学步园

作者：蒋宇捷（hfahe）

版权声明：原创作品，欢迎转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和本声明。

10月21日补充

解决Ajax跨域的方法

可通过新浪提供的JS SDK解决，详情参考http://open.t.sina.com.cn/wiki/index.php/JS-SDK，需要在服务器嵌入xd.html文件。

简介

         新浪微博开放平台的体系参考了Twitter，两者非常类似，包括接口、参数的定义，请求方式等等，如果熟悉Twitter的API，基本可以同样的适用到新浪微博开放平台上，同时此文档技术部分的信息也可以同样适用于Twitter。

         新浪微博开放平台的网站为http://open.t.sina.com.cn/，目前只部分页面对匿名用户开放。新浪微博开放平台的官方微博为http://t.sina.com.cn/openapi，可以在此申请API试用权限。

注册

         在开放平台登录后可以看到的界面如下所示：

         可以选择创建一个应用，需要设置应用名称、应用地址等。

         创建后可以在“我的应用”菜单里看到该应用和使用用户数，系统会为此应用分配一个APP KEY和APP SECRET，这两个字串非常重要，将会在以后认证或者信息交互时用到。

某应用的详细信息页面

         应用分为多个授权级别，分别为普通授权、中级授权、高级授权、合作伙伴授权，可以在http://open.t.sina.com.cn/wiki/index.php/Rate-limiting这里看到详细的权限信息。使用合作伙伴授权是没有请求限制的，而普通授权可能一不小心就会Server Limit了。

认证

         开放平台有两种认证方式，一种是Basic Auth，一种是OAuth。

         1、Basic Auth（HTTP Auth）

         Basic Auth简单点说明就是每次请求API时都提供用户的username和password。例如：

“curl -u user:password -d "source=10001&status=api test" http://api.t.sina.com.cn/update.xml”

。这种方式优点和缺点都很明显。

         优点：

u  使用非常简单，

u  开发和调试工作简单，

u  没有复杂的页面跳转逻辑和交互过程；

u  更利于发起方控制；

         缺点：

u  安全性低，每次都需要传递用户名和密码，用户名和密码很大程度上存在被监听盗取的可能；

u  同时应用本地还需要保存用户名和密码，在应用本身的安全性来说，也存在很大问题；

u  开放平台服务商出于自身安全性的考虑（第三方可以得到该服务商用户的账号密码，对于服务商来说是一种安全隐患），未来也会限制此认证方式（Twitter就计划在6月份停止Basic Auth的支持）

u  用户如果更改了用户名和密码，还需要重新进行密码校验的过程。

         2、OAuth

         OAuth为用户资源的授权提供了一个安全、开放的标准，将会是以后开发平台普遍遵守的，目前Twitter、Sina微博、豆瓣、Google等都提供对它的支持。它分为几个交互过程：

         1）应用用APP KEY和APP SECRET换取OAuth_token；

         2）应用将用户引导到服务商的页面对该OAuth_token进行授权（可能需要输入用户名和密码）；

         3）服务商的页面跳转回应用，应用再根据参数去服务商获得Access Token；

         4）使用这个Access Token就可以访问API了。

         上述过程如下图所示：

OAuth认证过程

         OAuth的优点：

u  安全性高，用户的账户和密码只需要提供一次，而且是在服务商的页面上提供，防止了Basic Auth反复传输密码带来的安全隐患；

u  Access Token访问权限仅限于应用，被窃取不会影响用户在该服务商的其他服务；

u  Access Token即使被监听丢失了随时可以撤销，不像密码丢失可能就被别人篡改了；

u  用户修改了密码也不会影响该应用的正常使用。

         具体OAuth的分析详见这篇文章：http://blog.csdn.net/hereweare2009/archive/2009/03/08/3968582.aspx，标准文档见http://docs.google.com/View?id=dcmnpkqd_2wxwfwrdg。

         新浪微博开放平台提供了多种类型的认证页面，例如下面的图：

标准的授权页面

弹出窗口类型的授权页面

开发

         开放平台的API接口基本都是以RESTFUl的方式给出，有统一的参数和响应格式。

         实际开发的例子，Basic Auth我将采用PHP和Perl两种方式，OAuth我将采用PHP和Javascript两种方式，另外结合命令行来给予全面的说明。

         1、Basic Auth之用户认证

         用户认证的接口是Account/verify credentials，json数据访问的方式为“curl -u uid:password http://api.t.sina.com.cn/account/verify_credentials.json?source=appkey”。uid可以是用户在新浪的username，也可以是用户编号。

         通过命令行执行的结果如下所示：

命令行请求用户验证接口

         下面为PHP用curl方式请求此接口的代码示例：

         $username = $_POST['username'];         

         $password = $_POST['password'];

         // param validate

         // …

         $curl = curl_init();

         curl_setopt($curl, CURLOPT_URL, "http://api.t.sina.com.cn/account/verify_credentials.json?source=xxxxxxx");

         curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);

         curl_setopt($curl, CURLOPT_USERPWD, "$username:$password");

         $data = curl_exec($curl);

         curl_close($curl);

         如果用Perl的方式来实现，可以试试Perl的LWP::Curl和WWW::Curl模块，或者简单用执行系统命令方式实现，代码如下：

         my $json = `curl -u $username:$password -d count=3 -d since_id=$since_id http://api.t.sina.com.cn/account/verify_credentials.json?source=xxxxxxx`;

         如果认证成功，返回的是用户个人信息，如果认证失败，将返回错误信息，例如：

         <?xml version="1.0" encoding="UTF-8"?><hash><request>/account/verify_credentials.xml</request><error_code>400</error_code><error>Error: source paramter(appkey) is missing</error></hash>

         2、Basic Auth之好友消息获取

         好友消息获取是一个最常用的功能，能够取得所关注用户的最新消息列表。API主要参数包括since_id、max_id、count、page。常用到的是count和since_id。count表示取的消息数量，而since_id表示从哪条消息开始取，如果要做增量更新功能，就可以记录每一次最新一条消息的id，然后下一次将这一条消息的id作为since_id