易栈网-膘叔

因为新浪的Oauth即将变成2.0，所以找找资料
老王更新了，还画了ascii图，说实话我是对他文中的那个画ascii图的视频有兴趣。。。
老王在博客里是这么介绍的：

OAuth2.0

OAuth1.0虽然在安全性上经过修补已经没有问题了，但还存在其它的缺点，其中最主要的莫过于以下两点：其一，签名逻辑过于复杂，对开发者不够友好；其二，授权流程太过单一，除了Web应用以外，对桌面、移动应用来说不够友好。

为了弥补这些短板，OAuth2.0做了以下改变：

首先，去掉签名，改用SSL（HTTPS）确保安全性，所有的token不再有对应的secret存在，这也直接导致OAuth2.0不兼容老版本。

其次，针对不同的情况使用不同的授权流程，和老版本只有一种授权流程相比，新版本提供了四种授权流程，可依据客观情况选择。

在详细说明授权流程之前，我们需要先了解一下OAuth2.0中的角色：

OAuth1.0定义了三种角色：User、Service Provider、Consumer。而OAuth2.0则定义了四种角色：Resource Owner、Resource Server、Client、Authorization Server：

• Resource Owner：User
• Resource Server：Service Provider
• Client：Consumer
• Authorization Server：Service Provider

也就是说，OAuth2.0把原本OAuth1.0里的Service Provider角色分拆成Resource Server和Authorization Server两个角色，在授权时交互的是Authorization Server，在请求资源时交互的是Resource Server，当然，有时候他们是合二为一的。

－－－－－－－
当然，我这里CP的不全，更详细的请看：http://huoding.com/2011/11/08/126
如果不把ascii图CP过来，老王是不是很伤心？

这是第二次CP的。希望成功
+----------+  
| resource |  
|   owner  |  
|          |  
+----------+  
     ^  
     |  
    (B)  
+----|-----+          Client Identifier      +---------------+  
|         -+----(A)-- & Redirection URI ---->|               |  
|  User-   |                                 | Authorization |  
|  Agent  -+----(B)-- User authenticates --->|     Server    |  
|          |                                 |               |  
|         -+----(C)-- Authorization Code ---<|               |  
+-|----|---+                                 +---------------+  
  |    |                                         ^      v  
 (A)  (C)                                        |      |  
  |    |                                         |      |  
  ^    v                                         |      |  
+---------+                                      |      |  
|         |>---(D)-- Authorization Code ---------'      |  
|  Client |          & Redirection URI                  |  
|         |                                             |  
|         |<---(E)----- Access Token -------------------'  
+---------+       (w/ Optional Refresh Token)  
哈哈，好象失败了。。。
OK，还有一篇介绍 ：http://hueniverse.com/2010/05/introducing-oauth-2-0/

6 New Flows

• User-Agent Flow – for clients running inside a user-agent (typically a web browser).
• Web Server Flow – for clients that are part of a web server application, accessible via HTTP requests. This is a simpler version of the flow provided by OAuth 1.0.
• Device Flow – suitable for clients executing on limited devices, but where the end-user has separate access to a browser on another computer or device.
• Username and Password Flow – used in cases where the user trusts the client to handle its credentials but it is still undesirable for the client to store the user’s username and password.  This flow is only suitable when there is a high degree of trust between the user and the client.
• Client Credentials Flow – the client uses its credentials to obtain an access token. This flow supports what is known as the 2-legged scenario.
• Assertion Flow – the client presents an assertion such as a SAML assertion to the authorization server in exchange for an access token.

Native application support (applications running on a desktop or mobile device) can be implemented using many of the flows above.

－－－－其实看起来就很纠结，反正先了解一下，refresh_token还得向新浪申请。真纠结

这两天在做微博同步，于是对于oauth又重新开始折腾了。其实在之前我也做过类似的笔记，例如这个 关于oauth的几篇文章 ，于是在做这个同步的时候也参考了这些其中的一两篇，比如老王的基于PECL OAuth打造微博应用，但由于我不想加载pecl的oauth库，所以就不能使用了。
于是我就根据官方的SDK进行了处理，但由于需要同时支持两个或更多微博，结果就造成了oauth类的冲突了。而事实上经过测试，还不能加载一个屏蔽一个，因为有些微博对oauth类中的部分做了修改。于是最后我采用了namespace来解决了这个问题。
因为这次我是把weibo的类库做了独立处理，但由于不是每一台服务器都支持5.3的namespace，也在犹豫是不是要重新修正oauth类，但这样之后，官方的SDK我就不能覆盖性的更新了。真纠结呀。
hightman也在重写类似的东西，大家都在重复造轮子，可是怎么办呢？官方万一更新SDK，添加了新接口，我们怎么办，虽然会有一些接口的URL提供我们调用，但总归是直接使用会更方便啦。随便说说而已，目前已经解决，实在吐血的情况下那我就是干脆自己学着新浪他们一样也提供接口。哈哈，做点无耻的事情。。。

本文只是一个收集的链接，关于oauth，可以去看一下wiki百科，对于PHP的oauth支持，可以看一下手册
国内很早就有不少网站支持oauth，只是更多的网站都没有做出此类开放的功能。不过，疯狂的时候来的总是那么突然（这让我想起在单位的年夜饭上，刚吃了一小时，突然副总说了一句，快乐的时光总是短暂的）。国内对Oauth的支持也就突然间的多了起来，可能，最让人记的清楚的还是新浪。但当时关于oauth的文章还不是特别多，只是在QQ开放oauth后，突然间文章就多了很多，理由是，QQ所支持的oauth协议居然是非标的。。。。

好吧，让我们看看其他人是怎么说的：

1、使用QOAuth来进行新浪/腾讯微博验证（一）

2、老王的：基于PECL OAuth打造微博应用

3、android下的：android开发我的新浪微博客户端-OAuth篇(2.1)

4、腾讯微博开放平台的PECL的OAuth封装

5、腾讯微博开放平台练手：微博擂台

6、使用 PECL 的 OAuth 库访问 QQ 微博 API

其中4、5、6都是mikespook写的，他说，QQ 微博的API里有点重要的事情，并列出来了。看例子：

8、对新浪微博的OAUTH开发，居然还有一个总结：新浪微博OAuth认证总结

9、又是老王发的牢骚：OAuth那些事儿

好吧，就先列出这么多，真要查出oauth之类的东西，google随便一下就有很多，我贴出来的地址，都是我订阅的一些RSS的地址，也算是做一个集中罢了。