Какие угрозы вероятны от передачи в открытую acces tokena от подключенного к ВКонтакте сайта?

Речь об access token для подключенного сайта. Токен принадлежит приложению типа "веб-сайт" (т.е. сайту), не посетителю.

Задача в том, чтобы со стороны клиента, посредством javascript сделать запрос к api вконтакте.
  • Если использовать Open API ВКонтакте и метод VK.Api.call, то в случае, если посетитель не подключен к данному приложению - запрос не проходит (речь о запросах, требующих каких-либо прав).
  • Если использовать кроссдоменный запрос к вконтакте, например через $.ajax то приходится в открытую передавать access token. Но все срастается.

Что-то мне подсказывает, что это не совсем верный ход )))

С другой стороны очевидных угроз от этого тоже не обнаружено:
  • С других сайтов, сделать запрос к api с использованием этого токена не удалось, вконтакте выдает ошибку.

Есть ли еще какая-либо невидимая угроза от этого?
  • Вопрос задан
  • 931 просмотр
Пригласить эксперта
Ответы на вопрос 3
KorsaR-ZN
@KorsaR-ZN
Нет тут ни какой угрозы, токен же принадлежит конкретному пользователю, тому, в чем браузере и крутится JS.
Все запросы между Вашем сайтом и платформой VK идут по https, он для этого и был придуман, чтоб трафик не слушали.

А если у человека на ПК уже сидит червь или подобная зараза, то его уже ничего не спасет. Он раскрыт :)
Ответ написан
@FireGM
Не очень хорошо для приложения. Хоть токен и принадлежит человеку, он может использовать его в плохих вещах. Например самому делать запросы с этим токеном. Получается запросы идут через ваше приложение, в итоге у него вырастает статистика. Да и
Помимо ограничений на частоту обращений, существуют и количественные ограничения на вызов однотипных методов. По понятным причинам, мы не предоставляем информацию о точных лимитах.
неясно как действует. Это на приложение или на клиента?
Ответ написан
riky
@riky
Symfony / Laravel
помоему вы запутались, токен всегда принадлежит какому то юзеру, то есть вы сами создали токен (скорее всего на свое имя в ВК).
чтобы узнать на кого создан токен используйте метод users.get без параметров - вернет инфу на кого он зараген - скорее всего там ваше имя с которого в вк сидите.

1) если у вас ваш токен вшит в страницу - любой кто его найдет сможет делать запросы от вашего имени, то есть ограничения - те права которые вы запросили при получении этого токена. а там могут быть и читать сообщения и на стену постить и удалять все у вас.

2) токен личный когда начнется много запросов с одним токеном с большого количества ип адресов, токен могут отменить и у всех перестанет работать. если честно не делал так, но думаю если сейчас еще такого нет - то могут добавить.

3) тк токен один на них распространяются общие лимиты 3 запроса в секунду, сколько то тысяч в час, в день и тд (ситайте про лимиты на апи). если 4 юзера одновременно зайдут или у вас больше одного запроса то ктото из них резульатов не получит.
если будет много юзеров в час, то токен на некоторое время блокируется. будет писать "request limit"
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы