Обсуждение практических вопросов использования Wargaming Public API
Дата: 08.02.2014 16:17:27
TAHK0ED (08 Фев 2014 - 16:54) писал: Ведь даже по одному лишь емейлу, переданному при
регистрации, могут достаточно неприятностей нанести...
vb64 (08 Фев 2014 - 16:33) писал: Самое неприятное во всем этом заключается в том, что я, как пользователь сайтов с такой авторизацией, никак не могу узнать, какой же тип авторизации использует конкретный сайт: OpenID или PAPI. В случае OpenID я сообщаю сайту только свой игровой ник, а в случае PAPI даю сайту доступ к данным о фишках на ГК своего клана (например) и куче другой приватной информации. Это две большие разницы, а визуально все выглядит для пользователя совершенно одинаково.
vb64 (08 Фев 2014 - 17:00) писал: В том то и дело, что в случае OpenID от порядочности владельца ресурса не зависит ничего. Ему передается только игровой ник залогинившегося пользователя. Мейл не передается. Именно поэтому авторизация по OpenID является безопасной для пользователя, в отличие от PAPI. PAPI хорош для тех ресурсов, которым пользователь доверяет - клановые сайты, форумы и т.п. OpenID - для публичных ресурсов. А отличить один вариант от другого у пользователя возможности нет.
MustBeDead: Любая аутентификация происходит только на странице портала
httpS://ru.wargaming.net/id/signin/
(используется защищенное соединение, наличие сертификата на
компанию Wargaming.net LLP). Регистрационная почта и пароль доступа
никогда не передается сторонним ресурсам (по аналогии с банковскими
платежными интерфейсами).
vb64 (08 Фев 2014 - 16:33) писал: Самое неприятное во всем этом заключается в том, что я, как пользователь сайтов с такой авторизацией, никак не могу узнать, какой же тип авторизации использует конкретный сайт: OpenID или PAPI. В случае OpenID я сообщаю сайту только свой игровой ник, а в случае PAPI даю сайту доступ к данным о фишках на ГК своего клана (например) и куче другой приватной информации. Это две большие разницы, а визуально все выглядит для пользователя совершенно одинаково.
MustBeDead:
vb64 (08 Фев 2014 - 17:00) писал: В том то и дело, что в случае OpenID от порядочности владельца ресурса не зависит ничего. Ему передается только игровой ник залогинившегося пользователя. Мейл не передается. Именно поэтому авторизация по OpenID является безопасной для пользователя, в отличие от PAPI. PAPI хорош для тех ресурсов, которым пользователь доверяет - клановые сайты, форумы и т.п. OpenID - для публичных ресурсов. А отличить один вариант от другого у пользователя возможности нет.
MustBeDead: Любой ключ можно аннулировать. Для авторизации средствами
OpenID (в личном кабинете, раздел «Доверенные сайты» - удалить
доверенный сайт). Кроме этого после успешного ввода регистрационных
данных, необходимо подтвердить, что только игровое имя и ссылка на
профиль будет передана на такой-то ресурс. Средствами Public API
(согласно
Пользовательскому соглашению
WG DPP) на портале (в приложении) обязательно должна
присутствовать функция Выхода (метод
auth/logout) для аннулирования access_token пользователя,
который прошел аутентификацию (полностью аннулировать
аутентификацию). В описание методов авторизации будут
внесены дополнительные изменения после одного из следующих
обновлений, которые сделают аутентификацию еще более понятной
именно для самих пользователей.
Обсуждение практических вопросов использования Wargaming Public API