身份验证谷歌如何挥动小工具观众AppEngine上？

Question

想象一下，我想创建游戏“石头，剪子，布”的谷歌波浪。 我想实现它的Google Wave小工具。

这个想法很简单：所有的参与者发送他们的决定我的云 应用程序（它是一个Java的的AppEngine应用程序），我的服务器部分收集 这个数据，而且不共享任何人，直到所有参与者 完成他们的选择。在此之后，选择共享给所有 参与者和获胜者被确定。

我可以使用wave.getViewer().getId()来标识服务器上用户 gadgets.io.makeRequest期间。我完美的作品。 但是，我怎么能，在服务器端，确保传入的请求 真正从这个特定波用户？ （我怎样才能批准该波的 参加者ID是不是黑客在客户端？任何一波容器 签名允许确定波参加者ID可用？）

什么是谷歌Wave参与者的身份验证的最佳实践 在我的AppEngine上侧？如果可能的话请提供的例子。

我的实际的小工具是更复杂，但如所描述的问题 上方。

Answer 1

我将编码针对直接烘焙到Wave协议或API和希望，没有人欺骗参与者ID的想象的未来的解决方案。您也可以联系波团队，让您的已知的功能需求，看看是否有人在找一样的。

它看起来像有已经内置了对机器人的一些OpenAuth集成： HTTP：//波机器人Java的客户端。 googlecode.com/svn/trunk/doc/index.html

您可以将能够实现一个机器人，而不是一个小工具？或者，也许使用机器人进行身份验证，并与自己的身份验证的小工具，接口令牌服务器端？

Answer 2

据我可以告诉有这样做，因为所有的不“简单”的方法与工具的通信是直接在客户端和小工具之间，没有谷歌干扰任何东西，但小工具的XML描述。

我能想到把我的头顶部的唯一方法是让你的用户“登录”的小工具的iframe与谷歌帐户应用程序引擎的功能。这将确保他们是他们登录确实谁为。

Answer 3

  

我怎样才能批准该波的参加者ID没有在客户端破解？

用户如何破解他的波patricipant ID？ 我觉得没有问题，wave.getViewer（）的getId（）应该是正确的。

Answer 4

我想你想看看制作Wave机器人而不是一个小工具。是有区别的。

机器人是波浪知道，小工具是不

Wave机器人API： http://code.google.com/apis/波/扩展/机器人/