折腾 Disqus API 的人总会碰到这样那样的问题,很多是由于权限不足导致的。其中有两点急需解决,分别是匿名评论以及获取评论者电子邮箱。
发表/回复评论
评论框最为重要的功能是发表评论,使用 Disqus API,做一个任何人可用的评论框,那么匿名评论显得格外重要。若使用自己申请的 api_key 抑或 api_secret,带上 author_name、author_email 参数去请求 posts/create,会返回以下错误:
{"code":12,"response":"This application cannot create posts on the chosen forum"}
Disqus API 文档对 posts/create 的介绍[1]并不少,但无论如何试,就是搞不定匿名评论。
通过 Google 搜索,我找到了解决方法[2]。Disqus 官方网页使用的 API 跟提供给我们应该是一样的,区别在于权限。支持匿名评论的原生评论框,其使用的 api_key 拥有匿名评论的权限,经查看,原生评论框的 api_key 只有一个,也即:
E8Uh5l5fHZ6gD8U3KycjAIAk46f68Zw7C6eW8WSjZvCLXebZ7p0r1yrYDrLilk2F
使用这个 api_key 便能实现匿名评论。后来我发现,posts/create 这个 API 而言:
- 使用原生评论框的
api_key,可发表匿名评论,Session(帐号密码登录)认证后,可发表匿名评论、可指定评论状态、不可指定 IP 地址 - 使用自己申请的 key 进行 OAuth 2 (read,write) 认证后,不可发表匿名评论、可指定评论状态、可指定 IP 地址
两种认证方式的权限如下:
| authentication | anonymous | state | ip_address |
|---|---|---|---|
| Session | √ | √ | × |
| OAuth | × | √ | √ |
我发现其中有个 BUG,当 Session 认证并指定 state 为 approve 时,回复已登录用户的评论,对方会收到 2 封邮件通知。
评论者电子邮箱
为啥要取到评论作者的邮箱?因为取到评论者邮箱,便可以给匿名评论者发回复邮件通知,也可以为匿名评论者指定 Gravatar 头像。
刚开始测试,无论使用哪个 api_key,都是无法获取到邮箱号,比较头疼。Disqus 后台却有评论者的邮箱号,于是尝试登录认证再去获取,如愿以偿地获取到邮箱号。
下表是经测试后,posts/list 是否能取得评论作者邮箱的权限:
| key | none | Session | OAuth |
|---|---|---|---|
| 官方 api_key | × | √ | |
| 自己 api_key | × | × | |
| 自己 api_secret | √ |
OAuth 认证时,Application 需将权限设置为:
Permissions:
Read, Write, Manage Forums
以上均为管理员身份的认证,若不是网站管理员,就算认证了,也是无法看到邮箱。由此看来,必须是网站管理员身份才可看到评论者的邮箱。
总结
搞清楚以上两个权限后,便会发现:若想要匿名评论,则必须使用原生评论框的 api_key,经 Session 认证后,还可指定评论的状态,获取到评论者邮箱。
所以目前我利用 Disqus API 所做的评论框[3],在后端仅仅使用原生评论框的那个 api_key。为了支持 Disqus 会员登录评论,可能后面会加上 OAuth 认证登录。
参考资料
本文历史
- 2017 年 08 月 04 日 完成初稿
- 2017 年 08 月 06 日 小修改,获取邮箱号的思路
