@NikHaker
/

Как защитить обработчик событий Callback API vk от подмены?

Приветствую. Меня интересует вопрос, как защитить обработчик событий Callback API vk от подмены - ведь каждый может отправить на мой сервер запрос, как будто являясь вк и таким образом управлять сообществом. Как удостовериться в том, что запрос пришел именно от сервера ВКонтакте?
Если SSL сертификаты нужны именно для этого, то расскажите, пожалуйста, принцип защиты здесь. Ведь кто-то может зарегистрировать свой SSL сертификат и обратиться к моему серверу от имени вк, но уже по защищенному соединению...
  • Вопрос задан
  • 575 просмотров
Решения вопроса 1
sergiks
@sergiks Куратор тега PHP
♬♬
ВК добавили параметр «Секретный ключ» в настройки Callback API для групп:

Произвольная строка до 50 символов, может включать латинские буквы и цифры.

Заданный Вами секретный ключ будет передаваться с каждым уведомлением от сервера в отдельном поле secret. Это позволит Вам достоверно определять, что уведомление пришло именно от нашего сервера. Чтобы исключить возможность подделки запросов, пожалуйста, не публикуйте значение секретного ключа в открытом доступе.


Скрин
b76c58aec44c4bbfa8de1d1bab88c762.png
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
userfordownload
@userfordownload
Ты чутка не в теме по ssl)
в 2 словах:
Ты даешь вк свой сертификат (Рисунок 1).
d776f4574f1b4526b8b13b47886f2ebd.jpg
И на сервер бота тоже прикрепляешь сертификат (ОНИ УНИКАЛЬНЫ, невозможно создать 2 "одинаковых" сертификата).

При запросе они сравниваются и воля - подмена НЕВОЗМОЖНА,

Это все очень условно и грубо))))
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы