如何在Appengine上驗證Google wave小工具查看器？

Question

想象一下，我想為Google Waves制作游戲“Rock-paper-scissors”。 我正在考慮將其作為Wave Gadget實現。

這個想法很簡單：所有參與者都將他們的決定發送到我的雲應用程序（它是一個Appengine Java應用程序），我的服務器部分收集這些數據，並且在所有參與者完成他們的選擇之前不會與任何人分享。 在此之后，所有參與者共享選擇並確定獲勝者。

我可以使用wave.getViewer().getId()在gadgets.io.makeRequest期間識別服務器上的用戶。 我工作得很完美。 但是，我如何在服務器端確保傳入的請求確實來自這個特定的wave用戶？ （我如何批准wave的參與者ID在客戶端沒有被黑客入侵？任何允許確定wave參與者ID的wave容器簽名是否可用？）

我的appengine方面谷歌wave參與者身份驗證的最佳做法是什么？ 如果可能，請提供示例。

我的實際小工具更復雜，但問題如上所述。

Answer 1

我會針對想象中的未來解決方案進行編碼，該解決方案直接融入Wave協議或API，並希望沒有人欺騙參與者ID。 您也可以聯系Wave團隊，以滿足您對已知功能的需求，並查看其他人是否正在尋找相同的功能。

看起來已經為機器人內置了一些OpenAuth集成： http ：//wave-robot-java-client.googlecode.com/svn/trunk/doc/index.html

你能夠實現機器人而不是小工具嗎？ 或者也許使用機器人進行身份驗證並使用自己的身份驗證令牌服務器端的小工具界面？

Answer 2

據我所知，沒有“簡單”的方法可以做到這一點，因為與小工具的所有通信都直接在客戶端和小工具之間進行，除了小工具的XML描述之外沒有谷歌干擾。

我能想到的唯一方法就是讓您的用戶使用Google App Engine的帳戶功能“登錄”小工具的iframe。 這將確保他們確實是他們登錄的人。

Answer 3

我如何批准wave的參與者ID在客戶端沒有被黑客攻擊？

用戶如何破解他的wave patricipant id？ 我認為沒有問題，wave.getViewer（）。getId（）應該是正確的。

Answer 4

我想你想要研究制造一個波浪機器人而不是一個GADGET。 它們是有區別的。

機器人是波浪感知的，小工具不是。

Wave Robot API： http ： //code.google.com/apis/wave/extensions/robots/