Авторизация в VK.COM? Или как подсолить hash?

Question

[Александр Гришин]

Собственно, после авторизации, мы получаем hash.
Далее на серваке, чтобы проверить авторизацию, нужно это:
app_id+user_id+secret_key
Но получается если злоумышленник получит данный хеш, то он сможет авторизовываться на моем сайте даже если человек поменял пароль от своего акаунта на моем сайте? Так ведь? Если это так то какое есть решение?

Answer 1

[Александр Гришин]

Решение надумал такое:
- Генерируем временный код по ДОКе контакта (одноразовый)
- Получаем его на серваке и генерируем access_token
- По этому access_token получаем данные пользователя и сомтрим кто он такой
- Авторизуем по long pool

Comments

[IronFil]

Да это стандартный сценарий OAuth авторизации, но он плохо подходит в случае IFrame, Flash и Standalone приложений и игр (в вопросе не было указано для чего авторизация), для этих целей есть серверный метод secure.checkToken, позволяющий проверить уже существующий и переданный приложению токен. Чтобы вызвать этот метод необходимо чтобы сервер получил свой token.

[Александр Гришин]

Так у меня по ЛонгПулу авторизация приходи, там хоть вообще на др. компе ссылку открывай, авторизация пройдет у того чей guid был послан. Ат так то да - неудобно т.к. приложение свернется и откроется браузер по дефолту. но он тут же закроется
А за secure.checkToken - спасибо)

Answer 2

[IronFil]

Да так, решения:
1. всю информацию передавать по защищенному соединению клиент-сервер,
2. проверять access_token, для уменьшения запросов к апи вк, после успешной проверки access_token, сохранять его в аккаунте пользователя у себя на сервере, при последующих зарпосах сравнивать то что сохранили с тем что прислал пользователь.

Но тема компроментации данных на стороне клиента не должна решаться разработчиком, это забота пользователя.

Comments

[Александр Гришин]

Спасибо за ответ