开发包 weibo4j 包里面的 demo 使用注释有些不一致。再加上自身领悟能力有限,导致遇到好些摸不着头脑的难题。不过幸好没有放弃去尝试弄懂它。废话少说,下面是我学习的过程。
想要通过调用新浪微博开放平台 api 开发自己的微博应用,第一步是拥有sina 微博账号和csdn 账号,因为我们要同时用这两个账号创建微博应用,以此获得 app key 和 secret key 。那 app key 和 secret key 有什么用?
其实我单单看了sina 微博开放平台的一系列说明都不怎么理解app key 和 secret key 有啥用。因为更加重点是必须理解 oauth 认证、授权的整个流程,以及在整个oauth 认证、授权流程中好几个 token 、4个 url的作用。
刚开始遇到完全没个概念的 oauth 时,以为就没戏学习不下去了。好在搜到下面这些文章,对于理解 oauth 非常有帮助,链接如下:
- oauth协议简介
- 基于 oauth 安全协议的 java 应用编程
- 在twitter应用中使用oauth
在 oauth 中有3个参与者,分别是 user 、service provider 、consumer 。假设我要开发一个基于 sina 微博开放平台的应用(app),供其他 sina 微博用户使用。它们的对应关系如下:
- user => 想要使用此app的sina微博用户
- provider => sina微博开放平台
- consumer => app
其实我们这个 app 对于 user 和 provider(sina微博平台)来说,相当于一个第三方应用。作为第三方的 app 想要访问 user保存于 sina微博平台中的资源,肯定必须经过一系列认证和授权之后才能够行得通。
下面是基于我对整个 oauth 认证、授权流程的理解画成的图(可以看一下跳过,当对后面的一些概念有一定理解之后再回头看看这流程图):
结合上面的流程图,下面是我对这些术语的理解以及各个流程的描述:
consumer key 、consumer secret :在sina 微博开放平台分别称为 app key、secret key。consumer向 provider 申请希望能够调用其开放 api,申请通过后由 provider 分配给符合其要求的 consumer ,用于唯一标识该 consumer 符合 provider 的要求。
对应于上图的流程 1 和 2。
request token 、request secret :当 user 访问 consumer 并希望能够获得其特殊服务,该服务由 consumer 对 user 自身存放在 provider 中的资源进行整合操作之后返回。此时 consumer 向 provider 请求获得 requst token,用于唯一标识该 consumer 与该 user 的特定关联。
对应于上图的流程 3 、4 、5。
至流程 6 ,consumer 必须把 user 引导到provider所提供的 oauth 认证、授权页面,其实就是浏览器重定向到附加有 request token 和 request secret 参数的 authenticationurl。该 url 由 provider 提供。
接下来流程 7 和 8 中 user 授权该 consumer(一般是通过输入账号、密码登录而已),则 provider 将重定向到流程 1 中 consumer 提供的 callback_url ,并且在该 url 参数中附加了 oauth token 和oauth verifier 。
流程 9 是 consumer 通过之前已从 provider 那里获取来的 request token 再次请求 provider 以获取 access token 。
access token 、 access secret :若流程 10 中 provider 返回一个未经 user 授权的 access token ,它用于唯一标识特定 consumer 可以访问某 user 存放在 provider 中的资源、信息。那么 consumer 就可以开始使用获取到的 access token 和 access secret 访问对应 user 存放在 provider 中的资源。
经过流程 11 中对 user 信息的整合、操作之后,就可以将特定的服务结果返回给 user 了。
通过上面对于 oauth 流程的理解,我们知道其实 user 完全没有将自己登录 provider 所需的账号、密码等泄露给第三方的 consumer 。同时 user 又能使用到 consumer 的特殊服务。真是很巧妙的而又安全的操作流程啊!
此外,上图中 consumer 有 3 次与 provider 发出不同的请求,其实就是由 provider 提供 3 个不同作用的 url 给 consumer 访问。在 sina 微博开放平台中这 3 个 url 的截图如下:
sina微博开放平台中使用oauth验证并发表微博
要使用sina微博开放平台的api,应先获取sina分配的app key 和app secret,下面是我创建应用之后sina分配的app key 和app secret(这个可是要保密的哦)。
然后是下载微博 sdk,我用 java 的 weibo4j。
修改sdk包里面 weibo.java 类的 app key 和app secret 为刚刚获取的 app key 和app secret ,如下图使用说明所示:
完成了这些之后,就可以根据提供的demo开始写代码了。如下:
weboauth.java,用于初始化weibo.java类所需的app key 和 app secret,并提供获取request token 和access token 的方法getrequesttoken()、gettaccesstoken(),其所需参数如代码所示。另外,还提供了发布一个文本微博的方法update()。
package weibo4j.examples;
import weibo4j.status;
import weibo4j.weibo;
import weibo4j.weiboexception;
import weibo4j.http.accesstoken;
import weibo4j.http.requesttoken;
import java.io.unsupportedencodingexception;
// web 方式认证
public class weboauth {
private weibo weibo;
public weboauth(){
// 准备好consumer key、consumer secret
// 对应于新浪微博应用就是申请到的 app key 和 secret key
system.setproperty("weibo4j.oauth.consumerkey", weibo.consumer_key);
system.setproperty("weibo4j.oauth.consumersecret", weibo.consumer_secret);
weibo = new weibo();
}
// 根据传入的 callback_url 获取 request token
public requesttoken getrequesttoken(string backurl) {
try {
// 指定 callback_url 并获得 request token
requesttoken requesttoken = weibo.getoauthrequesttoken(backurl);
system.out.println("request token: " + requesttoken.gettoken());
system.out.println("request token secret: " + requesttoken.gettokensecret());
return requesttoken;
} catch (exception e) {
system.out.println("获取request token发生异常!");
e.printstacktrace();
return null;
}
}
// 根据传入的 request token 和 verifier 获取 access token
public accesstoken gettaccesstoken(requesttoken requesttoken, string verifier) {
try {
accesstoken accesstoken = weibo.getoauthaccesstoken(requesttoken
.gettoken(), requesttoken.gettokensecret(), verifier);
system.out.println("access token: " + accesstoken.gettoken());
system.out.println("access token secret: " + accesstoken.gettokensecret());
return accesstoken;
} catch (exception e) {
system.out.println("获取access token发生异常!");
e.printstacktrace();
return null;
}
}
// 根据传入的 access token 和内容发表微博
public void update(accesstoken access, string content) {
try {
weibo.settoken(access.gettoken(), access.gettokensecret());
content = new string(content.getbytes("gbk"), "utf-8");
status status = weibo.updatestatus(content);
system.out.println("成功发表微博:" + status.gettext() + ".");
} catch (unsupportedencodingexception e) {
system.out.println("微博内容转编码发生异常!");
e.printstacktrace();
} catch (weiboexception e) {
system.out.println("发表微博发生异常!");
e.printstacktrace();
}
}
}
request.jsp,用于提供 callback_url(这里我们自定义为下文中的callback.jsp),当获取得到requesttoken之后,保存该requesttoken到session中,并将页面重定向到callback.jsp进行验证、授权。
<%@ page contenttype="text/html;charset=utf-8" %>
<%@ page language="java" import="weibo4j.*" %>
<%@ page language="java" import="weibo4j.http.*" %>
<%@ page language="java" import="weibo4j.util.*" %>
<jsp:usebean id="weboauth" scope="session" class="weibo4j.examples.weboauth" />
<%
if("1".equals(request.getparameter("opt")))
{
// 传入callback_url
string callback_url = "http://localhost:8080/sinaweibo/callback.jsp";
requesttoken requesttoken = weboauth.getrequesttoken(callback_url);
if(requesttoken != null){
out.println(requesttoken.gettoken());
out.println(requesttoken.gettokensecret());
session.setattribute("requesttoken",requesttoken);
string url = requesttoken.getauthorizationurl()+"&oauth_callback="+callback_url;
system.out.println("authorizationurl:" + url);
//barebonesbrowserlaunch.openurl(callback_url);
//response.sendredirect(requesttoken.getauthorizationurl());
// 重定向到附加了callback_url回调地址的sina微博认证页面
response.sendredirect(url);
}else{
out.println("request error");
}
}else{
%>
<a href="request.jsp?opt=1">请点击进行web方式的oauth认证!</a>
<% } %>
callback.jsp,在上一步中重定向之后,callback_url 后面会被附加了oauth_verifier参数,此时我们根据保存在 session中的requesttoken和获取到的oauth_verifier参数申请获得accesstoken。一旦获得accesstoken,我们再把页面重定向到编写微博的页面writeweibo.html。
<%@ page contenttype="text/html;charset=utf-8" %>
<%@ page language="java" import="weibo4j.http.*" %>
<%@ page language="java" import="weibo4j.*" %>
<jsp:usebean id="weboauth" scope="session" class="weibo4j.examples.weboauth" />
<%
// 获得http请求中的 oauth_verifier 参数
string verifier=request.getparameter("oauth_verifier");
out.println("oauth_verifier:"+verifier);
system.out.println("oauth_verifier:"+verifier);
if(verifier != null){
requesttoken requesttoken = (requesttoken)session.getattribute("requesttoken");
if(requesttoken != null){
accesstoken accesstoken = weboauth.gettaccesstoken(requesttoken,verifier);
if(accesstoken != null){
try{
session.setattribute("accesstoken",accesstoken);
out.println("5 秒后转到 writeweibo.html");
thread.sleep(5000);
response.sendredirect("http://localhost:8080/sinaweibo/writeweibo.html");
}catch(exception e){
e.printstacktrace();
}
}else{
out.println("access token request error");
}
}else{
out.println("request token session error");
}
}else{
out.println("verifier string error");
}
%>
writeweibo.html,很简单的html文件。
<html>
<head><title>发布sina微博</title></head>
<body bgcolor="#d0d0d0" >
<form action="updateweibo.jsp" method="post">
请在这里写上140字符以内的文本:</br>
<textarea name="weibotext" rows="3" cols="30">测试新浪微博!</textarea></br>
<input type="submit" value="发布">
<input type="reset" value="清除"></br>
</form>
</body>
</html>
updateweibo.jsp,用于发表文本微博,即调用weboauth.java 中的update方法。
<%@ page contenttype="text/html;charset=utf-8" %>
<%@ page language="java" import="weibo4j.http.*" %>
<%@ page language="java" import="weibo4j.*" %>
<jsp:usebean id="weboauth" scope="session" class="weibo4j.examples.weboauth" />
<%
accesstoken accesstoken = (accesstoken)session.getattribute("accesstoken");
string weibotext = (string)request.getparameter("weibotext");
// 连续发表同样的微博内容会返回400错误
weboauth.update(accesstoken, weibotext);
out.println("微博发表成功!");
%>
运行之前我们要准备好 tomcat ,并将上面的源文件放到正确的目录中。此外,还应该在\web-inf\lib目录下添加sdk包中带有的commons-httpclient-3.1.jar 包,以及我自己编译、打包后的weibo4j.jar(里面是sina微博开放平台中的具体java实现)。
运行tomcat,在浏览器中访问request.jsp 页面,如下图:
点击其中的链接,如下图(注意地址栏的变化):
其中地址栏的url如下:
http://api.t.sina.com.cn/oauth/authorize?oauth_token=efda6f2499877d0e6d814f8c3d31a1d1&oauth_callback=http://localhost:8080/sinaweibo/callback.jsp
填上具体有效的sina微博账号、密码并授权。以下是填上了我测试用的微博账号并授权的结果:
其中地址栏的url如下:
http://localhost:8080/sinaweibo/writeweibo.html
点击“发布”,如下图:
登录微博查看一下,如下图:
查看一下该账号所授权的应用列表:
至此,关于oauth方式使用sina微博开放平台来发布微博就大概是这个过程。
小结:
1、其实还有好多细节没能讲到,我也是尝试了好多次才一点点发现问题、理解问题、再到解决问题;
2、如果浏览器中已经保存了我们登录sina微博的账号信息的cookie,那么在授权时不用输入账号信息,当然也可以修改不用当前账号进行授权;
3、还有控制台输入的一些信息,例如token、url、服务器返回信息都没有截图给出。