Проблемы и заявки об ошибках Wargaming Public API
Дата: 30.10.2013 19:42:54
armor_kiev (30 Окт 2013 - 16:36) писал: После приватных консультаций с CrazySys докладываю о
неработоспособности API авторизации как функционально, так и в
плане безопасности.Пример
Начальные условия предельно упростим:
на моем условном сервере test.com файл login.php с таким содержимым:
MustBeDead: Поясню информацию по возникшей ошибке и в целом по авторизации
пользователя для серверных типов приложений.
1) Если производить переадресацию пользователя через header('Location: …'), сервер PAPI определит IP-адрес пользователя. К сожалению, на данный момент для серверных приложений при первичном запросе необходимо использовать, например, CURL (передача сервер-сервер), используя дополнительное значение в запросе nofollow=1. После этого будет возвращен ответ (в формате JSON) со значением location – URL, на который необходимо перенаправить пользователя.
Как я уже сообщал, данный метод будет доработан. Также по Вашему замечанию, будет доработана переадресация после успешного ввода данных на портале, на redirect_uri будет перенаправлен пользователь без указания значений по авторизации (access_token и прочей информации), а данные по авторизации будут отправлены на отдельный URL , допустим, на success_url.
Для защиты от перехвата, Вы можете использовать с сертификат безопасности - принимать ответ по https.
2) Что же касается access_token. Он необходим в запросах с предоставлением персональных данных пользователя.
Функционирует он только при запросах с тем application_id, для которого он был получен.
Это можно проверить в Кабинете разработчика https://ru.wargaming...wot/auth/login/
При запросах с другими application_id будет получена ошибка: «INVALID_ACCESS_TOKEN».
Для успешного запроса необходима связка application_id+access_token, в иных случая будет получена ошибка: «INVALID_ACCESS_TOKEN».
3) Терминология будет скорректирована. Спасибо за замечание.
1) Если производить переадресацию пользователя через header('Location: …'), сервер PAPI определит IP-адрес пользователя. К сожалению, на данный момент для серверных приложений при первичном запросе необходимо использовать, например, CURL (передача сервер-сервер), используя дополнительное значение в запросе nofollow=1. После этого будет возвращен ответ (в формате JSON) со значением location – URL, на который необходимо перенаправить пользователя.
Как я уже сообщал, данный метод будет доработан. Также по Вашему замечанию, будет доработана переадресация после успешного ввода данных на портале, на redirect_uri будет перенаправлен пользователь без указания значений по авторизации (access_token и прочей информации), а данные по авторизации будут отправлены на отдельный URL , допустим, на success_url.
Для защиты от перехвата, Вы можете использовать с сертификат безопасности - принимать ответ по https.
2) Что же касается access_token. Он необходим в запросах с предоставлением персональных данных пользователя.
Функционирует он только при запросах с тем application_id, для которого он был получен.
Это можно проверить в Кабинете разработчика https://ru.wargaming...wot/auth/login/
При запросах с другими application_id будет получена ошибка: «INVALID_ACCESS_TOKEN».
Для успешного запроса необходима связка application_id+access_token, в иных случая будет получена ошибка: «INVALID_ACCESS_TOKEN».
3) Терминология будет скорректирована. Спасибо за замечание.
CrazySys (30 Окт 2013 - 19:15) писал: А с этим никто и не спорит. =) Редирект происходит, но только если
app_id для "автономного приложения".Здесь же вопрос именно про серверное приложение.
MustBeDead:
Проблемы и заявки об ошибках Wargaming Public API