Авторизация в приложении.

[bulavka]

Добрый день, недавно стал знакомиться с VK API. Использую as3 и php. При входе выполняется авторизация. Если пользователь с таким id есть - идет загрузка самого приложения, нет - регистрация. Но вот совсем недавно до меня дошло, что этот способ очень уязвим. Если поймать флешку, запустить из бразуера с таким адресом xxx .swf?viewer_id=1любой id, то можно залогиниться под любого юзера. Подскажите, пожалуйста, как правильно организовать авторизацию?

[caseyryan]

Для этого у вк есть secret_key. Посылаем auth_key вместе со всеми параметрами на свой сервер, а там храним secret_key, и с использованием этого secret_key собираем auth_key на своем сервере. И если присланный auth_key совпадает с тем, что получился, то юзер именно тот, за кого себя выдает
На сервере он собирается таким образом:

PHP код:

$auth_key = md5(API_ID . '_' . $viewer_id . '_' . SECRET_KEY);
if ($auth_key == $received_auth_key) {
    // да, это тот юзер, разрешаем авторизацию
} else {
   die("screw you");
} 


Все это есть в контактовских доках