VK API authorization cURL?

Question

[Альбери Зишц]

Токен для работы моего скрипта могу получить, перейдя по ссылке вида:
https://oauth.vk.com/authorize?client_id=<ид>&scope=notify,friends,photos,offline,wall&redirect_uri=blank.html&display=popup&response_type=token
Из открывшегося окна копирую токен и работаю с ним.
Скажите, как можно ли убрать костыль с копированием из адресной строки токена и получить токен в скрипт напрямую?
Где-то встречал, что никак, мол вк проверяет с какого домена обращение и если это не vk.com то не работает, надеюсь это неправда))

Answer 1

[entermix]

Используйте Authorization code flow, вместо Implicit flow

2. Authorization code flow — двухэтапный вариант с дополнительной аутентификацией Вашего сервера. Ключ доступа возвращается непосредственно на сервер и может быть использован, например, для автоматизированных запросов из PHP.

https://vk.com/dev/access_token

- Implicit flow. Для работы с API от имени пользователя в Javascript-приложениях и Standalone-клиентах (десктопных или мобильных).
- Authorization code flow. Для работы с API от имени пользователя с серверной стороны Вашего сайта.

https://vk.com/dev/access_token?f=1.%20%D0%9A%D0%B...

Comments

[Альбери Зишц]

Этим способом меньше возможностей предоставляется, как я понимаю.

[entermix]

Альбери Зишц: Если Вы используете методы, которые доступны только для клиентских приложений, то Authorization code flow не подходит, по другому никак.

[Альбери Зишц]

entermix: подскажите, а где указано в описании методов, какой подходит только для клиентского приложения?

[entermix]

Альбери Зишц: ну, например, берем самый первый метод:

https://vk.com/dev/account.banUser

Там указано:

Этот метод можно вызвать с ключом доступа пользователя, полученным в Standalone-приложении через Implicit Flow.

[Сережа Ахен]

Просто получите токен с параметром offline, тогда токен будет без срока действия. Но помните, что при смене пароля и прочего токен потеряет актуальность.

[Альбери Зишц]

Все же нужен implicit flow, один из методов использованных wall.post :(
Как же быть тогда?

А если я пропишу в приложении домен, то я же смогу после дачи прав редиректать с токеном на свой домен?

[entermix]

Альбери Зишц: нет, implicit flow предназначен для авторизации клиентских приложений, как уже написано выше. Такие приложения используют компоненты типа WebView, поэтому, имеют доступ к адресной строке, а значит могут самостоятельно получать токен.

В вашем же случае нужно авторизовать сервер, поэтому получить токен implicit flow можно только через костыль, о котором Вы упоминаете в своем вопросе.

Альбери Зишц дал дельный совет, вы можете получить дополнительные права offline, чтобы не обновлять токен постоянно.

Answer 2

[f f]

Всё что выше — бред. Если это расширение для гугла, можно парсить напрямую. Скачай (VKZen), увидишь, как это делается. Если это PHP, то увы, но если юзер сам ставит себе функцию, то придётся копировать. Если авторизация по лог:пассу, то можно сделать, чтобы токен сам парсился.