Mit javascript, mit der twitter-API

Ich bin daran interessiert, einen twitter-client verwenden von Adobe Air, aber ich bin irgendwie stecken geblieben jetzt, ich kann nicht herausfinden, einen besseren Weg, um eine Verbindung zu den twitter-REST-API, da es erfordert Authentifizierung.

Aktuell, sendet der client eine Anfrage an meinen server (ein php-Skript mit curl) mit der twitter-Benutzername/Passwort (unverschlüsselt) in GET-Variablen. Der server macht dann eine Anfrage an twitter mithilfe dieser Anmeldeinformationen und Ausgänge der buffer, der gesendet wird, an den client zurück, die dann verarbeitet/anzeigt.

Dies natürlich eine schreckliche Sicherheitslücke, also kennt jemand eine bessere (sicherere) Weg, es zu tun?

FYI: ich bin mit jQuery.

InformationsquelleAutor Steve Gattuso | 2009-03-22

  1. 9

    Gibt es ein paar Base64-Encoding-tools gibt. Sie können eine von Ihnen. Sie können einen header mit der kodierten Benutzernamen und Passwort auf der Grundlage der Basic-Auth specs

    Hier ist ein post, der genau das tut, was Sie wollen. http://www.aswinanand.com/blog/2009/01/http-basic-authentication-using-ajax/. Die base64-codiert ist mit dieser Bibliothek von ostermiller.org

    $.ajax({    
  'url': 'http://twitter.com/action/',
  'otherSettings': 'othervalues',
  'beforeSend': function(xhr) {
    xhr.setRequestHeader("Authorization", "Basic  " + 
                          encodeBase64(username + ":" + password));
  },
  sucess: function(result) {
   alert('done');
  }
});
    nicht, dass base64 würde die Dinge mehr sicher ...
    stimmt, aber zuletzt habe ich geprüft. twitter unterstützt nur basic.
    Ich bekomme immer noch eine login-Aufforderung angezeigt, wenn mit dieser Technik in FF 3.6.11 - hat sich etwas geändert?
    Ich habe festgestellt, diese Frage (stackoverflow.com/questions/86105/...), die zu suggerieren scheint, Sie können nicht verhindern, dass die Browser die Standard-login-prompt, wenn die Informationen falsch sind.
    Sollte xhr.setRequestHeader("Authorization", "Basic " + encodeBase64(username + ":" + password)

    InformationsquelleAutor bendewey

  2. 0

    Habe ich darüber nachgedacht, etwas ähnliches mit einem PHP-proxy-server (die app erfordert mehr Anfragen, als zulässig sind, ohne whitelisting, so werde ich brauchen, um route-Anfragen über eine einzelne IP).

    Meine Idee ist, dass Sie nur senden Sie die Benutzername/Passwort-Kombination einmal, und dann weisen Sie dem Benutzer eine temporäre session-id, die verwendet wird, für zukünftige Anforderungen. Sie die erste Benutzername/Passwort sicher ist ein wenig schwierig, man könnte verschlüsseln Sie es mit Salz, aber ich weiß nicht, wie einfach AIR apps zu dekompilieren. Eine weitere option könnte sein, die SSL - (aber ich bin mir noch nicht ganz sicher, wie das funktioniert).

    Hier ist eine Schritt-für-Schritt-Anleitung für die session-id Konzept obwohl:

    1. Ein Benutzer die AIR-app Twitter-Anmeldeinformationen.
    2. Anmeldeinformationen verschlüsselt und an den proxy-server.
    3. Authentifizierung getestet am proxy.
      • Wenn erfolgreich, wird eine session erstellt und die id zurückgegeben.
        • Beachten Sie, dass die Sitzung enthält ein Ablaufdatum/Zeit und kann nur durch eine IP.
      • Wenn erfolglos, wird eine Fehlermeldung an den client zurückgegeben.
    4. Client speichert die session-id und nutzt Sie in Zukunft Anfragen an die Stelle der Benutzername/Passwort.
      • E. g. request.php?action=get&data=friends_timeline&sessid=a3ajh83bah35nf
      • Sitzung Ablauf der Zeit verlängert auf jedes update.
    5. Wenn der Benutzer die Zeichen aus der Anwendung heraus eine kill-Nachricht an den proxy gesendet und die Sitzung wird aufgehoben.

    InformationsquelleAutor Ross

  3. 0

    sollten Sie einen Blick auf Spaz. http://funkatron.com/spaz - es ist ein open-source Twitter-Client in javascript geschrieben und für Luft. Der Quellcode ist verfügbar auf der Google Code-Website. http://code.google.com/p/spaz/

    Ich nicht sah, dass viel an der Quelle, aber ich kann sehen, einige Elemente wurden geschrieben in Flash/Flex. Ich bin mit der app aber, und es funktioniert einfach.

    Hoffe, dies ist nützlich für Sie.

    InformationsquelleAutor

  4. 0

    Ada ist eine Adobe-Air Twitter-client in Javascript geschrieben. Sie können es herunterladen, um zu bekommen eine Ahnung, was es ist:

    http://madan.org/ada

    Den code für Ada ist auf GitHub:

    http://github.com/sfsam/ada/tree/master

    Ada verwendet Base64. Die nette Sache über Ada ist, dass die code-Basis ist wirklich klein, so dass Sie sollten in der Lage sein, sich alles auszurechnen.

    InformationsquelleAutor sam

Schreibe einen Kommentar