我正在尝试一种了解我网站用户的特定Twitter身份的方法,即使他们没有登录。并且希望社区的帮助能够找到我如何降低模仿的可能性。< / p>
主要思想是用户进入主页面,填写表单,然后点击“推文”按钮作为提交表单的方式。这会打开一个弹出窗口,用户会看到一条预先填好的消息:“我刚刚提交了此表单”并发布了它。这个弹出窗口位于twitter.com上。这里没有涉及oauth。完成推文后,Twitter会将刚创建的推文的id发回给网页上的javascript回调函数。这个javascript函数ajax将表单字段以及tweet id发布到服务器上的处理程序。
然后,服务器获取该推文的推特信息,包括用户信息,并将表格信息与外键一起保存给用户。
我想要避免的是冒充者来到页面,用垃圾填写表单,并手动将包含推文ID的表单发布到来自其他用户的不相关的推文。
我正在使用的Django有一些称为CSRF令牌的东西,以避免模仿者在不加载页面的情况下进行POST调用。但我不确定这是否也会阻止加载页面的用户(并查看csrf令牌)伪造POST。
我想要避免的主要问题是人们将不属于他们的推特ID与他们发布的推特相关联。
期待您的一些创造性方法的建议,以解决这个问题,或者在我的思想中挖洞。