<?php

function hmacsha1($key,$data) {
    $blocksize=64;
    $hashfunc='sha1';
    if (strlen($key)>$blocksize)
        $key=pack('H*', $hashfunc($key));
    $key=str_pad($key,$blocksize,chr(0x00));
    $ipad=str_repeat(chr(0x36),$blocksize);
    $opad=str_repeat(chr(0x5c),$blocksize);
    $hmac = pack(
                'H*',$hashfunc(
                    ($key^$opad).pack(
                        'H*',$hashfunc(
                            ($key^$ipad).$data
                        )
                    )
                )
            );
    return $hmac;
}

?>

OAuth是什么？

OAuth是一个开放的认证协议，让你可以在Web或桌面程序中使用简单而标准的，安全的API认证。

OAuth有什么用？为什么要使用OAuth？

网络开放是一个不变的趋势，那么不可避免的会有各种网络服务间分享内容的需要。

举个我们身边国内的例子吧：比如人人网想要调用QQ邮箱的联系人列表，现在的方法是你需要在人人网输入你的QQ号，QQ密码才能调用，虽然网站上可能都自谓“不保留QQ用户名密码”，但是大家信吗？

OAuth就是为了解决这个问题而诞生的，用户访问第三方资源，不再需要网站提交你的用户名，密码。这样好处自己是安全，而且不会泄露你的隐私给不信任的一方。

OAuth原理

OAuth中有三方：一，用户；二，Consumer（不知杂翻译，类似上面的 twitterfeed 角色）；三，服务提供商。

一，Consumer 向 服务提供商 申请接入权限

可得到：Consumer Key，Consumer Secret。twitter申请oauth的话，在 setting - connection - developer 里面申请。 同时给出三个访问网址：

1. request_token_url = 'http://twitter.com/oauth/request_token'
2. access_token_url = 'http://twitter.com/oauth/access_token'
3. authorize_url = 'http://twitter.com/oauth/authorize'

二，当Consumer接到用户请求想要访问第三方资源（如twitter）的时候

Consumer需要先取得 请求另牌（Request Token）。网址为上面的 request_token_url，参数为：

1. oauth_consumer_key：Consumer Key
2. oauth_signature_method：签名加密方法
3. oauth_signature：加密的签名 （这个下面细说）
4. oauth_timestamp：UNIX时间戳
5. oauth_nonce：一个随机的混淆字符串，随机生成一个。
6. oauth_version：OAuth版本，可选，如果设置的话，一定设置为 1.0
7. oauth_callback：返回网址链接。
8. 及其它服务提供商定义的参数

这样 Consumer就取得了 请求另牌（包括另牌名 oauth_token，另牌密钥 oauth_token_secret。

三，浏览器自动转向服务提供商的网站：

网址为 authorize_url?oauth_token=请求另牌名

四，用户同意 Consumer访问 服务提供商资源

那么会自动转回上面的 oauth_callback 里定义的网址。同时加上 oauth_token （就是请求另牌），及 oauth_verifier（验证码）。 

五，现在总可以开始请求资源了吧？

NO。现在还需要再向 服务提供商 请求 访问另牌（Access Token）。网址为上面的 access_token_url，参数为：

1. oauth_consumer_key：Consumer Key
2. oauth_token：上面取得的 请求另牌的名
3. oauth_signature_method：签名加密方法
4. oauth_signature：加密的签名 （这个下面细说）
5. oauth_timestamp：UNIX时间戳
6. oauth_nonce：一个随机的混淆字符串，随机生成一个。
7. oauth_version：OAuth版本，可选，如果设置的话，一定设置为 1.0
8. oauth_verifier：上面返回的验证码。
9. 请求 访问另牌的时候，不能加其它参数。

这样就可以取得 访问另牌（包括Access Token 及 Access Token Secret）。这个就是需要保存在 Consumer上面的信息（没有你的真实用户名，密码，安全吧！）

六，取得 访问令牌 后，

Consumer就可以作为用户的身份访问 服务提供商上被保护的资源了。提交的参数如下：

1. oauth_consumer_key：Consumer Key
2. oauth_token：访问另牌
3. oauth_signature_method：签名加密方法
4. oauth_signature：加密的签名 （这个下面细说）
5. oauth_timestamp：UNIX时间戳
6. oauth_nonce：一个随机的混淆字符串，随机生成一个。
7. oauth_version：OAuth版本，可选，如果设置的话，一定设置为 1.0
8. 及其它服务提供商定义的参数

OAuth安全机制是如何实现的？

OAuth 使用的签名加密方法有 HMAC-SHA1,RSA-SHA1 （可以自定义）。拿 HMAC-SHA1 来说吧，HMAC-SHA1这种加密码方法，可以使用 私钥 来加密 要在网络上传输的数据，而这个私钥只有 Consumer及服务提供商知道，试图攻击的人即使得到传输在网络上的字符串，没有 私钥 也是白搭。

私钥是：consumer secret&token secret  （哈两个密码加一起）

要加密的字符串是：除 oauth_signature 外的其它要传输的数据。按参数名字符排列，如果一样，则按 内容排。如：domain=kejibo.com&oauth_consumer_key=XYZ&word=welcome......................

前面提的加密里面都是固定的字符串，那么攻击者岂不是直接可以偷取使用吗？

不，oauth_timestamp，oauth_nonce。这两个是变化的。而且服务器会验证一个 nonce（混淆码）是否已经被使用。

那么这样攻击者就无法自已生成 签名，或者偷你的签名来使用了。

转载源：http://kejibo.com/oauth/

<?php

$username = 'xieyanwei51';
$password = '123456;
$content='别怕，这是PHP利用API发送的微博！';

//以下是SOHU微博API的使用。 
$url = 'http://api.t.sohu.com/statuses/update.xml';
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($curl, CURLOPT_USERPWD, "$username:$password");
curl_setopt($curl, CURLOPT_POSTFIELDS,'status='.urlencode($content)) ;
curl_setopt($curl, CURLOPT_HEADER, 0);//1显示头，0不显示头。
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);//禁止返回status的状态。
curl_exec($curl);
curl_close($curl);

//以下是嘀咕API的使用。
$url = 'http://api.minicloud.com.cn/statuses/update.format';
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($curl, CURLOPT_USERPWD, "$username:$password");
curl_setopt($curl, CURLOPT_POSTFIELDS,'content='.urlencode('sorry for emlog')) ;
curl_setopt($curl, CURLOPT_HEADER, 0);//1显示头，0不显示头。
curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);//禁止返回status的状态。
curl_exec($curl);
curl_close($curl);

?>

/*

*How to use?

*publish("username","password","have a test.");

*Copy Right 寒川

*URL：http://huikon.cn

*/

function publish($username, $password, $content=''){//发布
    $referURL = 'http://t.sina.com.cn';
    $url = 'http://t.sina.com.cn/mblog/publish.php';
    $fields = array(
    'content'=>urlencode($content) ,
    );
    $fields_string = '';
    foreach($fields as $key=>$value) { $fields_string .= $key.'='.$value.'&amp;' ; }
    rtrim($fields_string ,'&amp;') ;
    $fields_string = substr($fields_string, 0,-5);
   
    $cookie_jar = login($username, $password);

    $curl = curl_init($url) ;
    curl_setopt($curl, CURLOPT_POST,count($fields)) ;
    curl_setopt($curl, CURLOPT_POSTFIELDS,$fields_string) ;
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEFILE, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_REFERER, $referURL);
    curl_exec($curl);
    curl_close($curl);
    unlink($cookie_jar);
}

function login($username, $password){//登录
    $loginURL = 'https://login.sina.com.cn/sso/login.php?username='.$username.'&password='.$password.'&returntype=TEXT';
    $curl = curl_init($loginURL);
    $cookie_jar = tempnam('.', 'cookie');
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_HEADER, 0);
    curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_TIMEOUT, 10);
    curl_exec($curl);
    curl_close($curl);
    return $cookie_jar;
}

?>

function kill_html($str){   //清除HTML标签
$st=-1; //开始
$et=-1; //结束
$stmp=array();
$stmp[]="&nbsp;";
$len=strlen($str);
for($i=0;$i<$len;$i++){
   $ss=substr($str,$i,1);
   if(ord($ss)==60){ //ord("<")==60
    $st=$i;
   }
   if(ord($ss)==62){ //ord(">")==62
    $et=$i;
    if($st!=-1){
     $stmp[]=substr($str,$st,$et-$st+1);
    }
   }
}
$str=str_replace($stmp,"",$str);
return $str;
}

?>

echo check_file('huikon.cn','index.php');
?>

本函数用于判断远程文件是否存在。

<?php
/*
用法：
$qq = new qq();
$qq->publish('xieyanwei','password','Hi, I\'m a PHPer.');
*/
class qq
{
  function publish($username, $password, $content='')
  {
    $qq = trim($username);
    $pwd = $this->md5_3(trim($password));
    $cookie_jar = $this->login($qq, $pwd);
    $url = 'http://t.qq.com/publish.php' ;
    $fields = array(
      'content'=>urlencode($content),
      'pic'=>urlencode(''),
    'countType'=>urlencode(''),
    'viewModel'=>urlencode('1')
    );
    $fields_string = '';
    foreach($fields as $key=>$value)
    {
      $fields_string .= $key.'='.$value.'&amp;' ;
     }
    rtrim($fields_string ,'&amp;') ;
    $fields_string = substr($fields_string, 0,-5);
    $referURL = 'http://t.qq.com/'.$qq;
    $curl = curl_init($url) ;
    curl_setopt($curl, CURLOPT_POST,count($fields)) ;
    curl_setopt($curl, CURLOPT_POSTFIELDS,$fields_string) ;
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEFILE, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_REFERER, $referURL);
    curl_exec($curl) ;
    curl_close($curl) ;
    unlink($cookie_jar);
  }

private  function login($username, $password)
  {
    $qq = trim($username);
    $pwd = trim($password);
    $verifyURL = 'http://ptlogin2.qq.com/check?uin=@'.$qq.'&appid=46000101';
    $loginURL = 'http://ptlogin2.qq.com/login?';
    $curl = curl_init($verifyURL);
    $cookie_jar = tempnam('.', 'cookie');
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    $verifyCode = curl_exec($curl);
    curl_close($curl);
    $verifyCode = strtoupper(substr($verifyCode, 18, 4));
    $loginURL .= 'u=@'.$qq.'&p='.md5($pwd.$verifyCode).'&verifycode='.$verifyCode.'&aid=46000101&u1=http%3A%2F%2Ft.qq.com&h=1&from_ui=1&fp=loginerroralert';
    $curl = curl_init($loginURL);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEFILE, $cookie_jar);
    curl_setopt($curl, CURLOPT_COOKIEJAR, $cookie_jar);
    curl_exec($curl);
    curl_close($curl);
    return $cookie_jar;
  }

private  function md5_3($str)
  {
    return strtoupper(md5(md5(md5($str,true),true)));
  }
}
?>

有朋友说希望能给出演示，这要咋演示呢？下载个支持html 5的浏览器就可以测试了，据我所知，目前支持或部分支持html 5的浏览器主要有：Opera，Chrome ，IE9，Safari。

ps：IE9是不支持xp系统的哦。。。。