Как проксировать запросы с загрузкой изображений на сервера VK?

Question

[Alex]

В Вконтакте загрузка файлов идёт в три этапа. Получение url на клиенте, отправка файла и урл на сервер, а потом сервер получив данные от ВК отдаёт их клиенту для сохранения. Отправку файлов из клиента делает невозможным cors браузера.
Соответственно хотелось бы сделать проксирование запросов на сервера через nginx, чтобы нагружать сервер по минимуму.
Однако при проксировании нужно удостоверится что url действительно относится к Вк, для этого нужно post переменную с url'ом сверить с списком доменов вк

Домены

<cross-domain-policy>
<site-control permitted-cross-domain-policies="master-only"/>
<allow-http-request-headers-from domain="vk.com" headers="*"/>
<allow-http-request-headers-from domain="*.vk.com" headers="*"/>
<allow-http-request-headers-from domain="userapi.com" headers="*"/>
<allow-http-request-headers-from domain="*.userapi.com" headers="*"/>
<allow-http-request-headers-from domain="vk.me" headers="*"/>
<allow-http-request-headers-from domain="*.vk.me" headers="*"/>
<allow-http-request-headers-from domain="vkontakte.ru" headers="*"/>
<allow-http-request-headers-from domain="*.vkontakte.ru" headers="*"/>
<allow-http-request-headers-from domain="*.vk-cdn.net" headers="*"/>
<allow-access-from domain="vk.com" to-ports="80"/>
<allow-access-from domain="*.vk.com" to-ports="80"/>
<allow-access-from domain="vk.me" to-ports="80"/>
<allow-access-from domain="*.vk.me" to-ports="80"/>
<allow-access-from domain="userapi.com" to-ports="80"/>
<allow-access-from domain="*.userapi.com" to-ports="80"/>
<allow-access-from domain="vkontakte.ru" to-ports="80"/>
<allow-access-from domain="*.vkontakte.ru" to-ports="80"/>
<allow-access-from domain="*.vk-cdn.net" to-ports="80"/>
<allow-access-from domain="vk.me" to-ports="443"/>
<allow-access-from domain="*.vk.me" to-ports="443"/>
<allow-access-from domain="app.vk.com" to-ports="443"/>
<allow-access-from domain="*.vk-cdn.net" to-ports="443"/>
</cross-domain-policy>

И возможно сделать проверку по секретному ключу.

Вопрос реально ли это реализовать, если да то как? И на сколько решение будет быстрее работать в nginx нежели если бы запрос пропускался через ноду или пхп?

Comments

[Дмитрий]

Думаю тут без тестов не понять, что будет быстрее, и на сколько.. И стоит ли овчинка выделки

[edward_freedom]

уточни зачем тебе удостовериваться надо?

[Alex]

edward_freedom, а зачем любые запросы от вк имеют подпись? Чтобы удостовериться что запрос от пользователя приложения Вк, и параметры не подделаны. Урл сверяется для того чтобы не было возможности проксировать через сервер куда попало, а только на сервера Вк.

[edward_freedom]

Alex,

Урл сверяется для того чтобы не было возможности проксировать через сервер куда попало, а только на сервера Вк.

тебе адрес для загрузки отдаст сам вк, смысл проверять официальную инфу

[Alex]

edward_freedom, адрес отдает JS из клиента, а не ВК. Этот запрос отправляется потом на сервер из клиента, а значит его можно подделать.

[edward_freedom]

Alex, что мешает серверу самостоятельно получить адрес для загрузки?

[Alex]

edward_freedom, может потому что токен пользователя нельзя использовать на сервере в миниапах?! Я бы был рад если бы решение было настолько просто, только вот токен получается на клиенте и использование его на сервере выдаст ошибку что токен был получен другим ip.

[edward_freedom]

Alex, тогда не понятно, какие действия ты хочешь проксировать, если у тебя нет возможности использовать этот токен вообще

[Alex]

edward_freedom, использовать можно но только на стороне клиента, кроме отправки файла. Отправка файла происходит с сервера без участия токена. Это не моя идея, такова инструкция ВК, так как до сих пор сделать загрузку изображения в 1 этап на стороне клиента не могут. Приходится вот таким образом проксировать аплоад файла на сервера ВК и делать это в 3 три этапа...

[edward_freedom]

Alex, сейчас посмотрел как у меня сделана загрузка фото в вк, там передается ацес токен человека. Вряд ли возможно загрузить от имени человека фото без его токена

[Alex]

edward_freedom, в том то и суть. Получение урл и сохранение идёт всегда на клиенте, так как там и получает токен миниап. А отправка файла возможна только с сервера и там токен не требуется. Получается что для загрузки нужно получить урл на клиенте, отправить урл на сервер с файлом, а сервер отправляет файл по урлу на сервера ВК, ответ от ВК передает клиенту чтобы запустить на клиенте метод save. Отсюда и возник вопрос который изначально был задан.