OAuth2.0概述

大部分API的访问都需要用户身份，目前ID开放平台用户身份鉴权有OAuth2.0和Basic Auth（仅用于应用所属开发者调试接口），新版接口也仅支持这两种方式。

OAuth2.0较1.0相比整个授权验证流程更简单更安全，也是未来最主要的用户身份验证和授权方式。

关于OAuth2.0协议授权流程查看OAuth2.0授权流程 ，其中Client指第三方应用，Resource Owner指用户，Authorization Server是我们的授权服务器，Resource Server是API服务器。

开发者可以先浏览OAuth2.0的接口文档，熟悉OAuth2的接口及参数的含义，然后我们根据应用场景各自说明如何使用OAuth2.0。

注意事项：

1、OAuth2.0授权无需申请，任何应用都可以使用。如果开发者需要更长的授权有效期参考本文档授权有效期部分。

2、如果你是站外网页应用或客户端应用，出于安全性考虑，需要在平台网站填写redirect_url（授权回调页），才能使用OAuth2.0，填写地址：http://open.10000.com/apps/应用APPKEY/privilege/oauth 对于客户端，我们也提供了默认的回调页地址。详细请查看授权页功能部分。

接口文档

授权页

【这里是截图】

当前一个最完整的授权分为三个步骤：登录-普通授权-高级授权（SCOPE）。但这三个步骤并不是必然出现，当用户的ID处于登录状态时，页面会自动跳转到普通授权页，“高级授权”同样也不是必须，如果开发者不申请SCOPE权限，系统会自动跳过此步骤，回调应用。我们在灰度测试中统计发现，只要合理的使用高级授权，开发者完全不必担心增加操作所带来的页面流失率问题，相反，一个清晰的授权体验更能获取用户的信任。

与此同时，授权项将会变的更加有条理，之前的普通权限将作为基础服务，用户不再有感知，与用户隐私相关的会归到高级授权，用户在授权时有权利逐条取消，进一步增强了隐私控制。

应用场景

开发者需要根据各自的应用场景，选择适用的OAuth2.0授权流程：

1、网站Web应用，请参考：Web应用的验证授权(Authorization Code)

Web应用的验证授权

基本流程

1. 引导需要授权的用户到如下地址： https://api.10000.com/oauth2/authorize?client_id=YOUR_CLIENT_ID&response_type=code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI

2. 如果用户同意授权,页面跳转至 YOUR_REGISTERED_REDIRECT_URI/?code=CODE

3. 换取Access Token https://api.10000.com/oauth2/access_token?client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET&grant_type=authorization_code&redirect_uri=YOUR_REGISTERED_REDIRECT_URI&code=CODE （其中client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET可以使用basic方式加入header中）

返回值 { "access_token":"SlAV32hkKG", "refresh_token":refresh_token, "uid":授权用户UID, "expire":3600 }

4. 使用获得的OAuth2.0 Access Token调用API

使用OAuth2.0调用API

使用OAuth2.0调用API接口有两种方式：

1. 直接使用参数传递参数名为 access_token https://api.10000.com/user/get_user_info?access_token=abcd&dataType=json

2. 在header里传递 形式为在header里添加Authorization:OAuth2空格abcd 这里的abcd假定为Access Token的值

其它接口参数正常传递即可。

授权有效期

程序一定要具备足够的健壮性，调用接口时判断接口的返回值，如果用户的access_token失效，需要引导用户重新授权。失效原因有以下几个：

用户取消了对应用的授权

access_token自然过期

用户修改了密码，冻结了对应用的授权

ID发现用户帐号被盗，冻结了用户对应用的授权

授权级别和OAuth2.0 access_token有效期对应表：

注： 只有未过文案审核的应用才处于测试级别。 应用所属开发者授权应用时，有效期为5年。

access_token自动延续方案

如果用户在授权有效期内重新打开授权页授权（如果此时用户有微博登录状态，这个页面将一闪而过），那么ID会为开发者自动延长access_token的生命周期，请开发者维护新授权后得access_token值。

如何查询当前应用的授权级别 你可以在 http://open.10000.com/developers/info?app_key=APP_KEY 上查询当前应用的授权级别。

如何计算某个用户的access_token过期时间？

开发者可以通过两种方式计算： 用户授权时，oauth2/access_token接口返回的expires值就是access_token的生命周期。

从上述对应表中，找到应用所对应的授权有效期，过期时间 = 用户授权时间 + 授权有效期

如何申请授权有效期

可在应用控制台，接口管理标签下的授权机制选项中进行在线申请。

授权页功能

scope

scope是OAuth2.0新版授权页提供的一个功能，通过scope，平台将开放更多的微博核心功能给开发者，同时也加强用户隐私保护，提升了用户体验，用户在新OAuth2.0授权页中有权利选择赋予应用的功能。 scope开放的接口文档：接口文档

强制登录

授权页会默认读取当前用户的ID登录状态，如果你想让用户重新登录，请在调用authorize接口时传入参数：forcelogin=true，默认不填写此参数相当于forcelogin=false。

OAuth2.0相关资源

以下SDK包含了OAuth2.0及新版API接口

下载PHP_SDK 其他语言的SDK包尽请期待；

其他参考资料

OAuth是一种国际通用的授权方式， OAuth2.0的官方技术说明可参看 http://oauth.net/2/

OAuth2.0 错误码

IDOAuth2.0实现中，授权服务器在接收到验证授权请求时，会按照OAuth2.0协议对本请求的请求头部、请求参数进行检验，若请求不合法或验证未通过，授权服务器会返回相应的错误信息，包含以下几个参数： error: 错误码

err_code: 错误的内部编号

msg: 错误的描述信息

错误信息的返回方式有两种：

1. 当请求授权Endpoint：https://api.10000.com/oauth2/authorize 时出现错误，返回方式是：跳转到redirect_uri,并在uri 的query parameter中附带错误的描述信息。

2. 当请求access token endpoing:https://api.10000.com/oauth2/access_token 时出现错误，返回方式：返回JSON文本。

例如： { "msg":"unsupported_response_type", "err_code":21329 }

OAuth2.0错误响应中的错误码定义如下表所示：