• OAUTH相關的三個URL：
  • Request Token URL: 獲取未授權的Request Token服務地址；
  • User Authorization URL: 獲取使用者授權的Request Token服務地址；
  • Access Token URL: 用授權的Request Token換取Access Token的服務地址；

• OAUTH相關的引數定義：
  • oauth_consumer_key: 使用者的ID，OAUTH服務的直接使用者是開發者開發出來的應用。所以該引數值的獲取一般是要去OAUTH服務提供商處註冊一個應用，再獲取該應用的oauth_consumer_key。如Yahoo該值的註冊地址為：https://developer.yahoo.com/dashboard/
  • oauth_consumer_secret：oauth_consumer_key對應的金鑰。
  • oauth_signature_method: 請求串的簽名方法，應用每次向OAUTH三個服務地址傳送請求時，必須對請求進行簽名。簽名的方法有：HMAC-SHA1、RSA-SHA1與PLAINTEXT等三種。
  • oauth_signature: 用上面的簽名方法對請求的簽名。
  • oauth_timestamp: 發起請求的時間戳，其值是距1970 00:00:00 GMT的秒數，必須是大於0的整數。本次請求的時間戳必須大於或者等於上次的時間戳。
  • oauth_nonce: 隨機生成的字串，用於防止請求的重放，防止外界的非法攻擊。
  • oauth_version: OAUTH的版本號，可選，其值必須為1.0。

         OAUTH HTTP響應程式碼：     

• HTTP 400 Bad Request 請求錯誤
  • Unsupported parameter 引數錯誤
  • Unsupported signature method 簽名方法錯誤
  • Missing required parameter 引數丟失
  • Duplicated OAuth Protocol Parameter 引數重複
• HTTP 401 Unauthorized 未授權
  • Invalid Consumer Key 非法key
  • Invalid / expired Token 失效或者非法的token
  • Invalid signature 簽名非法
  • Invalid / used nonce 非法的nonce

三、OAUTH認證授權流程

           在弄清楚了OAUTH的術語後，我們可以對OAUTH認證授權的流程進行初步認識。其實，簡單的來說，OAUTH認證授權就三個步驟，三句話可以概括：

            1. 獲取未授權的Request Token（在應用服務商註冊的App Key和App Secret）

            2. 獲取使用者授權的Request Token（使用者允許授權後服務商會返回的臨時的RequestToken）

            3. 用授權的Request Token換取Access Token（用臨時的Request Token去換取Acces Token）

            當應用拿到Access Token後，就可以有權訪問使用者授權的資源了。大家肯能看出來了，這三個步驟不就是對應OAUTH的三個UR          L服務地址嘛。一點沒錯，上面的三個步驟中，每個步驟分別請求一個URL，並且收到相關資訊，並且拿到上步的相關資訊去請            求接下來的URL直到拿到Access Token。具體的步驟如下圖所示：

       具體每步執行資訊如下：

A. （第三方軟體）向OAUTH服務提供商請求未授權的Request Token。向Request Token URL發起請求，請求需要帶上引數（自我理解為param 註冊資訊）

B.OAUTH服務提供商同意第三方軟體的請求，並向其頒發未經使用者授權的oauth_token與對應的oauth_token_secret，並返回給（第三方軟體）。（App Key和App Secret）

C.（第三方軟體）向OAUTH服務提供商請求使用者授權的Request Token。向User Authorization URL發起請求。

    請求引數是上步拿到的未授權的token與其金鑰.（App Key和App Secret）

D. OAUTH服務提供商將引導使用者授權。該過程可能會提示使用者，你想將哪些受保護的資源授權給該應用。

    此步可能會返回授權的Request Token也可能不返回。如Yahoo OAUTH就不會返回任何資訊給使用者。

E. Request Token 授權後，使用者向Access Token URL發起請求，將上步授權的Request Token換取成Access Token。

請求的引數（Request Token、App Key、App Secret），這個比第一步A多了一個引數就是Request Token。

F.OAUTH服務提供商同意（第三方軟體）的請求，並向其頒發Access Token與對應的金鑰，並返回給（第三方軟體）。

G.（第三方軟體）就可以使用上步返回的Access Token訪問使用者授權的資源。

   從上面的步驟可以看出，使用者始終沒有將其使用者名稱與密碼等資訊提供給使用者（第三方軟體），從而更安全。用OAUTH實現背景一節中的典型案例：當服務B（列印服務）要訪問使用者的服務A（圖片服務）時，通過OAUTH機制，服務B向服務A請求未經使用者授權的Request Token後，服務A將引導使用者在服務A的網站上登入，並詢問使用者是否將圖片服務授權給服務B。使用者同意後，服務B就可以訪問使用者在服務A上的圖片服務。整個過程服務B沒有觸及到使用者在服務A的帳號資訊。如下圖所示，圖中的字母對應OAUTH流程中的字母：