безопасная идентификация пользователей, клиент+сервер для вконтакте

[manuscripti]

есть приложение as3 для вконтакте
какие лучше применять методики его идентификации на своем java сервере
хочу понять что обычно передается о пользователях с точки зрения грамотной организации безопасности на свой java сервере

[etc]

Методика описана в документации контакта.

[manuscripti]

не могу понять - где именно про это написано? вконтакте?

[udaaff]

Читайте про auth_key.

[manuscripti]

есть auth_key = md5(api_id + '_' + viewer_id + '_' + api_secret)
api_id , viewer_type, api_secret я беру с вконтакте
в клиенте вычисляется auth_key и?

что передавать к себе на сервер? чтобы было все безопасно?

"auth_key вычисляется на сервере ВКонтакте следующим образом" - понятно что вычисляется - но он же будет в клиенте в swf присутствовать - так же как и api_id , viewer_type, api_secret

то есть все что берется и вычисляется можно взять из swf и авторизоваться без swf фактически на моем сервере

поэтому хочу понять как именно этот момент обычно делают? - чтобы бы приложение не взломали

[etc]

В клиенте auth_key не вычисляется, он приходит через flashvars. Под api_secret подразумевается защищенный ключ, а не ключ приложения.

[manuscripti]

> auth_key не вычисляется, он приходит через flashvars

а что тогда посылать себе на сервер? для работы с пользователем?

[udaaff]

auth_key

[manuscripti]

хорошо посылаю себе на сервер auth_key который идет через моего клиента с вконтакте

как расшифровать теперь этот auth_key? - то есть определить id пользователя?

[Zebestov]

id пользователя не надо определять. его надо посылать вместе с auth_key. а на сервере сложить свой вариант auth_key по указанной в документации схеме и сравнить с тем, что пришел. если совпал — бинго! если нет — "ты хто такой!"