Форум Flasher.ru

Форум Flasher.ru (http://www.flasher.ru/forum/index.php)
-   API приложений и сред (http://www.flasher.ru/forum/forumdisplay.php?f=61)
-   -   Авторизация в приложении. (http://www.flasher.ru/forum/showthread.php?t=208257)

bulavka 22.06.2014 14:03
Авторизация в приложении.
 
Добрый день, недавно стал знакомиться с VK API. Использую as3 и php. При входе выполняется авторизация. Если пользователь с таким id есть - идет загрузка самого приложения, нет - регистрация. Но вот совсем недавно до меня дошло, что этот способ очень уязвим. Если поймать флешку, запустить из бразуера с таким адресом xxx .swf?viewer_id=1любой id, то можно залогиниться под любого юзера. Подскажите, пожалуйста, как правильно организовать авторизацию?

caseyryan 22.06.2014 18:15
Для этого у вк есть secret_key. Посылаем auth_key вместе со всеми параметрами на свой сервер, а там храним secret_key, и с использованием этого secret_key собираем auth_key на своем сервере. И если присланный auth_key совпадает с тем, что получился, то юзер именно тот, за кого себя выдает
На сервере он собирается таким образом:
PHP код:
$auth_key md5(API_ID '_' $viewer_id '_' SECRET_KEY);
if ($auth_key == $received_auth_key) {
    // да, это тот юзер, разрешаем авторизацию
} else {
   die("screw you");
Все это есть в контактовских доках


Часовой пояс GMT +4, время: 00:23.

Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.