[Вконтакте] Vkontakte и "удаленный сервер"

Ac1d · [+4 31.08.10]

Всем привет.
Меня интересует вопрос, какие существуют простые механизмы чтобы на сервере проверить, что запрос пришел именно от приложения? И как защитить сервер от посылки запросов, перехваченных кем-то? Какой способ используете вы?
Спасибо.

chabapok · 17.10.2009, 15:07

Для этого существует механизм auth_key. Он самый простой и штатный к тому же. Про него там в документации написано.

в значительной мере он защищает, по крайней мере юзер А не может подделать запрос юзера Б.

свой - может, теоретически. Но, блин, тоже сложно.

Ac1d · [+4 31.08.10]

Цитата:

Сообщение от chabapok

Для этого существует механизм auth_key. Он самый простой и штатный к тому же. Про него там в документации написано.

в значительной мере он защищает, по крайней мере юзер А не может подделать запрос юзера Б.

свой - может, теоретически. Но, блин, тоже сложно.

Про auth_key читал, но он так же передается в запросе, следовательно запрос легко отловить и передать серверу еще сколько угодно раз. А если запрос на изменение чего то в бд, то это может нанести какой то ущерб бд.

Яски · 17.10.2009, 15:56

Такой защиты как вы описали не существует

chabapok · 17.10.2009, 16:48

100%нтной не существует. Но частично можно:

Цитата:

А если запрос на изменение чего то в бд, то это может нанести какой то ущерб бд.

Значит сервер должен ограничивать кол-во запросов от юзера в минуту, например.
при этом каждый след.запрос должен иметь своё id и timestamp, а сервер должен отбрасывать запросы с повторяющимся id.
Или просто тупо отбрасывать дупы в запросах.

Яски · 18.10.2009, 02:13

Ну и можно подделать запросы и посылать дуплирующиеся, но с разным id. Это нужно решать по-другому — запросы от клиента не должны быть способны навредить БД.