搭建支持 OAuth Echo 的第三方 twitter 应用

imggd_oauth_echo

背景:进入8月中,twitter 已经在每天减少 Basic Auth 的 API limit了,到月底 Basic Auth 将彻底关闭,也就是说到月底,所有的客户端,twitter与第三方服务之间都必须使用 OAuth 来传递帐号密码等信息。

我喜欢 twitter for iPhone 的很大一个原因就是其支持自定义图片服务,3.0 以及之前的版本使用 Basic Auth 自建图片服务很容易,只要处理一下提交过来的 multipart/form-data 就行了,但是相应的安全性比较低——密码用明文传送,所以 atebits 强烈推荐用 https,并且曾经计划在后续版本强制 https。当然现在都 OAuth 了,这个问题也就不存在了。

twitter for iPhone 升级到 3.01 以后,就一直有人说其有 bug,自定义 API 和 自定义图片服务都不能用,这个 "bug" 一直持续到了 3.03a。。。昨天偶然和 @2046 聊起这个事情,才突然明白这根本不是什么 bug,而是新版的 twitter for iPhone 已经开始用 oAuth 将用户信息打包提交了,所以导致之前在 expect basic auth 的 API Proxy 以及 自定义图片服务都歇菜了,包括 img.gdtwip 。。。

这里要强烈谴责一下 twitter 的官方网站,直到现在 twitter for iPhone 的支持页面里面还是让大家去 atebits 的 developer 页面看老掉牙的信息,严重误导。实际上现在 twitter 使用 OAuth Echo 为类似的第三方服务进行验证,基本原理可以参考这(12)篇文档,基本流程如下图:

oauth_echo

以 twitter for iPhone 发图到 img.gd 为例:

  1. twitter for iPhone 将 multipart/form-data POST 到 img.gd 的 ending point,包括图片以及 $_POST['message'],即 tweet 主体。
  2. POST multipart/form-data 的同时,HTTP HEADER 中会包含关键的 OAuth 信息:X-Auth-Service-Provider (验证 url) 以及 X-Verify-Credentials-Authorization (OAuth 信息主体,包括 token 等)。
  3. img.gd 收到 POST 后,将 HTTP HEADER 中的 X-Verify-Credentials-Authorization 改名为 Authorization 提交到 X-Auth-Service-Provider (这里就是 twitter)验证。
  4. 如果 twitter 返回 HTTP CODE 200 的话,表示验证成功,同时会返回一个 json 格式的用户 object。
  5. img.gd 读取 twitter 返回的 json 数据,存储图片,返回图片 url 给 twitter for iPhone。

最终效果如本文题图,这样终于可以放心升级到 twitter for iPhone 3.03a了,twitter 本身走 #GFWInterceptor 图片则直接 OAuth Echo 到 img.gd,赞!

This entry was posted in 我的工作学习, 电脑相关 and tagged , , , , . Bookmark the permalink.

One Response to 搭建支持 OAuth Echo 的第三方 twitter 应用

  1. Pingback: Tweets that mention 搭建支持 OAuth Echo 的第三方 twitter 应用 | gkp's post -- Topsy.com

Leave a Reply

Your email address will not be published. Required fields are marked *


8 + nine =

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>