我正在尝试一种方法来了解我的网站用户的特定 Twitter 身份,即使他们没有登录。并且希望社区的帮助,以找出我可以如何减少冒充的可能性。
主要思想是用户来到主页,填写表单,然后单击“tweet this”按钮作为提交表单的一种方式。这会打开一个弹出窗口,用户会在其中看到一条预先填写的消息:“我刚刚提交了此表单”并在推特上发布。此弹出窗口位于 twitter.com 上。这里不涉及oauth。推文完成后,推特将刚刚创建的推文的 id 发送回网页上的 javascript 回调函数。这个 javascript 函数 ajax 将表单字段以及推文 ID 发布到服务器上的处理程序。
然后,服务器获取该推文的 Twitter 信息,包括用户信息,并使用外键将表单信息保存给用户。
我要避免的是冒充者来到页面,用垃圾填写表单,然后手动将包含推文 ID 的表单发布到来自另一个用户的不相关推文。
我正在使用的 Django 有一个叫做 CSRF 令牌的东西,可以避免模仿者在不加载页面的情况下进行 POST 调用。但我不确定这是否也会阻止加载页面(并查看 csrf 令牌)的用户伪造 POST。
我要避免的主要事情是让人们将不属于他们的 twitter id 与他们发布的 for 相关联。
期待您提出一些创造性的方法来解决这个问题或戳破我的想法。