Форум Flasher.ru
Ближайшие курсы в Школе RealTime
Список интенсивных курсов: [см.]  
  
Специальные предложения: [см.]  
  
 
Блоги Правила Справка Пользователи Календарь Поиск рулит! Сообщения за день Все разделы прочитаны
 

Вернуться   Форум Flasher.ru > Flash > API приложений и сред

Версия для печати  Отправить по электронной почте    « Предыдущая тема | Следующая тема »  
Опции темы Опции просмотра
 
Создать новую тему Ответ
Старый 23.04.2010, 17:19
tempUser вне форума Посмотреть профиль Отправить личное сообщение для tempUser Найти все сообщения от tempUser
  № 1  
Ответить с цитированием
tempUser

Регистрация: Apr 2010
Сообщений: 3
По умолчанию Безопасность прилодения ВКонакте

Всем доброго времени суток
Я сейчас занимаюсь изучением ВКонтакте API и, заодно, пишу свою игрушку (Практикуюсь)
Сам ВК API понятен, и безопасность в нём хорошо реализована (даже слишком хорошо)
Но не понятно взаимодействие с моим сервером... Я имею ввиду не secure. методы, а, например, базу игроков. Покажу на примере...

Flash приложение получает через flashvars переменную viewer_id. этот ID отправляется на сервер, где происходят некоторые действия с БД, и ответ отправляется обратно клиенту. Если предположить, что нету всяких хакеров и нечесных пользователей, то всё ОК.
НО СТОИТ МНЕ ПОМЕНЯТЬ VIEWER_ID, КАК Я СТАНОВЛЮСЬ ДРУГИМ ПОЛЬЗОВАТЕЛЕМ.
Получить доступ к API я не смогу... Но ведь я могу имитировать запросы к серверу даже из браузера, представлясь разными игроками...

Как серверу убидиться, что я - это я, а не Вася Пупкин?

Добавлено через 5 минут
Сейчас в голову пришла идейка: отпровлять серверу ещё auth_key. Сервер будет делать любой запрос к ВК, тем самым узнавая подлиность юзера.
Есть что-то более оптимальное?

Старый 23.04.2010, 17:39
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 2  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
Цитата:
Сейчас в голову пришла идейка: отпровлять серверу ещё auth_key. Сервер будет делать любой запрос к ВК, тем самым узнавая подлиность юзера.
auth_key проверять на подлинность на своём сервере.
Код:
auth_key = md5(api_id + '_' + viewer_id + '_' + api_secret)
Зачем какие-то запросы отправлять?

Старый 23.04.2010, 17:45
tempUser вне форума Посмотреть профиль Отправить личное сообщение для tempUser Найти все сообщения от tempUser
  № 3  
Ответить с цитированием
tempUser

Регистрация: Apr 2010
Сообщений: 3
Т.е. из flashvars я отправляю auth_key и viewer_id. На сервере всё это хеширую, и сравниваю?
ИМХО я - дурак (Сам не додумался)

Добавлено через 1 минуту
P.S. Спасибо большое за ответ

Старый 23.04.2010, 17:51
udaaff вне форума Посмотреть профиль Отправить личное сообщение для udaaff Найти все сообщения от udaaff
  № 4  
Ответить с цитированием
udaaff
...

модератор форума
Регистрация: Sep 2006
Адрес: Minsk
Сообщений: 4,286
Этот вопрос, кстати, в FAQ есть.

Создать новую тему Ответ Часовой пояс GMT +4, время: 17:22.
Быстрый переход
  « Предыдущая тема | Следующая тема »  

Теги
api , безопасность , вконтакте , сервер
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


 


Часовой пояс GMT +4, время: 17:22.


Copyright © 1999-2008 Flasher.ru. All rights reserved.
Работает на vBulletin®. Copyright ©2000 - 2026, Jelsoft Enterprises Ltd. Перевод: zCarot
Администрация сайта не несёт ответственности за любую предоставленную посетителями информацию. Подробнее см. Правила.