Обсуждение практических вопросов использования Wargaming Public API
Дата: 23.06.2014 10:00:30
STREJlA (20 Июн 2014 - 15:47) писал:
balatskiy (22 Июн 2014 - 23:05) писал: Раз вы не поняли, я объясню. Пользователь авторизовался и подделал id в запросе, но token он оставил свой. Как я получу информацию через account/info, если id Серба, а token Васи Иванова? Понятно, что настоящий токен Серба получить нельзя. Или вы предлагаете проверять валидность токена проверкой наличия приватных полей в ответе? Как результат я зашел на уязвимый сайт от имени другого пользователя, просто приватные поля не передались в ответе, а так я самый настоящий Страйк теперь.
Т.е получается, что мне дают токен, а делать мне с ним нечего, т.к id не подходит.
=> и токен то не нужен..
В методе account/info можно сделать поле account_id не обязательным при наличии токена и будет всем счастье. А если токен невалидный, то ошибка 407 INVALID_ACCESS_TOKEN
MustBeDead: Будем стараться доводить максимально возможную информацию
относительно обновлений.
balatskiy (22 Июн 2014 - 23:05) писал: Раз вы не поняли, я объясню. Пользователь авторизовался и подделал id в запросе, но token он оставил свой. Как я получу информацию через account/info, если id Серба, а token Васи Иванова? Понятно, что настоящий токен Серба получить нельзя. Или вы предлагаете проверять валидность токена проверкой наличия приватных полей в ответе? Как результат я зашел на уязвимый сайт от имени другого пользователя, просто приватные поля не передались в ответе, а так я самый настоящий Страйк теперь.
Т.е получается, что мне дают токен, а делать мне с ним нечего, т.к id не подходит.
=> и токен то не нужен..
В методе account/info можно сделать поле account_id не обязательным при наличии токена и будет всем счастье. А если токен невалидный, то ошибка 407 INVALID_ACCESS_TOKEN
MustBeDead: Используйте, пожалуйста, поиск: http://forum.worldof...7#entry28823667
Поскольку данная тема многократно обсуждалась, скажу
коротко: метод auth/login не используется для авторизации на
Вашем проекте. Алгоритм метода (успешная авторизация): 1.
Пользователь переходит на страницу авторизации; 2. Вводит валидные
данные по аккаунту; 3. Подтверждает согласие на предоставление
приватной информации Вашему проекту; 4. Переходит
на redirect_uri со следующими
параметрами: status, access_token, expires_at, account_id, nickname.
Далее, используя данные параметры, Вы можете написать свою часть
авторизации на своем проекте. Обсуждение методов авторизации на
своем проекте здесь не самый лучший вариант - достаточно
приватная информация. Задача метода -
предоставление access_token для запросов приватных
данных. Для проверки валидности токена можно использовать
метод auth/prolongate или иные варианты. Как это делают
другие участники DPP (рекомендации со стороны одного из активных
участников тестирования) можно ознакомиться в данной теме: http://forum.worldof...9#entry27880699
Обсуждение практических вопросов использования Wargaming Public API