Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Сообщения за день
 

Вернуться   Форум Flasher.ru > Flash > Серверные технологии и Flash

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 21.12.2009, 23:13
AlexsWulf вне форума Посмотреть профиль Отправить личное сообщение для AlexsWulf Найти все сообщения от AlexsWulf
  № 1  
Ответить с цитированием
AlexsWulf

Регистрация: Oct 2008
Адрес: Воронеж
Сообщений: 75
По умолчанию доступ к серверу только с api в контакта

Доброго времени суток.
Хотел защитить скрипты на сервере от посторонего доступа и разрешить только приложению вконтакте

пишу в .htaccess
Код:
RewriteEngine On
Options +FollowSymlinks
RewriteCond %{REMOTE_HOST} !^.*vkontakte\.ru.*$
RewriteRule ^.*$ http://google.ru/
ErrorDocument 403 /errors/error.htm 
ErrorDocument 500 /errors/error.htm 
ErrorDocument 401 /errors/error.htm
ErrorDocument 404 /errors/error.htm
в результате все перенаправляются на гугл и приложение тоже
Не подскажите как еще можно закрыть доступ?
Или я с регулярками что то на мудрил?

Заранее благодарю за ответ.

Старый 22.12.2009, 00:44
maxlapshin вне форума Посмотреть профиль Отправить личное сообщение для maxlapshin Найти все сообщения от maxlapshin
  № 2  
Ответить с цитированием
maxlapshin
Erlyvideo

Регистрация: Aug 2008
Сообщений: 197
Отправить сообщение для maxlapshin с помощью ICQ
А вы понимаете, что флешка находится у пользователя на компьютере и отправляет к вам запросы с любого IP адреса?

Плюс конструкция вида RewriteCond %{REMOTE_HOST} !^.*vkontakte\.ru.*$ совершенно нежизнеспособна, потому что vkontakte.ru может резолвиться на тысячу равноправных IP адресов.

То, что вам нужно, называется secret_key. Это подпись от вашего payment_key и user_id пользователя. Вы никогда не можете быть уверены в том, что пользователь выполняет запросы к вам именно из флеш приложения, а не из самописной программы, но вы может быть полностью уверен в том, что это именно пользователь 1234567 прислал вам запрос на какой-то урл.

Уберите эту перепись.

Старый 22.12.2009, 00:49
AlexsWulf вне форума Посмотреть профиль Отправить личное сообщение для AlexsWulf Найти все сообщения от AlexsWulf
  № 3  
Ответить с цитированием
AlexsWulf

Регистрация: Oct 2008
Адрес: Воронеж
Сообщений: 75
Цитата:
Сообщение от maxlapshin Посмотреть сообщение
А вы понимаете, что флешка находится у пользователя на компьютере и отправляет к вам запросы с любого IP адреса?
Действительно. Слона то я и не приметил (
Спасибо большое.

Старый 07.01.2010, 21:13
andrew911 вне форума Посмотреть профиль Отправить личное сообщение для andrew911 Найти все сообщения от andrew911
  № 4  
Ответить с цитированием
andrew911

Регистрация: Mar 2007
Сообщений: 545
Цитата:
Сообщение от maxlapshin Посмотреть сообщение
То, что вам нужно, называется secret_key. Это подпись от вашего payment_key и user_id пользователя. Вы никогда не можете быть уверены в том, что пользователь выполняет запросы к вам именно из флеш приложения, а не из самописной программы, но вы может быть полностью уверен в том, что это именно пользователь 1234567 прислал вам запрос на какой-то урл.
Где гарантия, что флешка не разобрана и из нее не получен secret_key, с помощью которого и сделан запрос от имени другого пользователя?

Старый 07.01.2010, 21:28
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 5  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
andrew911, секретный ключ хранится на сервере, а не в приложении. А авторизация пользователя проводится через auth_key, который формируется на основании secret key.

Старый 08.01.2010, 00:40
maxlapshin вне форума Посмотреть профиль Отправить личное сообщение для maxlapshin Найти все сообщения от maxlapshin
  № 6  
Ответить с цитированием
maxlapshin
Erlyvideo

Регистрация: Aug 2008
Сообщений: 197
Отправить сообщение для maxlapshin с помощью ICQ
Ага. auth_key формирует сервер вконтакта при генерации HTML-я который вставляет флешку и он представляет из себя функцию auth_key = crypt(secret_key, user_id).

Если подменить user_id, то когда вы на своём сервере будете проверять ту же функцию, у вас не сойдется.

Старый 21.01.2010, 22:59
andrew911 вне форума Посмотреть профиль Отправить личное сообщение для andrew911 Найти все сообщения от andrew911
  № 7  
Ответить с цитированием
andrew911

Регистрация: Mar 2007
Сообщений: 545
udaaff

Вконтакте два секретных ключа - один используется для платежных операций и действительно хранится на сервере.
Но для остальных операций используется ключ, который будет во флешке

Старый 21.01.2010, 23:23
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 8  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
Цитата:
Сообщение от andrew911 Посмотреть сообщение
udaaff

Вконтакте два секретных ключа - один используется для платежных операций и действительно хранится на сервере.
Но для остальных операций используется ключ, который будет во флешке
Речь шла об авторизации пользователя на удаленном сервере.
Какие ключи есть и для чего они надо, я в курсе.

Старый 23.01.2010, 15:10
andrew911 вне форума Посмотреть профиль Отправить личное сообщение для andrew911 Найти все сообщения от andrew911
  № 9  
Ответить с цитированием
andrew911

Регистрация: Mar 2007
Сообщений: 545
Цитата:
Сообщение от udaaff Посмотреть сообщение
Речь шла об авторизации пользователя на удаленном сервере.
Какие ключи есть и для чего они надо, я в курсе.
Изначально был вопрос
Цитата:
Хотел защитить скрипты на сервере от посторонего доступа и разрешить только приложению вконтакте
И какое отношение имеет секретный платежный ключ к этому?

Старый 23.01.2010, 15:46
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 10  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
andrew911, перечитайте еще раз второй пост. Третий абзац в особенности.
И то, что вам писали после.

Создать новую тему Ответ Часовой пояс GMT +4, время: 13:48.
Быстрый переход
  « Предыдущая тема | Следующая тема »  

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 13:48.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.