身份验证谷歌如何挥动小工具观众AppEngine上?
-
21-09-2019 - |
题
想象一下,我想创建游戏“石头,剪子,布”的谷歌波浪。 我想实现它的Google Wave小工具。
这个想法很简单:所有的参与者发送他们的决定我的云 应用程序(它是一个Java的的AppEngine应用程序),我的服务器部分收集 这个数据,而且不共享任何人,直到所有参与者 完成他们的选择。在此之后,选择共享给所有 参与者和获胜者被确定。
我可以使用wave.getViewer().getId()
来标识服务器上用户
gadgets.io.makeRequest
期间。我完美的作品。
但是,我怎么能,在服务器端,确保传入的请求
真正从这个特定波用户? (我怎样才能批准该波的
参加者ID是不是黑客在客户端?任何一波容器
签名允许确定波参加者ID可用?)
什么是谷歌Wave参与者的身份验证的最佳实践 在我的AppEngine上侧?如果可能的话请提供的例子。
我的实际的小工具是更复杂,但如所描述的问题 上方。
解决方案
我将编码针对直接烘焙到Wave协议或API和希望,没有人欺骗参与者ID的想象的未来的解决方案。您也可以联系波团队,让您的已知的功能需求,看看是否有人在找一样的。
它看起来像有已经内置了对机器人的一些OpenAuth集成: HTTP://波机器人Java的客户端。 googlecode.com/svn/trunk/doc/index.html
您可以将能够实现一个机器人,而不是一个小工具?或者,也许使用机器人进行身份验证,并与自己的身份验证的小工具,接口令牌服务器端?
其他提示
据我可以告诉有这样做,因为所有的不“简单”的方法与工具的通信是直接在客户端和小工具之间,没有谷歌干扰任何东西,但小工具的XML描述。
我能想到把我的头顶部的唯一方法是让你的用户“登录”的小工具的iframe与谷歌帐户应用程序引擎的功能。这将确保他们是他们登录确实谁为。
我怎样才能批准该波的参加者ID没有在客户端破解?
用户如何破解他的波patricipant ID? 我觉得没有问题,wave.getViewer()的getId()应该是正确的。