Как доработать авторизацию через ВК?

Question

[Александр Коновалов]

Здравствуйте! Делаю авторизацию в админку через ВК.
Такой код: https://pastebin.com/uk2u0J2p

Проблема в том, что, когда ты заходишь в админку, тебя кидает на ссылку admin?vk_user_id=123456 (соответственно, в файле прописано с каких id впускать), и, если ты скопируешь эту ссылку, откроешь ее без авторизации, то тебя все равно впустит в панель.

Почему? Как исправить этот косяк?

Answer 1

[Truth4oll]

Авторизация пользователя должна происходить через access_token полученный от вконтакте,
Вот похожий вопрос: Как лучше вытащить access_token в VK?

Comments

[Сережа Ахен]

Зачем ему токен? Совсем не в ту степь.

Answer 2

[Алексей Сундуков]

откроешь ее без авторизации, то тебя все равно впустит в панель.

Все верно, ведь вы в коде приложения так и написали:

$admin_user_is_logged = ((in_array($vk_user_id, $allowed_admin_user_vk_ids)) ? 1 : 0);

Аутентификация VK делается совершенно по другому. Как именно не так важно сейчас, т.к. у вас явно пробелы в понимании общей схемы работы сервер-браузер-пользователь. Для начала рекомендую почитать про безопасность приложений + использовать готовую CMS или фреймворк.

Comments

[Александр Коновалов]

Алексей Сундуков какой фреймворк мне подойдет, если нужно просто организовать вход на страницу, которая должна быть доступна только для меня?

[Алексей Сундуков]

Александр Коновалов: Любой, но проблему на самом деле они не решат. Потому в любом из них можно написать конструкцию $admin_user_is_logged. Нужно для начало прояснить для себя как в PHP делать правильную систему аутентификации. Без этого лучше использовать какую либо популярную CMS в духе Drupal, WordPress.