使用GWT对抗Strava API的OAuth

时间:2017-06-01 20:06:51

标签: curl gwt oauth

我正在尝试针对Strava API创建一个GWT应用程序。 首先要做的是身份验证。

http://strava.github.io/api/v3/oauth/上,他们说,对于令牌交换,您必须执行以下操作:

curl -X POST https://www.strava.com/oauth/token \
   -F client_id=5 \
   -F client_secret=7b2946535949ae70f015d696d8ac602830ece412 \
   -F code=75e251e3ff8fff

据我所知,那些-F事件代表多形式帖子中的字段? 所以我创建了类似的东西:

   final FormPanel form = new FormPanel();
   container.add(form);
   form.setAction("https://www.strava.com/oauth/token");
   form.setEncoding(FormPanel.ENCODING_MULTIPART);
   form.setMethod(FormPanel.METHOD_POST);

   VerticalPanel panel = new VerticalPanel();
   form.setWidget(panel);
   panel.add(new Hidden("client_id", CLIENT_ID));
   panel.add(new Hidden("client_secret", CLIENT_SECRET));
   panel.add(new Hidden("code", code));

   form.addSubmitCompleteHandler(new FormPanel.SubmitCompleteHandler() 
   {
       @Override
       public void onSubmitComplete(SubmitCompleteEvent event) 
       {
          GWT.log("complete " + event.getResults());
       }
    });

   container.addAttachHandler(new AttachEvent.Handler()
  {

     @Override
     public void onAttachOrDetach(AttachEvent event)
     {
        form.submit();            
     }
  });

现在,当我这样做时,我在Chrome开发工具中看到以下错误:

Refused to display 'https://www.strava.com/oauth/token' in a frame because it set 'X-Frame-Options' to 'deny'.
FormPanelImpl.java:117 POST https://www.strava.com/oauth/token net::ERR_BLOCKED_BY_RESPONSE

现在的问题是。我是否通过创建一个模仿卷曲示例的表单来纠正? 那个框架错误是否与使用IFRAME的GWT有关?我该如何解决这个问题?

1 个答案:

答案 0 :(得分:0)

Strava正在为你的回复设置一个标题,不允许在iframe中加载它(请参阅How to set 'X-Frame-Options' on iframe?)。我假设您的GWT应用程序正在将此表单加载到一个。

在进一步阅读时,他们还描述了这个过程,我看到了您找到示例curl的位置。

  

完成令牌交换

     

如果用户接受共享对其Strava数据的访问权限的请求,Strava将使用授权码重定向回 redirect_uri 。应用程序现在必须使用其客户端ID和客户端密钥交换访问令牌的临时授权代码。

您可能需要考虑使用RequestBuilder。您可以通过构建器上的URL.encodesetHeader("Content-Type", "application/x-www-form-urlencodeddata")对其进行编码来设置表单数据。你的回调可以照顾接受令牌以供其他地方使用。

示例从GWT Server Communication部分ganked并写入缓冲区,未经测试:

String url = "https://www.strava.com/oauth/token";
RequestBuilder builder = new RequestBuilder(RequestBuilder.POST, URL.encode(url));
builder.setHeader("Content-Type", "application/x-www-form-urlencodeddata");
String data = URL.encodeQueryString("client_id=5&client_secret=7b2946535949ae70f015d696d8ac602830ece412&code=75e251e3ff8fff");
try {
  Request request = builder.sendRequest(data, new RequestCallback() {
    public void onError(Request request, Throwable exception) {
       // Couldn't connect to server (could be timeout, SOP violation, etc.)
    }

    public void onResponseReceived(Request request, Response response) {
      if (200 == response.getStatusCode()) {
          // Process the response in response.getText()
      } else {
        // Handle the error.  Can get the status text from response.getStatusText()
      }
    }
  });
} catch (RequestException e) {
  // Couldn't connect to server

如果没有对此进行测试,我不确定上述是否是发送请求数据的合适方式,因此您可能需要计算出该部分。

我们确实有一个额外的皱纹:

  

所有开发人员都需要在开始之前注册他们的应用程序。已注册的应用程序将被分配一个客户端ID和客户端SECRET。 永远不应该分享秘密。

如果这是一个供公众使用的应用程序,则不应使用上述代码。您必须在服务器上执行此部分。

相关问题
最新问题