饭否Oauth记录

饭否Oauth授权

 

首先去饭否申请一个应用，创建新应用即可，等待审核。审核通过了之后会拿到consumer_key和consumer_secret。这两个值先记录在代码里。后面经常用到。

然后第一步是用consumer_key，去换取request_token和request_token_secret。

其中有两个东西需要我们生成的，一个是时间戳timestamp，一个是随机字符串nonce

百度就可以找到生成方式。

值得注意的是时间戳需要截取前十位，也就是到秒为止。随机字符串就随便用用随机数即可。

 

这里需要重点注意的是签名和转码

获取request_token的方式是发出GET请求到指定的url。后面带的参数就按正常的GET请求的写法，即

url?key1=value1&key2=value2。。。

注意的是其中有一个签名的参数，是把base string按照HMAC-SHA1的方式加密得到的字符串。而base string是按照如下规则拼成的：

本次请求方式（GET或者POST，必须大写）+"&"+本次请求的url进行encode转码之后的结果+"&"+参数列表进行encode转码之后的结果

其中的参数列表就是上面我们要发GET请求的那些参数，也是按照key1=value1&key2=value2格式写的，不过必须按照参数名称进行排序。

第一步的参数值和参数名一般没有符号需要转码，但是中间的&和=转码之后会替换成%3D和%26。

以上内容拼起来之后的base string，按照HMAC-SHA1方式加密之后的结果也要进行转码，因为加密之后的结果的结尾一定会有一个“=”，中间也可能出现/+等符号，也要进行转码再放进get请求的url中。

HMAC-SHA1方式加密算法中需要有一个key，这个key在饭否API文档那边也没告诉我们，第一步需要用我们手里的consumer_secret末尾加一个“&”符号，作为key。

 

第一步到这里基本上就没问题了。

 

请求成功之后会返回一个oauth_token=（一大串字符）&oauth_token_secret=（一大串字符）

如果请求失败了会返回报错401，那就要检查一下签名是不是正确了，可能哪里有一点点错，就会401，这里是卡的最久的一步了。

 

第二步：

 

这个时候你要让你的应用打开这个网址：

http://fanfou.com/oauth/authorize?oauth_token=request_token&oauth_callback=callback_url

其中request_token就是上面刚刚得到的token，callback_url，是一个属于你的url，这个url最好具备处理get请求的能力。

这个网址打开其实是一个饭否授权的界面，相信大家都看过的，如果浏览器已经登陆了饭否用户，那么就会只有一个“授权”按钮。用户点了之后，你的应用就得到了这个用户的授权，并且界面会跳转到你的callback_url上，并且在你的url后面加了?request_token=（一大串字符）

这个写法很明显，相当于对你的callback_url发送了get请求，如果你的url有处理get请求的能力，那相当于得到了一个参数，参数名是request_token，参数值你的应用需要用在下一步的请求中。

 

第三步：

 

上面的request_token得到之后，需要再发送一次请求。

跟第一步的基本相同，只是增加了一个oauth_token的参数，就是刚才得到的request_token。别忘了加进参数列表参与签名。

其他参数与第一步相同。

另外这一次的签名时候的key，前半部分不变，还是consumer_secret加一个“&”符号，后面再加上刚才第一步获得到的那个secret。

 

这次请求成功之后，得到的一对token和secret，就是这个用户对这个应用授权的access_token和access_token_secret，以后这个应用就可以使用它们，进行饭否API的调用。