Обсуждение практических вопросов использования Wargaming Public API
Дата: 25.08.2014 13:04:50
skobkin (19 Авг 2014 - 19:52) писал: То есть, насколько я понимаю схему аутентификации через API, у
серверной части моего приложения не может быть 100%
уверенности в валидности токена для аккаунта, который вернулся
вместе с редиректнутым пользователем. Так как злоумышленник может
вернуться в систему, например, с токеном от твинка, при этом вернув
чужие ник и идентификатор. При этом, насколько я понимаю, проверять
на 100% не получится, если не запрашивать с сервера с помощью
клиентского application_id профайл и проверять наличие данных в
секции "private". А при использовании клиентского application_id
сразу сильно режется количество запросов в секунду.
MustBeDead: Описанная ситуация в реальной жизни быть не может - получите
ответ "INVALID_ACCESS_TOKEN". access_token жестко привязан
к application_id и account_id. Если это не так
- INVALID_ACCESS_TOKEN. Уже в который раз повторяю, на
плечах PAPI не лежит задача авторизации пользователей на Вашем
портале (проекте), а только
аутентификация, предоставляя Вам access_token, с
которой методы справляются вполне корректно. Все зависимости были
учтены. Для обеспечения полной секьюрности (и мании
преследования) можете использовать несколько запросов
(auth/prolongate). О практической реализации системы аутентификации
в своем проекте - описание от STREJlA.
Обсуждение практических вопросов использования Wargaming Public API