2

I'm creating a webapp with this combination of tools. I'm authenticating with App Engine in the following manner:

class googleLogin(webapp.RequestHandler):
  def get(self):
    callbackURL = 'http://%s/googleLoginCallback' % getHost()

    #Create a client service
    gdClient = gdata.docs.service.DocsService()
    gdata.alt.appengine.run_on_appengine(gdClient)
    gdClient.SetOAuthInputParameters(gdata.auth.OAuthSignatureMethod.HMAC_SHA1, 
                                     _GoogleConsumerKey, 
                                     consumer_secret=_GoogleConsumerSecret)

    #Get a Request Token        
    requestToken = gdClient.FetchOAuthRequestToken(scopes=_GoogleDataScope,
                                                   extra_parameters={'xoauth_displayname': APP_NAME})

    #Persist token secret
    self.session = Session()
    self.session[TOKENSECRETKEY]        = requestToken.secret

    gdClient.auto_set_current_token = True
    gdClient.SetOAuthToken(requestToken)
    authUrl = gdClient.GenerateOAuthAuthorizationURL(callback_url=callbackURL)
    self.redirect(authUrl)

I authenticated my domain with Google at https://www.google.com/accounts/ManageDomain, entering a target URL and am using the given Consumer Key/Secret. For instance, if my domain was 'juno.appspot.com', I am using http://juno.appspot.com as the target url path prefix.

The process is working; however, Google presents this message to the user in a yellow security box:

"The application that directed you here claims to be 'xxxxxx'. We are unable to verify this claim as the application runs on your computer, as opposed to a website. We recommend that you deny access unless you trust the application."

I don't think I should be getting this error, since my server is getting the request token and creating the authorization URL. Does anyone have any insight on how to get rid of this warning?

Google's domain registration has an option to upload a certificate, but I shouldn't need to do that because I'm using OAuth with the HMAC_SHA1 signature method.

Also, not that it should matter, but I'm doing all this through a UIWebView on the iPhone. I'm specifically trying to do all authentication server-side to avoid exposing my Consumer Key/Secret.

Thank you for any tips :)

4

2 に答える 2

3

解決しました。

犯人は、上記の次の行です。

extra_parameters={'xoauth_displayname': APP_NAME})

登録されたアプリケーションにこの値を設定すると、Google のドキュメントで示されているように、意図的にユーザーに警告がトリガーされます。

xoauth_displayname :

(オプション) アプリケーションを識別する文字列。この文字列は、Google の承認確認ページでエンド ユーザーに表示されます。登録されたアプリケーションの場合、このパラメーターの値は、登録時に設定された名前を上書きし、ID を検証できないというメッセージをユーザーにトリガーします。未登録のアプリケーションの場合、このパラメーターを使用してアプリケーション名を指定できます。未登録のアプリケーションの場合、このパラメーターが設定されていない場合、Google は oauth_callback の URL 値を使用してアプリケーションを識別します。どちらのパラメータも設定されていない場合、Google は文字列「anonymous」を使用します。

この行を削除すると、ドメインの代わりに「素敵な」名前を使用できなくなりますが、迷惑な黄色いボックスは削除されます:)

于 2011-04-03T08:41:45.717 に答える
0

問題がコードのどこにあるのか正確にはわかりませんが、少なくとも正しい方向に設定できる1 ページのoauth/appengine/gdata の例があります。どのようなメッセージが配信されるかを確認するために、iPhone/デスクトップ ブラウザから直接サイトに移動しようとしましたか?

それが役に立てば幸い。

あるいは、UIWebViewが設定するユーザーエージェントと関係があるのでしょうか?

于 2011-04-03T02:29:21.670 に答える