请教App中使用weibo等进行登陆验证的思路(类似啪啪)

有一个App，他需要调用我们的Web 服务器上的 Http 的Api，这个api要求是在用户在web服务器上登陆的，我们的服务器上有一份用户数据，原来我们使用http://www.a.com/api/logon/?username=abc&password=123来实现，然后返回一个授权凭证的cookie，之后的api只要带这个cookie就可以进行操作。这些和web开发是一样的。

我们现在想在App上使用weibo或者qq的第三方登陆验证(在app上完成)，在确定完成weibo的授权验证之后，我们还是需要向我们的服务器进行一次登陆和授权吧，但是这时我们只有weibo的uid之类的而没有密码，所以向http://www.a.com/api/logon/?weibo-uid=123这样来给这个用户完成授权（没有的时候创建这个用户)。但是我如何保证这个过程不能被伪造呢，虽然我可以弄一个签名算法，但是这样肯定需要在App上保留这个签名算法和密钥吧，还是可以通过反向的方法找出来后自己伪造一个。

现在我实现是想不到有啥办法了，可能我一开始的思路就是错误的，只能来请教一下如何设计这个，谢谢。

我看到啪啪就是类似的实现啊，不知道他是如何做的。