Отзывы и пожелания. Wargaming Public API
Дата: 27.09.2013 20:46:44
Drahtigel (27 Сен 2013 - 06:44) писал: Мне вот другое с авторизацией интересно: когда речь идёт о
веб-приложении - тут всё просто, отправили клиента, с пометкой
вернуться взад в веб-приложение. А как быть с локальным
приложением? Отправить пользователя за авторизацией - без проблем,
а вот получить ответ... Сделать внутренний браузер - фактически
нарушить соглашение DPP, получить ссылку, зацепившись за браузер -
можно получить по рукам от антивирусника, например. Как вариант -
для локальных приложений генерировать пин-код, посредством которого
будет разово выдаваться токен (который в последствии сохраняется и
продляется). Либо придумывать какой-то ещё путь...
pro2s (27 Сен 2013 - 07:57) писал: И вообще как быть с id для приложений - они по сути в публичном доступе и могут использоваться несознательными личностями для компроментации приложения и блокировки доступа к api.
CrazySys (27 Сен 2013 - 11:24) писал: Если app_id серверный - аутентификация не пройдет, так как запрос к форме ввода логина/пароля идет с клиентской машины (вариант проксирования не рассматриваем же?) и по любому упрется в привязку к IP сервера (про слив серверного app_id в таком случае уже писали). Про клиентский app_id вообще молчу, как тут упоминали выше - непонятно как и куда должен прийти ответный запрос от самого API :) А если его тупо использовать на стороне сервера, забив на слив, но избавившись от привязки к IP, упрёмся в ограничение по кол-ву запросов с одного IP.
begemotische (27 Сен 2013 - 13:23) писал: Я вообще не вижу смысла в аутентификации через новое апи. OpenId это все-таки стандарт, он уже поддерживается, и он наверняка же останется.
Hedeon: Для локального приложения использовать компонент браузер, через
который осуществялять логин. Например
webview для ios и android.
webview для ios и android.
pro2s (27 Сен 2013 - 07:57) писал: И вообще как быть с id для приложений - они по сути в публичном доступе и могут использоваться несознательными личностями для компроментации приложения и блокировки доступа к api.
Hedeon: Для серверного приложения риск минимален, т.к. запросы идут между
серверами. Для автономных приложений абсолютной защиты не
существует, но в кабинете разработчика есть все возможности чтобы
быстро создавать и пересоздавать Application ID.
CrazySys (27 Сен 2013 - 11:24) писал: Если app_id серверный - аутентификация не пройдет, так как запрос к форме ввода логина/пароля идет с клиентской машины (вариант проксирования не рассматриваем же?) и по любому упрется в привязку к IP сервера (про слив серверного app_id в таком случае уже писали). Про клиентский app_id вообще молчу, как тут упоминали выше - непонятно как и куда должен прийти ответный запрос от самого API :) А если его тупо использовать на стороне сервера, забив на слив, но избавившись от привязки к IP, упрёмся в ограничение по кол-ву запросов с одного IP.
Hedeon: У серверного приложения большая квота на количество запросов, что
не позволит уперется в ограничение. В ближайшем будущем
документация по данному вопросу будут дополнена.
begemotische (27 Сен 2013 - 13:23) писал: Я вообще не вижу смысла в аутентификации через новое апи. OpenId это все-таки стандарт, он уже поддерживается, и он наверняка же останется.
Hedeon: Аутентификацией занимается WG Open ID, посредством которого
идентифицируется пользователь и далее PAPI может предоставлять
доступ к приватным данным.
Отзывы и пожелания. Wargaming Public API