微博開(kāi)放接口的調(diào)用，如發(fā)微博、關(guān)注等，都是需要獲取用戶身份認(rèn)證的。目前微博開(kāi)放平臺(tái)用戶身份鑒權(quán)主要采用的是OAuth2.0。另外，為了方便開(kāi)發(fā)者開(kāi)發(fā)、測(cè)試自己的應(yīng)用，我們還提供了Basic Auth的身份鑒權(quán)方式，但Basic Auth僅適用于應(yīng)用所屬的開(kāi)發(fā)者自己調(diào)用接口。

OAuth2.0較1.0相比，整個(gè)授權(quán)驗(yàn)證流程更簡(jiǎn)單更安全，也是未來(lái)最主要的用戶身份驗(yàn)證和授權(quán)方式。

關(guān)于OAuth2.0協(xié)議的授權(quán)流程可以參考下面的流程圖，其中Client指第三方應(yīng)用，Resource Owner指用戶，Authorization Server是我們的授權(quán)服務(wù)器，Resource Server是API服務(wù)器。

開(kāi)發(fā)者可以先瀏覽OAuth2.0的接口文檔，熟悉OAuth2.0的接口及參數(shù)的含義，然后我們根據(jù)應(yīng)用場(chǎng)景各自說(shuō)明如何使用OAuth2.0。

新版授權(quán)頁(yè)改變了之前頁(yè)面信息元素過(guò)多，對(duì)用戶使用帶來(lái)干擾的問(wèn)題，登錄和授權(quán)這兩個(gè)行為已在新版中分離，用戶能夠更好地理解帳號(hào)登錄和授權(quán)的過(guò)程，也為未來(lái)更多的功能帶來(lái)承載空間。

當(dāng)前一個(gè)最完整的授權(quán)分為三個(gè)步驟：登錄-普通授權(quán)-高級(jí)授權(quán)（SCOPE）。但這三個(gè)步驟并不是必然出現(xiàn)，當(dāng)用戶的微博處于登錄狀態(tài)時(shí)，頁(yè)面會(huì)自動(dòng)跳轉(zhuǎn)到普通授權(quán)頁(yè)，“高級(jí)授權(quán)”同樣也不是必須，如果開(kāi)發(fā)者不申請(qǐng)SCOPE權(quán)限，系統(tǒng)會(huì)自動(dòng)跳過(guò)此步驟，回調(diào)應(yīng)用。我們?cè)诨叶葴y(cè)試中統(tǒng)計(jì)發(fā)現(xiàn)，只要合理的使用高級(jí)授權(quán)，開(kāi)發(fā)者完全不必?fù)?dān)心增加操作所帶來(lái)的頁(yè)面流失率問(wèn)題，相反，一個(gè)清晰的授權(quán)體驗(yàn)更能獲取用戶的信任。

與此同時(shí)，授權(quán)項(xiàng)將會(huì)變的更加有條理，之前的普通權(quán)限將作為基礎(chǔ)服務(wù)，用戶不再有感知，與用戶隱私相關(guān)的會(huì)歸到高級(jí)授權(quán)，用戶在授權(quán)時(shí)有權(quán)利逐條取消，進(jìn)一步增強(qiáng)了隱私控制。

開(kāi)發(fā)者需要根據(jù)各自的應(yīng)用場(chǎng)景，選擇適用的OAuth2.0授權(quán)流程：

• • 1、PC端和Web網(wǎng)站，請(qǐng)參考：Web網(wǎng)站的驗(yàn)證授權(quán)（Authorization Code）
  • 2、移動(dòng)端應(yīng)用可直接使用官方移動(dòng)SDK，通過(guò)呼起微博客戶端（未安裝微博客戶端的會(huì)呼起H5授權(quán)頁(yè)）方式授權(quán)
  • 3、H5輕應(yīng)用，請(qǐng)參考 輕應(yīng)用開(kāi)發(fā)指南

移動(dòng)應(yīng)用（主要指Mobile Native App），建議使用官方提供的支持SSO授權(quán)的SDK, 可以大大簡(jiǎn)化授權(quán)流程開(kāi)發(fā)，降低開(kāi)發(fā)成本。

需要說(shuō)明的是，移動(dòng)應(yīng)用請(qǐng)使用open.weibo.cn上的授權(quán)接口，普通的發(fā)博，評(píng)論等資源API依舊調(diào)用weibo.com接口。

微博開(kāi)放平臺(tái)的OAuth2.0授權(quán)機(jī)制下，第三方獲取到的access_token是有過(guò)期時(shí)間的，通常過(guò)期時(shí)間為30天。

如果用戶在授權(quán)有效期內(nèi)重新打開(kāi)授權(quán)頁(yè)授權(quán)（如果此時(shí)用戶有微博登錄狀態(tài)，這個(gè)頁(yè)面將一閃而過(guò)），那么微博會(huì)為開(kāi)發(fā)者自動(dòng)延長(zhǎng)access_token的生命周期，請(qǐng)開(kāi)發(fā)者維護(hù)新授權(quán)后得access_token值。

除此之外，我們也提供了通過(guò) Refresh Token 刷新的方式來(lái)延續(xù)授權(quán)有效期，但需要注意的是：只有使用微博官方移動(dòng)SDK的移動(dòng)應(yīng)用，才可以從SDK的方法中獲取到 Refresh Token。

Refresh Token 是 Access Grants 的一種，在獲取 Access Token 時(shí)，認(rèn)證服務(wù)器將返回相應(yīng)的 Refresh Token，如果 Access Token 過(guò)期，就可以用 Refresh Token 去刷新。

Refresh Token 也是有有效期的，Refresh Token 的有效期目前為30天，在有效期內(nèi)隨時(shí)可以刷新。

通過(guò) Refresh Token 刷新得到的新的 Access Token ，其有效期等同于原來(lái)的有效期，即原來(lái) Access Token 的有效期是30天，則新獲得的也是30天。

簡(jiǎn)單來(lái)說(shuō)就是對(duì)于使用了微博移動(dòng)SDK的移動(dòng)應(yīng)用，授權(quán)（Access Token）30天有效，30天內(nèi)可續(xù)，從刷新時(shí)間點(diǎn)算起重新得到30天有效期。

使用OAuth2.0調(diào)用API接口有兩種方式：

Scope是OAuth2.0新版授權(quán)頁(yè)提供的一個(gè)功能，通過(guò)scope，平臺(tái)將開(kāi)放更多的微博核心功能給開(kāi)發(fā)者，同時(shí)也加強(qiáng)用戶隱私保護(hù)，提升了用戶體驗(yàn)，用戶在新OAuth2.0授權(quán)頁(yè)中有權(quán)利選擇賦予應(yīng)用的功能。

Scope開(kāi)放的接口文檔：接口文檔

通常Mobile Native App沒(méi)有服務(wù)器回調(diào)地址，您可以在應(yīng)用控制臺(tái)授權(quán)回調(diào)頁(yè)處填寫(xiě)平臺(tái)提供的默認(rèn)回調(diào)頁(yè)，該頁(yè)面用戶不可見(jiàn)，僅用于獲取access token。

OAuth2.0客戶端默認(rèn)回調(diào)頁(yè)：https://api.weibo.com/oauth2/default.html

授權(quán)頁(yè)會(huì)默認(rèn)讀取當(dāng)前用戶的微博登錄狀態(tài)，如果你想讓用戶重新登錄，請(qǐng)?jiān)谡{(diào)用authorize接口時(shí)傳入?yún)?shù)：forcelogin=true，默認(rèn)不填寫(xiě)此參數(shù)相當(dāng)于forcelogin=false。

開(kāi)發(fā)者可以在應(yīng)用控制臺(tái)填寫(xiě)取消授權(quán)回調(diào)頁(yè)，當(dāng)用戶取消你的應(yīng)用授權(quán)時(shí)，開(kāi)放平臺(tái)會(huì)回調(diào)你填寫(xiě)的這個(gè)地址。并傳遞給你以下參數(shù)，source：應(yīng)用appkey，uid ：取消授權(quán)的用戶，auth_end ：取消授權(quán)的時(shí)間