Реклама | Adv
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
  • Rotator
Сообщения форума
Реклама | Adv

Обсуждение практических вопросов использования Wargaming Public API

Дата: 25.08.2014 13:04:50
Просмотр сообщенияskobkin (19 Авг 2014 - 19:52) писал: То есть, насколько я понимаю схему аутентификации через API, у серверной части моего приложения не может быть 100% уверенности в валидности токена для аккаунта, который вернулся вместе с редиректнутым пользователем. Так как злоумышленник может вернуться в систему, например, с токеном от твинка, при этом вернув чужие ник и идентификатор. При этом, насколько я понимаю, проверять на 100% не получится, если не запрашивать с сервера с помощью клиентского application_id профайл и проверять наличие данных в секции "private". А при использовании клиентского application_id сразу сильно режется количество запросов в секунду.

MustBeDead:   Описанная ситуация в реальной жизни быть не может - получите ответ "INVALID_ACCESS_TOKEN". access_token жестко привязан к application_id и account_id. Если это не так - INVALID_ACCESS_TOKEN.   Уже в который раз повторяю, на плечах PAPI не лежит задача авторизации пользователей на Вашем портале (проекте), а только аутентификация, предоставляя Вам access_token, с которой методы справляются вполне корректно. Все зависимости были учтены.   Для обеспечения полной секьюрности (и мании преследования) можете использовать несколько запросов (auth/prolongate). О практической реализации системы аутентификации в своем проекте - описание от STREJlA.

Реклама | Adv