Nous souhaitons envoyer une commande de mise à jour JSON à Twitter, mais utilisez uniquement JQuery, sans avoir à aller sur le serveur Web et à le faire en PHP.
La chose que je ne peux pas saisir est vraiment comment envoyer les informations d'identification de l'utilisateur dans l'appel de l'API Twitter JQuery / JSON Twitter. Nos informations d'identification de l'utilisateur sont de Twitter's OAuth.
merci, acclamations!
3 Réponses :
IAM Pas à 100% sûr, mais je pense que vous avez besoin d'un script Serveride pour vous authentifier avec Twitter.
Consultez ce lien:
C'est une implémentation de l'API pour JQuery et Twitter (mais Altugh a un script PHP pour gérer certaines choses.)
Bonne solution! Avoir un script PHP qui retourne des jetons Oauth. Comme ces jetons ne fonctionnent que lorsqu'ils sont appelés de notre domaine (comme c'est celui qui est enregistré avec Twitter), il est sécurisé à 100%. Le PHP ne met rien à jour et la jQuery ne fonctionne que lorsqu'elle est hébergée sur notre domaine.
Si vous avez fait cela, vous devez intégrer la clé de votre application, secret (!) et le jeton de l'utilisateur dans la page Web (qui est ensuite exposé à l'utilisateur). Je ne pense pas que c'est une bonne idée. (Et le risque de compromis est le même.)
Cela pourrait être la pensée de la plupart des autres personnes - mais il y a un bibliothèque JavaScript OAuth . Mais il n'est pas intégré pour l'utilisation des sites Web intérieurs (limitation de l'ajax croisée), mais plutôt pour d'autres plates-formes JS (comme chrome / jetpack plugins ou widgets de barre latérale Vista).
Oui tu as raison. Vous avez oublié de signer et de chiffrer la demande d'API Twitter avec la clé de notre application. Il n'y a aucun moyen d'exposer cette clé dans notre page Web.
Qu'en est-il des applications mobiles dans une vision WebView, l'utilisateur n'aura jamais accès à la source ...
Juste contempler des réponses que j'ai trouvées recherchées sur la même question:
comme pour les limites de taux (c'est pourquoi je suis venu ici):
Réponse officielle Twitter: @EPISOD TAYLOR SingleTary
L'API de repos (api.twitter.com/1/*) accepte l'authentification pour chaque méthode. Lorsque vous utilisez l'authentification, il est tiré du tarif de l'utilisateur. Limite.
L'API de recherche, qui est un taux limité totalement différent de la API de repos, n'utilise pas OAuth ou aucune forme d'autorisation. C'est où vous voudrez probablement utiliser des demandes de Vanilla Json-P.
Juste parce que une demande signée OAuth renvoie des données, ne signifie pas le La demande était valide oauth. Dans des contextes où nous pouvons envisager un invalide Demande de demande non authentifiée à la place, nous allons le servir. 19 semaines il y a 1 jour Répondre
Un autre twitter Répondre concernant JQuery et Security.
Quant à la gigue, je pense que c'est mort.
Quel est le problème avec le faire avec une langue côté serveur?
Il n'y a rien de mal avec ça et nous l'avons travaillé pour un groupe d'autres opérations. Je pense juste que c'est plus sûr en utilisant 100% jQuery. Avoir un script PHP qui met à jour Twitter peut être exploité, car il détient les informations autorisées pour tous les utilisateurs de mon système. Si la solution est 100% de navigateur client, il n'y a pas d'exploitation possible, car seul l'utilisateur a accès à ses informations d'identification OAuth (qui vivent dans le javasRIPT de leur navigateur). Sais ce que je veux dire?