Простая проверка на существование пользователя (VK API)?

Question

[Max B]

Привет.

Какой самый простой способ на бекенде проверить корректные ли данные приходят от приложения(IFRAME)?

Если конкретнее — соответствует ли access_token пользователю(viewer_id). А то у меня скидки апп выдает — не хочется чтобы подмена uid давала новую скидку.


Поиск по гуглу показывает кучу вариантов с авторизацией, но это не совсем то.

Answer 1

[carbonariy]

Вычислить и сравнить auth_key vk.com/developers.php?id=-1_27971896&s=1

Comments

[Max B]

То что нужно, спасибо!

Answer 2

[Данила Буянов]

uid — это id текущего пользователя?
если да, то можно делать первый запрос к API при загрузке (там прям в контакте есть такая настройка) например вот таким:

method=getProfiles&uids={viewer_id}&format=json&v=2.0&fields=photo

тогда при загрузке уже имеешь в get['viewer_id'] реальный айдишник.

Comments

[Max B]

У меня есть все это в iframe приложении. Я делаю из него запрос к бекенду через ajax и отправляю uid, token и служебные данные. Проблема в том, что я не хочу чтобы была возможность подделать запрос. Поэтому и хочу проверить соответствует ли токен пользователя его ид.

[Данила Буянов]

в таком случае я чего-то не понял… Как я вижу обмен данными с сервером из приложения:
пользователь запустил приложение мы у него сперли id и записали в свою БД на бэкэнде
все запросы теперь можно выполнять уже не по контактовским id а по своим собственным
плюс ко всему этому нужно вместе с запросом отправлять некий hash который был сгенерирован сервером на основе передаваемых данных (метод генерации известен только Вам)
еще как вариант можно ограничивать время жизни запроса тоесть таскать с каждым запросом некий timestamp