Задать вопрос
beerdy
@beerdy
https://vk.com/beerdy

Авторизация в VK.COM? Или как подсолить hash?

Собственно, после авторизации, мы получаем hash.
Далее на серваке, чтобы проверить авторизацию, нужно это:
app_id+user_id+secret_key
Но получается если злоумышленник получит данный хеш, то он сможет авторизовываться на моем сайте даже если человек поменял пароль от своего акаунта на моем сайте? Так ведь? Если это так то какое есть решение?
  • Вопрос задан
  • 1198 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
beerdy
@beerdy Автор вопроса
https://vk.com/beerdy
Решение надумал такое:
- Генерируем временный код по ДОКе контакта (одноразовый)
- Получаем его на серваке и генерируем access_token
- По этому access_token получаем данные пользователя и сомтрим кто он такой
- Авторизуем по long pool
Ответ написан
@IronFil
Да так, решения:
1. всю информацию передавать по защищенному соединению клиент-сервер,
2. проверять access_token, для уменьшения запросов к апи вк, после успешной проверки access_token, сохранять его в аккаунте пользователя у себя на сервере, при последующих зарпосах сравнивать то что сохранили с тем что прислал пользователь.

Но тема компроментации данных на стороне клиента не должна решаться разработчиком, это забота пользователя.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы