为了使用微博开放平台提供的API(应用程序接口)，你需要先注册一个应用。我们会给每一个应用一个专属的App Key和App Secret。Key跟Secret的使用方式跟其他一些协议中的公钥私钥的方案相类似，你可以使用你所熟悉的编程语言将key和secret结合，为你发出的每个请求添加签名，以此来向微博开放平台表明自己身份的合法性。

Web应用应该使用完整的OAuth来进行用户认证。桌面以及移动用户也应该使用OAuth。当然，桌面和移动应用也可以使用Basic Auth，一种简单的通过用户名密码的方式来进行认证的方式，具体的说明可以参见授权机制说明页面中相关的部分。

微博开放平台使用的是OAuth 1.0a 版本。

OAuth请求循环可以分为如下四步：

OAuth提供两种认证方式：query-string和http headers。我们推荐使用http header进行认证。

所有的OAuth请求使用同样的算法来生成(signature base string)签名字符基串和签名。

base string是把http方法名,请求URL以及请求参数用&字符连起来后做URL Encode编码。具体来讲，base string由http方法名，之后是&，接着是过url编码(url-encoded)之后的url和访问路径及&。接下来，把所有的请求参数包括POST方法体中的参数，经过排序(按参数名进行文本排序，如果参数名有重复则再安参数值进行重复项目排序)，使用%3D替代=号，并且使用%26作为每个参数之间的分隔符，拼接成一个字符串。

这个算法可以简单表示为：

无论生成何种OAuth1.0请求,生成BASE STRING的规则始终不变。

微博要求所有的OAuth请求都使用HMAC-SHA1算法生成签名。

获取request token是进行用户认证的第一步。这一步主要有两个目的：

第一，告诉微博你将要做什么

第二，告诉微博你在callback里要做什么

微博开放平台的request token获取接口地址为：http://api.t.sina.com.cn/oauth/request_token

下面举个例子，以下是请求用的参数：

第一步，用上文提到的算法形成BASE STRING。需要注意的是callback在URL中包含请求参数，由于参数只CALLBACK URL的一部分，所以并不需要将其提出成为独立的参数。 URL必须按照单个字符串来考虑。生成的BASE STRING如下:

由于我们还未获取到oauth_token和oauth_token_secret，所以我们的BASE STRING里没有包含oauth_token和oauth_token_secret。

接下来使用signing key(App Secret后加一个&符)从base string生成oauth_signature：

接下来就可以向http://api.t.sina.com.cn/oauth/request_token 发送请求。生成的http header如下:

当服务器端接到请求之后，会返回包含oauth_token,oauth_token_secret等内容，另外oauth_callback_confirmed字段如果为true就表示callback生效。服务器端的响应如下:

这时需要将oauth_token和oauth_token_secret记下，我们需要用这个参数来获取access token。

这一步主要是发送你获取的oauth_token，并且获得用户的授权。一般来说，WEB应用会简单的重定向到相应的页面,桌面应用程序会给出URL并要求用户自行验证.

微博开放平台的验证URL是http://api.t.sina.com.cn/oauth/authorize 。要求必须以oauth作为参数,一般来说请求格式如下:

http://api.t.sina.com.cn/oauth/authorize?oauth_token=8ldIZyxQeVrFZXFOZH5tAwj6vzJYuLQpl0WUEYtWc

如果用户没有登录微博，则会要求用户登录。否则将会出现一个页面，用户可以在此页面上一键同意或者拒绝对此应用授权。用户授权后，web应用页面将会重定向至你指定的oauth_callback，如果是桌面应用,将会显示PIN码，用户需要将PIN码输入你的应用中来完成授权过程。

如果使用了callback，那么oauth_callback应该已经接到返回的信息,其中包含oauth_token和oauth_verifier。样例如下：

微博开放平台access token请求地址为：http://api.t.sina.com.cn/oauth/access_token

以下是请求参数列表:

第一步,准备base string(使用上文提到的方法)

接着将consumer_secret和oauth_token_secret连接起来，中间用&分割(这是准备密钥的方法,下面还会用到)：

生成的OAuth签名如下：

然后向给定的url发送请求,请求头部一定要包含request token，request头部如下：

微博开放平台会返回应用需要的信息，包括用户名，oauth_token/oaut_token_secret(当然这里就是access token了)。 response内容如下：

现在就可以使用access token来发布信息了。

接下来，就可以进行用户验证(如果验证成功，将会返回用户的详细信息)了。以下是进行用户验证的相关参数：

使用BASE STRING生成算法：

然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密，生成签名。

key如下:

生成的签名如下:

接下来就可以通过http发送请求,生成的http header如下:

响应如下:

以下是微博开放平台团队在OAuth使用上的一些经验总结，希望能够让你更好的使用微博的OAuth认证。

接下来,就可以使用获取的oauth_token和oauth_token_secret来发送微博了。发微博可以通过Statuses/update接口,以下是相关参数：

接下来依然使用上文提到的BASE STRING算法生成BASE STRING如下：

然后将oauth_comsumer_secret和oauth_token_secret以&作为分隔符拼起来。将拼接后的字符串作为签名的KEY进行加密,生成签名。 key如下：

生成的签名如下：

接下来就可以通过http发送请求,生成的http header如下：

服务器端的响应如下：