Реклама | Adv
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
Сообщения форума
Реклама | Adv

Обсуждение практических вопросов использования Wargaming Public API

Дата: 23.06.2014 10:00:30
Просмотр сообщенияSTREJlA (20 Июн 2014 - 15:47) писал:  

MustBeDead:   Будем стараться доводить максимально возможную информацию относительно обновлений.  

Просмотр сообщенияbalatskiy (22 Июн 2014 - 23:05) писал: Раз вы не поняли, я объясню. Пользователь авторизовался и подделал id в запросе, но token он оставил свой. Как я получу информацию через account/info, если id Серба, а token Васи Иванова? Понятно, что настоящий токен Серба получить нельзя. Или вы предлагаете проверять валидность токена проверкой наличия приватных полей в ответе? Как результат я зашел на уязвимый сайт от имени другого пользователя, просто приватные поля не передались в ответе, а так я самый настоящий Страйк теперь.
Т.е получается, что мне дают токен, а делать мне с ним нечего, т.к id не подходит.
=> и токен то не нужен..
В методе account/info можно сделать поле account_id не обязательным при наличии токена и будет всем счастье. А если токен невалидный, то ошибка 407 INVALID_ACCESS_TOKEN

MustBeDead:   Используйте, пожалуйста, поиск: http://forum.worldof...7#entry28823667   Поскольку данная тема многократно обсуждалась, скажу коротко: метод auth/login не используется для авторизации на Вашем проекте. Алгоритм метода (успешная авторизация): 1. Пользователь переходит на страницу авторизации; 2. Вводит валидные данные по аккаунту; 3. Подтверждает согласие на предоставление приватной информации Вашему проекту; 4. Переходит на redirect_uri со следующими параметрами: status, access_token, expires_at, account_id, nickname. Далее, используя данные параметры, Вы можете написать свою часть авторизации на своем проекте. Обсуждение методов авторизации на своем проекте здесь не самый лучший вариант - достаточно приватная информация. Задача метода - предоставление access_token для запросов приватных данных. Для проверки валидности токена можно использовать метод auth/prolongate или иные варианты.   Как это делают другие участники DPP (рекомендации со стороны одного из активных участников тестирования) можно ознакомиться в данной теме: http://forum.worldof...9#entry27880699

Реклама | Adv