Как из адреса забрать access_token?

Question

[therhino]

Использую авторизацию вконтакте посылая пользователя по такому адресу
oauth.vk.com/authorize?client_id=xxxxx&redirect_uri=[REDIRECT_URI]&display=page&v=5.28&response_type=token, где REDIRECT_URI = localhost:3000/api/sessions/signin

После авторизации, контакт редиректит на такой адрес: localhost:3000/api/sessions/signin#access_token=xxxxxxx&expires_in=86400&user_id=xxxxxxx
Как мне отсюда в контроллере забрать access_token?

Comments

[Ivan Velichko]

В вашем примере access_token передается в URL fragment (то, что после знака #). Такие данные не передаются браузером на сервер при посещении страницы. На сервере запрос вида localhost:3000/api/sessions/signin#access_token=xxxxxxx&expires_in=86400&user_id=xxxxxxx будет выглядеть просто как localhost:3000/api/sessions/signin без каких либо параметров.

Answer 1

[Ivan Velichko]

Вы должны изменить параметр response_type=token на response_type=code в своем запросе. После этого на указанный redirect_uri придет запрос с параметром code. Используя этот code можно получить access_token, сделав запрос с вашего сервера ("из контроллера"), на сервер ВК. Подробнее тут.

Comments

[therhino]

Да, похоже это оно! Спасибо большое! Надо учиться читать документацию

[therhino]

Иван Величко: У меня метод контроллера, принимающий запрос, доступен по get запросу и будет использоваться в API. Как его можно защитить от роботов и т.д.?

[Ivan Velichko]

therhino: от роботов, которые его будут вызывать без данных/с неправильными данными? Просто проверяйте наличине параметра code и отдавайте какой-нить Bad Request 400, если параметр не передан. Если параметр передан - то это либо честный параметр от ВК, которому я бы доверял, либо какой-нибудь невалидный кусок данных. Тут вам поможет сам ВК, он отвечает 401 Not Authorized, если попробовать получить access_token по плохому code. Просто добавьте обработку на этот случай в своем контроллере. Не думаю, что "от роботов" нужно защищаться заранее, сначала я бы посмотрел на природу их действий.

Answer 2

[Viktor Vsk]

Что вы там делаете?
Сначала бессмысленный вопрос по фейсбуку, теперь не лучше по вконтакте.
Чем не подходит omniauth?

Comments

[therhino]

Я наверное немного не понимаю просто.
Смотрите, у меня есть задача:
1. Пользователь может загружать свои видео на сайт, при этом авторизация только с помощью вконтакте.
2. Нужно сделать API метод, который возвращает пользователю его видео.
Подскажите, пожалуйста, как сделать авторизацию для API с помощью omniauth?

Answer 3

[Евгений Колотилин]

Вместо "Standalone/Mobile-приложения", использовать "Сторонние сайты и виджеты".
access_token из такого URL может получить только приложение, которое может создать окно браузера, т.е. мобильное или десктопное.