腾讯微博开放平台授权教程(1)

看到坛子里众多开发者问了很多授权问题，官方又没有及时解答，主要是他的API文档有些细节不够明确，经过几天的摸索，我将摸索到的经验以图文及代码的形式写出来，希望能抛砖引玉。
一、前言
　　腾讯微博开放平台授权目前采用的是Oauth1.0，关于Oauth1.0的授权流程，见腾讯微博开放平台官方说明，
地址http://wiki.open.t.qq.com/index.php/OAuth%E6%8E%88%E6%9D%83%E8%AF%B4%E6%98%8E
Oauth1.0的官方OAuth官网地址：http://www.oauth.net/

Oauth1.0的授权过程比较繁琐，最新的的授权方式是Oauth2，OAuth官方也有淘汰Oauth1.0的意思，腾讯目前也应该在升级，在API接口上已经全面支持Oauth2，但在授权阶段还是先要通过Oauth1.0，拿1.0的oauth_token来换2.0的oauth_token，注意，腾讯官方对oauth_token 和access_token在说法上有时候指一个东西，有时候又不是，注意分辨。在1.0中，request_token(未授权的token)经用户授权后就是oauth_token，再拿oauth_token去换access_token，在2.0的概念, oauth_token应是未授权的token，而access_token则是授权过的token。
说说Oauth1.0授权的过程，分三大步
1.发起一个授权请求，腾讯根据你的appkey，给你一个临时牌照，也就是request_token，这一步通常不用显示出来。
2.用户输入在腾讯的账户密码登录腾讯，并授权的你的应用可以访问他的账户，你就获得了oauth_token和一个验证码，注意这里的oauth_token和上一步的request_token值是一样的，就是临时牌照换成了正式牌照
3.你拿oauth_token和验证码再去换access_token，正式牌照换成了通行证。
注意，腾讯官方的写法

第2点，个人觉得改为oauth_token比较好
说Oauth1.0繁琐，其中重要的一点是每次都要计算一个签名signature，这东西的原理就是将你请求网页的方式、网址、网址的参数、时间等加密，计算出一个值，提交的网址中再带上这个值，服务器端读出你提交的网址参数(去掉signature本身)，它也来算一遍，看跟你提交的signature是否一致，不一致就是invalid了，有效防止了篡改参数，坛子里很多人都卡这里了。本文稍后详解。
为了规范本文的语法概念，先定义一些概念及参数，入门语言VB6，可以放到ini文件里，如

[腾讯微博]
baseUrl=http://open.t.qq.com/api/{0}’腾讯API的基地址
request_tokenUrl=https://open.t.qq.com/cgi-bin/request_token’请求未授权token地址
authorizeUrl=https://open.t.qq.com/cgi-bin/authorize’用户输入用户名和密码的授权地址
tokenUrl=https://open.t.qq.com/cgi-bin/access_token’换取access_token地址
redirect_uri=null’回调地址callbackurl
App_Key = *****’应用KEY
App_Secret = ******’应用密码
oauth_token=******’用户授权的token
oauth_token_secret=******’用户授权的token密码
access_Token=******’1.0最终的通行证了
access_token_secret=******’1.0最终的通行证密码
accesstoken2_0=******’2.0最终的通行证
refreshtoken2_0=******’2.0最终的通行证密码
expiretime2_0=******’2.0最终的通行证过期时间

 二、腾讯oauth1.0授权的实现
这里，我尽量使用简洁的逻辑和代码实现上面所说的oauth1.0授权步骤，注意我这里采用桌面应用, oauth_callback=null
1.获取未授权的Request_Token。
我们来看看如何获得request_token，先来看看官方的说明

http://wiki.open.t.qq.com/index.php/OAuth%E6%8E%88%E6%9D%83/%E8%8E%B7%E5%8F%96request_token
请求说明
url  https://open.t.qq.com/cgi-bin/request_token 
格式  xml,json 
http请求方式  get 
是否需要鉴权  true 
请求数限制  true 

参数说明
请求参数：oauth或openid&openkey标准参数，并带上以下参数
format  返回数据的格式是（json或xml） 
oauth_callback  回调URL 如果是桌面应用或手机应用没有回调URL，采用pin码方式,请填上 oauth_callback=null 
oauth_consumer_key  你申请的appkey 
oauth_nonce  随机串（32个字符长度）随机生成，只能使一次，与时间戳一起 防重放 
oauth_signature  oauth请求签名 oauth请求的签名，根据oauth协议中算法生成basestring 后，用appsecret 对basestring 经hmac_sha1生成的签名串 
oauth_signature_method  签名方法（HMAC-SHA1） 
oauth_timestamp  时间戳 你的请求当前时间戳 （你的服务器时间你定要准确，不然请求会被拒绝掉） 
oauth_version  oauth版本号（填1.0） 

使用说明
https://open.t.qq.com/cgi-bin/request_token?oauth_callback=http%3A%2F%2Fqunmgr.qq.com%2Foauthapi%2Fcallback.php&oauth_consumer_key=0aae7ba5c10d4b939694b0b3b9ffe8ac&oauth_nonce=b788149731e0ed75daa03a6e1e30427c&oauth_signature=zO5%2FgT%2FP6tbhBBZVuoyfjPwjdxY%3D&oauth_signature_method=HMAC-SHA1&oauth_timestamp=1288932298&oauth_version=1.0

返回结果
oauth_token=a63f4a0e1242462fb8c11e53159ba294&oauth_token_secret=40ece707e064128e4fec692e3c09c692&oauth_callback_confirmed=true

返回结果说明
oauth_token：返回的request_token
oauth_token_secret：返回的request_secret
oauth_callback_confirmed：回调确认

官方说得很明确，就是要构造一个网址，然后get，获得结果，注意，这个结果并不是官方所说标准的json数据(json一般以{}[]和逗号分隔)！

这一步并不需要让用户知道，也是说这步在用户输入用户名和密码之前实现，为了演示方便，我这里添加了一个获取access_token按钮，用VB代码实现
添加一个Form1，一个获取requestToken的按钮，以及一个用于返回结果的文本框text1
添加一些变量定义

Dim baseUrl As String
Dim request_tokenUrl As String
Dim authorizeUrl As String
Dim tokenUrl As String
Dim App_Key As String
Dim App_Secret As String
Dim redirect_uri As String
Dim oauth_token As String
Dim oauth_token_secret As String
Dim oauth_verifier As String
Dim access_token As String
Dim access_token_secret As String
Dim accesstoken2_0 As String 'oauth2
Dim refreshtoken2_0 As String
Dim expiretime2_0 As String
    
Dim objtqq As New clsTQQ ‘定义类了

Private Sub Form_Load() '程序期待读取初始值
appProfileName = App.Path & "/setting.ini"'加载ini文件 
baseUrl = GetIniS("腾讯微博", "baseUrl", "") '读ini值的函数不再给出，网上到处都是
request_tokenUrl = GetIniS("腾讯微博", "request_tokenUrl", "")
authorizeUrl = GetIniS("腾讯微博", "authorizeUrl", "")
tokenUrl = GetIniS("腾讯微博", "tokenUrl", "")
App_Key = GetIniS("腾讯微博", "App_Key", "")
App_Secret = GetIniS("腾讯微博", "App_Secret", "")
redirect_uri = GetIniS("腾讯微博", "redirect_uri", "")
With objtqq
    .c_baseUrl = baseUrl
    .c_request_tokenUrl = request_tokenUrl
    .c_authorizeUrl = authorizeUrl
    .c_tokenUrl = tokenUrl
    .c_App_Key = App_Key
    .c_App_Secret = App_Secret
    .c_redirect_uri = redirect_uri
…..
End With
End Sub

Private Sub Cmd_GetRequest_token_Click()
Text1.Text = objtqq.Get_oauth_token '这里演示获得返回request_token
End Sub

我们来看看clsTQQ类，
'Class clsTQQ
    Public c_baseUrl As String
    Public c_request_tokenUrl As String
    Public c_authorizeUrl As String
    Public c_tokenUrl As String
    Public c_App_Key As String
    Public c_App_Secret As String
    Public c_redirect_uri As String
    Public c_oauth_token As String '未授权token
    Public c_oauth_token_secret As String
    Public c_oauth_verifier As String
    Public c_access_token As String '授权后的token
    Public c_access_token_secret As String
    Public c_accesstoken2_0 As String 'oauth2
    Public c_refreshtoken2_0 As String
    Public c_expiretime2_0 As String

Public Function Get_oauth_token()
        Dim codeUrl As String, baseString As String, paraUrl As String
        Dim codeUrlTempalte As String 
        Dim paraUrlTempalte As String
        Dim baseStringTemplate As String
        Dim tempstr As String
            codeUrlTempalte = "{0}?oauth_callback={3}&oauth_consumer_key={1}&oauth_nonce={2}&oauth_signature={5}&oauth_signature_method=HMAC-SHA1&oauth_timestamp={4}&oauth_version=1.0"
        paraUrlTempalte = "oauth_callback={3}&oauth_consumer_key={1}&oauth_nonce={2}&oauth_signature_method=HMAC-SHA1&oauth_timestamp={4}&oauth_version=1.0"’注意了，参与计算signature的参数，排列顺序必须按字母排序
        baseStringTemplate = "{method}&{encode_request_tokenUrl}&{encode_paraUrl}" '用于生成signature，由三部分组成{method}是GET 或POST 两个值中的一个，要大写。
        
        oauth_nonce = makePassword(10) '随机数，官方说是32位，其实多少位都可以
        oauth_timestamp = DateDiff("s", "01/01/1970 08:00:00", Now()) '邮戳
        
        paraUrl = Replace(paraUrlTempalte, "{1}", Me.c_App_Key) '参数串
        paraUrl = Replace(paraUrl, "{2}", oauth_nonce)
        paraUrl = Replace(paraUrl, "{3}", Me.c_redirect_uri)
        paraUrl = Replace(paraUrl, "{4}", oauth_timestamp)
        
        baseString = Replace(baseStringTemplate, "{method}", "GET")
        baseString = Replace(baseString, "{encode_request_tokenUrl}", strUrlEnCode(Me.c_request_tokenUrl))
        baseString = Replace(baseString, "{encode_paraUrl}", strUrlEnCode(paraUrl))
        
'        Debug.Print baseString
        oauth_signature = HAMC_SHA1(Me.c_App_Secret + "&"+me.c_oauth_token_secret, baseString)’计算signature了，HAMC_SHA1的key官方说法有两部分组成App_Secret 和oauth_token_secret，中间用&分隔,这一步还没产生oauth_token_secret,因此值是空的
'对于HAMC_SHA1算法，这里采用调用一段javascript代码的方式获得，不再赘述

     codeUrl = Replace(codeUrlTempalte, "{0}", Me.c_request_tokenUrl)
        codeUrl = Replace(codeUrl, "{1}", Me.c_App_Key)
        codeUrl = Replace(codeUrl, "{2}", oauth_nonce)
        codeUrl = Replace(codeUrl, "{3}", Me.c_redirect_uri)
        codeUrl = Replace(codeUrl, "{4}", oauth_timestamp)
        codeUrl = Replace(codeUrl, "{5}", oauth_signature)
        
        tempstr = httpGet(codeUrl)
        Me.c_oauth_token = 解析tempstr'这里代码没有给出
        Me.c_oauth_token_secret =解析tempstr'这里代码没有给出

        Get_oauth_token = tempstr
      
    End Function

'随机串
Function makePassword(ByVal maxLen)
    Dim strNewPass
    Dim whatsNext, upper, lower, intCounter
    Randomize
    For intCounter = 1 To maxLen
    whatsNext = Int((1 - 0 + 1) * Rnd + 0)
    If whatsNext = 0 Then
    upper = 122
    lower = 100
    Else
    upper = 57
    lower = 48
    End If
    strNewPass = strNewPass & Chr(Int((upper - lower + 1) * Rnd + lower))
    Next
    makePassword = strNewPass
End Function
‘计算signature时网址及参数特殊符号编码
Function strUrlEnCode(ByVal strUrl)
strUrlEnCode = Replace(strUrl, "=", "%3D")
strUrlEnCode = Replace(strUrlEnCode, "&", "%26")
strUrlEnCode = Replace(strUrlEnCode, ":", "%3A")
strUrlEnCode = Replace(strUrlEnCode, "/", "%2F")
End Function