Реклама | Adv
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
Сообщения форума
Реклама | Adv

Обсуждение практических вопросов использования Wargaming Public API

Дата: 08.02.2014 16:17:27
Просмотр сообщенияTAHK0ED (08 Фев 2014 - 16:54) писал:   Ведь даже по одному лишь емейлу, переданному при регистрации, могут достаточно неприятностей нанести...

MustBeDead:   Любая аутентификация происходит только на странице портала httpS://ru.wargaming.net/id/signin/ (используется защищенное соединение, наличие сертификата на компанию Wargaming.net LLP). Регистрационная почта и пароль доступа никогда не передается сторонним ресурсам (по аналогии с банковскими платежными интерфейсами).  

Просмотр сообщенияvb64 (08 Фев 2014 - 16:33) писал:   Самое неприятное во всем этом заключается в том, что я, как пользователь сайтов с такой авторизацией, никак не могу узнать, какой же тип авторизации использует конкретный сайт: OpenID или PAPI. В случае OpenID я сообщаю сайту только свой игровой ник, а в случае PAPI даю сайту доступ к данным о фишках на ГК своего клана (например) и куче другой приватной информации. Это две большие разницы, а визуально все выглядит для пользователя совершенно одинаково.

MustBeDead:  

Просмотр сообщенияvb64 (08 Фев 2014 - 17:00) писал:   В том то и дело, что в случае OpenID от порядочности владельца ресурса не зависит ничего. Ему передается только игровой ник залогинившегося пользователя. Мейл не передается. Именно поэтому авторизация по OpenID является безопасной для пользователя, в отличие от PAPI. PAPI хорош для тех ресурсов, которым пользователь доверяет - клановые сайты, форумы и т.п. OpenID - для публичных ресурсов. А отличить один вариант от другого у пользователя возможности нет.  

MustBeDead:   Любой ключ можно аннулировать. Для авторизации средствами OpenID (в личном кабинете, раздел «Доверенные сайты» - удалить доверенный сайт). Кроме этого после успешного ввода регистрационных данных, необходимо подтвердить, что только игровое имя и ссылка на профиль будет передана на такой-то ресурс. Средствами Public API (согласно Пользовательскому соглашению WG DPP) на портале (в приложении) обязательно должна присутствовать функция Выхода (метод auth/logout) для аннулирования access_token пользователя, который прошел аутентификацию (полностью аннулировать аутентификацию).   В описание методов авторизации будут внесены дополнительные изменения после одного из следующих обновлений, которые сделают аутентификацию еще более понятной именно для самих пользователей.

Реклама | Adv