搭建支持 OAuth Echo 的第三方 twitter 应用

背景：进入8月中，twitter 已经在每天减少 Basic Auth 的 API limit了，到月底 Basic Auth 将彻底关闭，也就是说到月底，所有的客户端，twitter与第三方服务之间都必须使用 OAuth 来传递帐号密码等信息。

我喜欢 twitter for
iPhone 的很大一个原因就是其支持自定义图片服务，3.0 以及之前的版本使用 Basic Auth 自建图片服务很容易，只要处理一下提交过来的 multipart/form-data 就行了，但是相应的安全性比较低——密码用明文传送，所以 atebits 强烈推荐用 https，并且曾经计划在后续版本强制 https。当然现在都 OAuth 了，这个问题也就不存在了。

twitter for iPhone 升级到 3.01 以后，就一直有人说其有 bug，自定义 API 和 自定义图片服务都不能用，这个 "bug" 一直持续到了 3.03a。。。昨天偶然和
@2046 聊起这个事情，才突然明白这根本不是什么 bug，而是新版的 twitter for iPhone 已经开始用 oAuth 将用户信息打包提交了，所以导致之前在 expect basic auth 的 API Proxy 以及 自定义图片服务都歇菜了，包括
img.gd 与
twip 。。。

这里要强烈谴责一下 twitter 的官方网站，直到现在 twitter for iPhone 的支持页面里面还是让大家去 atebits 的 developer 页面看老掉牙的信息，严重误导。实际上现在
twitter 使用 OAuth Echo 为类似的第三方服务进行验证，基本原理可以参考这（1，2）篇文档，基本流程如下图：





以 twitter for iPhone 发图到 img.gd 为例：

twitter for iPhone 将 multipart/form-data POST 到 img.gd 的 ending point，包括图片以及 $_POST['message']，即 tweet 主体。
POST multipart/form-data 的同时，HTTP HEADER 中会包含关键的 OAuth 信息：X-Auth-Service-Provider （验证 url） 以及 X-Verify-Credentials-Authorization （OAuth 信息主体，包括 token 等）。
img.gd 收到 POST 后，将 HTTP HEADER 中的 X-Verify-Credentials-Authorization 改名为 Authorization 提交到 X-Auth-Service-Provider （这里就是 twitter）验证。
如果 twitter 返回 HTTP CODE 200 的话，表示验证成功，同时会返回一个 json 格式的用户 object。
img.gd 读取 twitter 返回的 json 数据，存储图片，返回图片 url 给 twitter for iPhone。

最终效果如本文题图，这样终于可以放心升级到 twitter for iPhone 3.03a了，twitter 本身走
#GFWInterceptor 图片则直接 OAuth Echo 到 img.gd，赞！