Можно ли забирать токен пользователя?

Question

[Дядька Серёжа]

Пользователь авторизуется с ключом приложения в моем приложении установленном на его ПК, можно ли передать токен и имя пользователя на сервер вместе с серийником для того что бы проверять имя id и токен для целей проверки лицензирования (т.е. проверять что авторизовавшийся пользователь авторизовался все на том же ПК - эдакая проверка привязки лицензии к конкретному ПК с которого был сгенерирован лицензионный ключ)

Comments

[Сергей Соколов]

Правильно ли я понял: у вас Standalone приложение ВК, которое пользователи скачивают и запускают со своих устройств. В приложении же генерится некий серийник, привязанный к железу. И вы хотите проверять, что именно эта связка токена (id vk) и серийника – валидна?

[Дядька Серёжа]

Сергей Соколов, вроде все правильно поняли

Answer 1

[Сергей Соколов]

Прямой ответ на вопрос: можно.

Причём достаточно передавать только токен, т.к. по нему легко узнать id юзера, выполнив users.get() без параметров с этим токеном.

Другое дело, что в целом такая «защита» ненадёжна. Всё, что делается у клиента – подделывается. Приложение можно модифицировать, чтобы отправлять всегда некую статичную пару токен+серийник, скачанную у пиратов.

Я думал над защитой через использование хранимых процедур на сервере ВК. Т.е. приложение вызывает не методы ВК напрямую, а хранимые процедуры, код которых доступен только автору приложения. Внутри процедур можно осуществлять проверку валидности данного юзер id. Для небольшого количества лицензий вполне вариант. Для большого - нет.

Comments

[Дядька Серёжа]

Вот я так и хотел, только я не еще не выяснил у техподдержки сколько хранимых процедур можно хранить, и какая длина текста в хранимой процедуре и можно ли там двумерные массивы хранить

[Дядька Серёжа]

И не особо понятно как отзывать лицензию

[Сергей Соколов]

Дядька Серёжа, насчёт объёма ХП не подскажу, сам не знаю. (Напишите, как выясните, пожалуйста) Двумерные массивы хранить – почему нет, хоть 5-мерные. Но есть ограничение на итерации в циклах. Выясняется экспериментальным путём.

Наверное, можно разбить пользователей на N потоков по значению их id: так, что имя вызываемой процедуры зависит от (первых N цифр) id.

[Alexander Kramov]

Любая DRM больше всего вреда приносит честным пользователям, платящим за продукт.

[Сергей Соколов]

Alexander Kramov, как ваш комментарий должен помочь ТС?

[Дядька Серёжа]

Сергей Соколов, ну в принципе ответ я получил на свой вопрос, но следующий по поводу как можно лицензировать прогу без сервера можно было б обсудить

[Дядька Серёжа]

Сергей Соколов, кстати ответели что много процедур, но не уточнили количество, "какое-то очень большое число"