Форум Flasher.ru

Форум Flasher.ru (http://www.flasher.ru/forum/index.php)
-   API приложений и сред (http://www.flasher.ru/forum/forumdisplay.php?f=61)
-   -   Безопасность прилодения ВКонакте (http://www.flasher.ru/forum/showthread.php?t=139114)

tempUser 23.04.2010 17:19

Безопасность прилодения ВКонакте
 
Всем доброго времени суток :)
Я сейчас занимаюсь изучением ВКонтакте API и, заодно, пишу свою игрушку (Практикуюсь)
Сам ВК API понятен, и безопасность в нём хорошо реализована (даже слишком хорошо)
Но не понятно взаимодействие с моим сервером... Я имею ввиду не secure. методы, а, например, базу игроков. Покажу на примере...

Flash приложение получает через flashvars переменную viewer_id. этот ID отправляется на сервер, где происходят некоторые действия с БД, и ответ отправляется обратно клиенту. Если предположить, что нету всяких хакеров и нечесных пользователей, то всё ОК.
НО СТОИТ МНЕ ПОМЕНЯТЬ VIEWER_ID, КАК Я СТАНОВЛЮСЬ ДРУГИМ ПОЛЬЗОВАТЕЛЕМ.
Получить доступ к API я не смогу... Но ведь я могу имитировать запросы к серверу даже из браузера, представлясь разными игроками...

Как серверу убидиться, что я - это я, а не Вася Пупкин?

Добавлено через 5 минут
Сейчас в голову пришла идейка: отпровлять серверу ещё auth_key. Сервер будет делать любой запрос к ВК, тем самым узнавая подлиность юзера.
Есть что-то более оптимальное?

udaaff 23.04.2010 17:39

Цитата:

Сейчас в голову пришла идейка: отпровлять серверу ещё auth_key. Сервер будет делать любой запрос к ВК, тем самым узнавая подлиность юзера.
auth_key проверять на подлинность на своём сервере.
Код:

auth_key = md5(api_id + '_' + viewer_id + '_' + api_secret)
Зачем какие-то запросы отправлять?

tempUser 23.04.2010 17:45

Т.е. из flashvars я отправляю auth_key и viewer_id. На сервере всё это хеширую, и сравниваю?
ИМХО я - дурак (Сам не додумался)

Добавлено через 1 минуту
P.S. Спасибо большое за ответ

udaaff 23.04.2010 17:51

Этот вопрос, кстати, в FAQ есть.


Часовой пояс GMT +4, время: 18:45.

Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.