oauth授权

1.OAuth
OAuth是一种国际通用的授权方式，它的特点是不需要用户在第三方应用输入用户名及密码。OAuth的技术说明可参看官方网站 http://oauth.net (英文)。

微博系统中，OAuth的Access token不会过期，只有用户手工撤销授权或收回您的app访问权限access token才会失效。

目前OAuth只支持授权读写访问，授权的应用可以获取用户数据及发表微博。目前暂时不支持只读权限授权。

2.认证流程及访问资源流程
腾讯微博API通过以下四个步骤来完成认证授权并访问或修改受限资源的流程

1.获取未授权的Request Token(temporary credentials)
2.请求用户授权Request Token
3.使用授权后的Request Token换取Access Token(token credentials)
4.使用 Access Token 访问或修改受保护资源

3.桌面应用的OAuth使用方式
OAuth协议规范由于需要输入密码之后跳转到callback URL, 因此并不十分适合桌面软件(非Web软件)。我们采用输入PIN的方式来激活纯桌面应用。具体流程为：

第三方应用软件向API调用获得request token
用户打开网页跳转到新浪微博网站输入用户名及密码。
验证通过之后，用户会看到一个PIN码。
新浪验证通过网页界面提示用户需要到应用软件输入PIN码。
第三方应用软件提示用户输入PIN码。
第三方应用软件将PIN作为oauth/access_token接口的oauth_verifier parameter参数传入，获取access_token.
API接口返回后续请求所需access_token

 

4.
 RequestToken resToken=weboauth.request("http://localhost/s/callback.jsp");
 
  response.sendRedirect(resToken.getAuthorizationURL());
// http://localhost/s/callback.jsp?oauth_token=68fbb7cadac41b0a152afe2e82a5a225&oauth_verifier=712361

 AccessToken accessToken=weboauth.requstAccessToken(resToken,verifier);
   
     //第二个参数每次只能用一次，发表微博内容不能重复，如果重复发会返回400错误
     //这个accessToken不用每次访问都重新取，可以存到session里面用
     weboauth.update(accessToken,"web方式发表微博4");
     out.println("发表成功");