Как защитить обработчик событий Callback API vk от подмены?

Question

[LNK]

Приветствую. Меня интересует вопрос, как защитить обработчик событий Callback API vk от подмены - ведь каждый может отправить на мой сервер запрос, как будто являясь вк и таким образом управлять сообществом. Как удостовериться в том, что запрос пришел именно от сервера ВКонтакте?
Если SSL сертификаты нужны именно для этого, то расскажите, пожалуйста, принцип защиты здесь. Ведь кто-то может зарегистрировать свой SSL сертификат и обратиться к моему серверу от имени вк, но уже по защищенному соединению...

Answer 1

[Сергей Соколов]

ВК добавили параметр «Секретный ключ» в настройки Callback API для групп:

Произвольная строка до 50 символов, может включать латинские буквы и цифры.

Заданный Вами секретный ключ будет передаваться с каждым уведомлением от сервера в отдельном поле secret. Это позволит Вам достоверно определять, что уведомление пришло именно от нашего сервера. Чтобы исключить возможность подделки запросов, пожалуйста, не публикуйте значение секретного ключа в открытом доступе.

Скрин

Comments

[LNK]

Большое спасибо, это действительно то, что нужно.
Не могли бы вы немного пояснить про SSL? Вдруг у кого-нибудь окажется секретный ключ :)

Answer 2

[userfordownload]

Ты чутка не в теме по ssl)
в 2 словах:
Ты даешь вк свой сертификат (Рисунок 1).

И на сервер бота тоже прикрепляешь сертификат (ОНИ УНИКАЛЬНЫ, невозможно создать 2 "одинаковых" сертификата).

При запросе они сравниваются и воля - подмена НЕВОЗМОЖНА,

Это все очень условно и грубо))))