Как оставить запись на стене группы Вконтакте от лица авторизованного пользователя средствами API VK?

Question

[EVOSandru6]

Добрый день,

есть ли способ отправить запись на стену группы от лица пользователя. в приложении типа Веб-сайт или StandAlone? У меня созданы оба. StandAlone со статическим Токеном. У Веб-сайт токен меняется после каждой авторизации.

Я

1. провожу авторизацию пользователя на тестовом сайте
2. запоминаю в сессию ACCESS_TOKEN
3. пытаюсь сделать запись (подразумевается отзыв в группу от лица авторизованного пользователя).

К сожалению в StandAlone можно через АПИ отправлять записи только от имени владельца приложения.

Я же хочу оставлять записи от авторизованного пользователя. Который уже авторизован средставами ВКОНТАКТЕ API примерно таким способом:

if(!$this->code){
            die('Неверный код');
        }
        $curl   = curl_init();
        $request_params = [
            'client_id'         =>      APP_ID,
            'client_secret'     =>      APP_SECRET,
            'code'              =>      $this->code,
            'redirect_uri'      =>      REDIRECT_URI,
        ];
        curl_setopt($curl, CURLOPT_URL, URL_ACCESS_TOKEN.'?'. http_build_query($request_params));
        curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
        $result = curl_exec($curl);
        curl_close($curl);
        $ob = json_decode($result);
        if($ob->access_token){
            $this->setToken($ob->access_token);
            $this->setUid($ob->user_id);
            return true;
        }
        elseif($ob->error) {
            $_SESSION['error']  =  "ERROR";
            return false;
        }

Далее просто тяну данные пользователя другим методом.

Таким образом пытался отправить сообщение (в итоге надо запись на стену, но смысл не меняется)

public function sendMessage($description){
        $access_token    =   $_SESSION['access_token'];
        $request_params     =   [
            'user_id'       =>  22557780,
            'random_id'     =>  mt_rand(20, 99999999), 
            'peer_id'       =>  22557780,
            'domain'        =>  'mozart',
            'chat_id'       =>  36,
            'message'       =>  $description,
            'v'             =>  '5.52',
            'access_token'  =>  $access_token
        ];
        $url    =  'https://api.vk.com/method/messages.send?'.http_build_query($request_params);
        printArr(json_decode(file_get_contents($url)));
        die();
        $this->redirect('http://qas.loc');
    }

Ловлю ошибку:
[error_code] => 15
[error_msg] => Access denied: no access to call this method .

Помогите люди добрые!

Answer 1

[Petr Flaks]

Честно говоря, я не очень понял сути вопроса, поэтому пройдусь сразу по всем возможным пунктам.

К сожалению в StandAlone можно через АПИ отправлять записи только от имени владельца приложения.

Через standalone-приложения можно отправлять записи от имени любого пользователя, который авторизовался через ваше приложение.

Таким образом пытался отправить сообщение (в итоге надо запись на стену, но смысл не меняется)

Пользоваться методами messages.* можно только через standalone-приложения. Для веб-сайтов и iFrame-приложений постинг через метод wall.post доступен только через окно подтверждения, а для standalone-приложений - без каких-либо проблем.

Ловлю ошибку:
[error_code] => 15
[error_msg] => Access denied: no access to call this method .

Вы забываете передать параметр scope при получении токена. Смотрите подробнее о правах доступа вот тут.

И еще: вы не сможете работать с сообщениями пользователя, если вы работаете с пользователем через веб-сайт. Данные методы поддерживаются только standalone-приложениями, которые необходимо использовать в десктопных и мобильных приложениях или в браузерных расширениях. Авторизовать пользователя в standalone-приложении через браузер получится, а вот токен вы получить ни через PHP, ни через JavaScript не сможете, если только не попросите пользователя скопировать токен вручную, что противоречит основам UX, т.к. на странице получения токена написано, чтобы пользователь его не копировал, ибо не безопасно.

Comments

[EVOSandru6]

Благодарю за ответ.

1) Изменил запрос получения токена со scope ( веб-сайт ):

$permissions = [
'notify ', 'friends', 'photos', 'audio',
'video', 'docs', 'notes', 'pages',
'status', 'wall', 'groups', 'messages',
'email', 'notifications', 'stats',
'ads', 'market', 'offline'
];
$request_params = [
'client_id' => APP_ID,
'client_secret' => APP_SECRET,
'code' => $this->code,
'redirect_uri' => REDIRECT_URI,
'scope' => implode(',', $permissions),
];

curl_setopt($curl, CURLOPT_URL, '
https://oauth.vk.com/access_token?'. http_build_query($request_params));

...

К сожалению прилетает ответ:

[error_code] => 15
[error_msg] => Access denied: no access to call this method

2) Где можно найти описание алгоритма по вашему утверждению?
'Через standalone-приложения можно отправлять записи от имени любого пользователя, который авторизовался через ваше приложение.'

Т.е. если я правильно понял, в stand-alone можно
1. авторизоваться
2. сделать это без сбрасывания токена
3. Отправить от своего имени по статическому токену сообщение кому либо или запись на какую либо стену.

[EVOSandru6]

1) Изменил запрос получения токена со scope ( пробовал и в веб-сайт пробовал и в stand-alone ): *

[Petr Flaks]

EVOSandru6: ну давайте представим, что вы создали какой-то клиент под Android, который работает с VK API. Допустим, мессенджер. Что вы в первую очередь делаете? Правильно! Авторизацию; в идеале - авторизацию с правом доступа offline, чтобы токен не истёк. Вы в своем приложении открываете WebView со страницей получения токена, а там ВК просит пользователя ввести свои авторизационные данные. После авторизации пользователя спрашивают, дает ли он согласие на то, чтобы ваше приложение обрабатывало его персональные данные. Если он соглашается, то в адресной строке этого самого WebView появляется токен, который вы уже магией разработки приложений под Android и вытаскиваете. Почему такое нельзя повторить в веб-разработке? Да банально потому, что в веб-разработке нет такой магии, которая позволила бы вам вытащить этот самый токен из адресной строки другого окна, в котором открыт вообще не ваш сайт. Соответственно, о реализации авторизации в standalone-приложении при разработке сайта можно забыть.

Но что делать владельцу веб-сайта в таком случае? Начать пользоваться системой Open API ВКонтакте. Это такой JavaScript SDK, с помощью которого вы сможете обращаться к методам VK API через JavaScript. Этим SDK могут пользоваться только приложения типа "веб-сайт" и, возможно, iFrame. Напрямую делать обращения к VK API через AJAX не получится из-за CORS, поэтому только Open API. Также вы сможете работать с API и с бэкэнда (читайте в конце ответа).

Но что же делать, если прям очень сильно хочется работать с сообщениями и записями на стене юзеров через сайт? Варианта два:

1. Создайте браузерное расширение и просите пользователя установить его. В этом расширении сделайте авторизацию пользователя в вашем standalone-приложении и этим же расширением вытягивайте токен из адресной строки браузера. Браузерные расширения благо могут обходить CORS и взаимодействовать со всеми окнами браузера. Дальше отправляйте токен на свой сервер и работайте с ним через PHP или вообще как душе угодно.

2. Самый хардкорный вариант - показываете на своем сайте, значит, пользователю ссылку авторизации в вашем standalone-приложении, и объясняете, что ему надо будет сделать. Перейти по ссылке, разрешить приложению доступ к аккаунту, затем попросить его скопировать токен из адресной строки браузера в форму на вашем сайте, которая отправит токен на ваш сервер. Но проблема в том, что пользователь на странице с токеном увидит предупреждение, что копировать его нельзя, потому что это может быть небезопасно.

Ссылка на получения токена для standalone-приложения выглядит так, если что:

http://api.vk.com/oauth/authorize?client_id=123456&scope=wall,photos,docs,offline,ads,video,audio&response_type=token&v=5.49

client_id - ID вашего приложения, scope - права доступа, response_type - всегда token, v - версия API, redirect_uri указывать не нужно. Но если вы укажете его, то пользователя перенаправит на ваш сайт, и вы сможете получить из адресной строки браузера заветный токен, только вот права у этого токена будут такие же, как у обычного приложения типа "веб-сайт".

[EVOSandru6]

Большое спасибо за такие развернутые ответы. Пока я очень туго понимаю, как создать 2 приложения в условиях одного проекта и чьи токены нужны при вызове определеннных методов. Неясность в очередности действий. К сожалению в сети и на гитхабах таких примеров не нашел( Буду потихоньку переваривать вышесказанное по кусочкам. Подскажите, а можно ли соседнюю вкладку заменить фрэймом в текущей? Это не накренит приложение? Если в нем я сделаю редирект, яваскриптом достану токен и отработаю в текущем окне? Тут же . Не совсем понял правда - в каких случаях необходимо пользоваться ajax, а в каких php curl.

[Petr Flaks]

EVOSandru6: авторизация во ВК через iFrame, насколько мне известно, не работает.

[EVOSandru6]

Возможно ли данную конструкцию переделать так, чтобы запись отправлялась на стену сообщества, а не авторизованного пользователя, но также от его имени, как он это делает на свою стену по умолчанию.

<script type="text/javascript" src="https://cdnjs.cloudflare.com/ajax/libs/jquery/3.1.0/jquery.js"></script>
    <script src="http://vkontakte.ru/js/api/openapi.js" type="text/javascript"></script>
    <script type="text/javascript">
    VK.init({
        apiId: 5575732,
        onlyWidgets: true,
        // ownerId: 126135230
        // onlyWidgets: true
    }); </script>

<body>
    <a href="#" id="join">Разместить</a>
</body>

<script type="text/javascript">
    function authInfo(response) {
        if (!response.session) {
            console.log('Необходимо авторизоваться ВКонтакте.');
            return false;
        }
        VK.Api.call('wall.post', {
            message: 'test text',
        }, function(r) {
            // console.log('tmp');
            if (r.error) {
                console.log(r.error);
                if (r.error.error_code == 10007) {
                    console.log('Для участия в акции необходимо разместить запись на стене.');
                }
                if (r.error.error_code == 20) {
                    console.log('Произошла неизвестная ошибка, пожалуйста повторите еще раз.');
                }
                if (r.error.error_code == 14) {
                    console.log('Произошла неизвестная ошибка, повторите поже.');
                }
                return false;
            }
            console.log('Успешно размещено!');
        });
    }
    $(document).ready(function() {
        $('#join').click(function() {
            VK.Auth.login(authInfo, 1);
        });
    });
</script>

[EVOSandru6]

В текущем варианте запись оставляется на стену авторизованного пользователя

[EVOSandru6]

Разобрался owner_id=-******

На js теперь понятно как. работает. А вот на PHP сложнее получается. Не могу уловить разницу авторизации пользователя в приложении и простой авторизации пользователя. И еще насчет того - какие токены - действуют пожизненно, а какие одноразово - Запрос->Авторизация->Метод->Смерть токена

[Petr Flaks]

EVOSandru6: попробуйте провести авторизацию через Authorization Code Flow. После такой авторизации вы получите токен, которым сможете пользоваться на стороне сервера. Чтобы токен не истекал, попробуйте передать в параметре scope при получении токена право offline.

[EVOSandru6]

terron: Доброго времени суток! В связи со сложившейся ситуацией. экстренно учу андроид. По поводу магии многооконности для вытаскивания токена не подскажите как рецепт называется?

[Petr Flaks]

EVOSandru6: я не разработчик мобильных приложений, но скажу: называется эта технология WebView.

[EVOSandru6]

Спасибо!