BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

采访Spring Social项目负责人Craig Walls

| 作者 Alex Blewitt 关注 4 他的粉丝 ,译者 贾国清 关注 0 他的粉丝 发布于 2011年9月30日. 估计阅读时间: 8 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

随着近日Spring Social的发布,InfoQ邀请到了该项目负责人Craig Wall。首先,有请Craig Wall解释下是什么促成了Spring Social这个项目:

Craig Walls:目前有许多线上网站需要用户来维护他们的身份信息。一些社交网站如Facebook和Twitter,为用户提供了联系友人及家人并在其间分享生活点滴的功能。就连某些被认为不具备“社交”功能的服务,如Dropbox,现在都具备显示联系人在线状态的功能。

其中大多数服务都是以REST API的形式提供,应用创建后通过用户行为与多样化的服务相互作用,可以产生更多超越服务本身功能的体验。伴随着拥有超过7亿5千万用户的Facebook、超过2亿用户的Twitter,以及拥有类似用户数量的其他服务提供方,可以预见的是,具备社会化体验和在线体验的应用将拥有无限发展空间。

尽管如此,构建这类应用有时也充满了挑战。虽然REST API看上去很简单,但在使用其接口之前,仍需要取得访问用户资源的授权。一旦通过了授权,就会去想如何把这种长连接持久化,以至于不用每次在访问资源时都要再授权。当调用某个服务时,将响应与对象模型绑定,从而达到处理任何可发生事件的效果。

通过管理连接进程以及将Java与服务的REST API进行绑定,Spring Social的出现大大简化了应用程序的开发。

InfoQ:您认为哪类应用适合与Spring Social的连接器集成?

Craig Walls:只要是需要与一个或多个服务提供方交互的这类应用,Spring Social都可与其完美集成。同样也可以是一些简单的操作,比如从Twitter读取一条信息或向某个用户的Facebook照片墙上上传一张照片等。

此外,应用还可以做一些更加有趣的可以增强用户体验的事情。比如一个基于音乐流媒体应用,可以首先通过Spring Social获取用户Facebook上喜好的音乐家列表,然后以此来优化该用户的播放列表。类似的应用还有通过获取用户的旅游日程,然后向用户推送当地的音乐会或音乐活动等信息。

这种方式的魅力在于,一旦用户得取得访问应用数据的授权,通过将无限的创造力与些数据的集成,可以带来全新的用户体验。

InfoQ:我们都知道Spring Social与OAuth联系紧密。这是否要求与Spring Social结合的服务提供方都要基于OAuth授权呢?

Craig Walls:Spring Social的1.0.0版本提供了对可加密用户资源的OAuth的直接连接支持;无论是OAuth 1.0、OAuth 1.0a还是OAuth 2。已经将大部分的实现OAuth的服务提供方包含了进来,其中不乏一些耳熟能详的提供方:如Twitter、Facebook、TripIt、GitHub、Foursquare和Gowalla等。

换句话说,Spring Social的连接框架是可扩展的。除此之外,Spring Social还可通过扩展实现对其它类型授权服务的支持。

InfoQ:OAuth 1.0与OAuth 1.0a有着怎样的区别?

Craig Walls:OAuth 1.0存在一个安全漏洞,该漏洞允许攻击者通过开启连接进程获取请求标识,然后利用该标识欺骗被攻击者从而获取用户授权,最终攻击者获得对用户资源的访问权。该漏洞已经在OAuth 1.0a中被修复。

但不幸的是,仍然有一些服务提供方还在部署OAuth 1.0。同时,他们中的大多数已经考虑弃用OAuth 1.0转而投向OAuth 2,同时他们也相信在很短的获取请求标识(通常只有几分钟)周期内,很难实施这样的攻击。也有一些服务提供方在各自的OAuth 1.0实现中增加了额外的约束(例如限制返回的URL必须同预注册中返回的URL相一致),以此来减轻遭受攻击的风险。也有些服务提供方提醒用户只接受可信应用的授权请求,以此来减少被攻击的风险。

为了支持OAuth 1.0,Spring Social依然保持着与这些服务提供方的连通性,其中有著名的Triplt和Dropbox等。但当部署需要连接OAuth 1.0服务的应用时,仍需保持警惕。

InfoQ:Twitter(或是其他)的服务提供方所需用到的密钥需要通过加密的方式保存到数据库中,Spring Social对此是否提供了支持?

Craig Walls:当然!授权给应用的标识和密钥,在访问用户资源时都会用到,这些都需要防止被窥探到。因此,在配置Spring Social连接库时,必须为连接库选择加密机,该加密机将在传输标识和密钥时启动。加密机可通过实现Spring Security的TextEncryptor接口的方式实现。在我们提供的示例应用中,采用了不带有任何操作的文本加密机,以此来简化Spring Social初学者的学习曲线,但对于上线的应用来说,使用健壮的加密机还是很有必要的。

InfoQ:最后,基于OAuth的原理以及浏览器的三条腿认证的特性,您是否认为Spring Social主要适用于基于用户浏览器的基于Web的系统,对于无头系统(Headless System,在无鼠标、键盘和显示器环境下工作的系统)Spring Social是否也适用呢?

Craig Walls: Spring Social 1.0.0提供了对用户操作过程中使用到的OAuth 1和OAuth 2的支持。这也就是通常意义上的三条腿OAuth 1和OAuth 2认证流程。这都需要通过用户浏览器来重定向到服务提供者进行授权。

但这并不意味着使用Spring Social的应用一定要是基于Web的。以Android应用为例,显然不是一个Web应用,但同样可以使用Spring Social来连接服务提供方。这时,在需要授权时只需调用Android设备中的浏览器即可,应用中的其余部分完全可以是基于本地化开发的。

至于无头系统,还可选择其他的无需用户参与的授权策略,例如两条腿 OAuth 1或者是OAuth 2的用户名密码模式(Resource Owner Password Credentials),也有客户端验证的方式可供使用。Spring Social的1.0.0版本中尚未提供对以上认证策略的支持,但是已经考虑在未来的发布中增加进去。

更多信息可访问Spring Social首页,其中列出了可用的其他连接器。尽管1.0版本中包含了Facebook和Twitter连接器,其他连接器(例如GitHub、Triplt和Linked In等)以及其他社区的类似于FoursquareInstagram的连接器仍处于开发阶段。任何关于Spring Social的问题,都欢迎在下方的评论中留言。

查看英文原文:Interview with Spring Social Lead Craig Walls

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT