Как генерируется токен?

Question

[0x80070005]

В общем, имеется такой бот “Blum” и при запуске mini app в network имеется post запрос /auth/refresh, он возвращает refresh токен и обычный токен для авторизации, в параметрах передается также токен для генерации актуального. Вопрос мой такой, как вытащить токен чтобы кидать запросы на auth/refresh и получать обычный токен для дальнейших api? Полазил я у них в коде и это треш. Код минифицирован. Кто-то разбирался с таким?

Сам токен генерируется на фронте, скорее всего какие-то он данные подтягивает или сам телеграмм дает уже токен.

Comments

[Сергей delphinpro]

Токены никогда не генерируются на клиенте. Их всегда присылает сервер.
https://habr.com/ru/companies/doubletapp/articles/...

Answer 1

[Everything_is_bad]

Сам токен генерируется на фронте,

нет, это ты придумал, токены выдает сервер, прочитай уже про jwt и не морочь голову.

Comments

[0x80070005]

Что я придумал? Открой код и глянь. В параметры пост запроса auth/refresh передается токен, а в ответ ты уже получаешь реальный токен, который уже подставляется в заголовки для запроса

[0x80070005]

Придумал?

[irishmann]

0x80070005, токены никогда не генерируются на клиенте.

[shurshur]

0x80070005, токен мог быть получен при первом вызове приложения и положен в local storage, а следующие попытки запуска приложения просто забирают его из local storage и сервер не опрашивают.

Естественно, его могут обфусцировать, чтобы было непросто найти.

[0x80070005]

irishmann, ну я же скрин приложил.

[0x80070005]

shurshur, ну вот, в коде я у них находил localstorage. То есть, получить его с клиента никак нельзя, чтобы сгенерировать access?

[Aetae]

0x80070005, этот токен он получил чуть раньше от сервера при авторизации, лол. Возможно он лежит в каком-то сторадже и потому оно сходу не требует авторизции, если тот не протух.

Нет, теоретически какой-то супермзг мог и захардкодить какой-нить вечный токен, но это очень врядли, т.к. бессмыслено ломает все стандарты и библиотеки.

[Everything_is_bad]

0x80070005, еще раз, перестань выдумывать и прочитай про jwt

[0x80070005]

Aetae, но в localstorage я ничего не нашел. не в телеграмме и не в блуме, но то что он его достает из localstorage - факт. Надо как-то его достать мне :д

[shurshur]

0x80070005, возможно токен там и есть, просто называется как-нибудь неочевидно и возможно хранится не в окончательном виде, а, допустим, как base64 реального, или c перестановкой символов, или разбитым на части в разных ключах... Всё ради того, чтобы в глаза не бросалось и нельзя было легко найти.

[Aetae]

0x80070005, есть ещё sessionStorage, indexedDb, appstorage если это приложение и хрен знает что ещё...

Answer 2

[Rsa97]

Токен получается при авторизации на сервере gateway.blum.codes
Данные для авторизации берутся с сервера telegram.blum.codes
Смотрите исходники бота, функции login и get_tg_web_data
https://github.com/VernonDevID/blum/blob/6619ef720...

Comments

[0x80070005]

Да, все верно! Но идет post запрос auth/refresh в который передается refresh токен, он на фронте получается, а в ответ мы уже получаем access токен.

[Rsa97]

0x80070005, Сначала идет аутентификация/авторизация, которая по логину/паролю возвращает основной и refresh-токены. Затем, по истечению срока действия основного токена, идёт обновление, которое по refresh-токену возвращает новую пару токенов.

[0x80070005]

Rsa97, то есть, я могу по сути в tg data подставить свои данные телеграмма и получу refresh, а уже при помощи него получить access, верно?

[Rsa97]

0x80070005, Не могу сказать. Всё зависит от того, по каким именно данным и как сервер выполняет аутентификацию и какие требования к запросу.

[0x80070005]

Rsa97, понял, спс! Буду пробовать