Создание приложения для ВК. Как определять пользователя?

Question

TANK_IST @TANK_IST

Создание приложения для ВК. Как определять пользователя?

Создаю приложение для групп ВК. Подключение приложение происходит через iframe.
Как давать возможность изменять настройки внутри приложения только для админа группы?

Вопрос задан более трёх лет назад
328 просмотров

Комментировать

Подписаться 2 Простой Комментировать

Пригласить эксперта

Ответы на вопрос 1

15 комментариев

TANK_IST @TANK_IST Автор вопроса

Но как узнать что он именно админ?

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, у метода groups.getMembers() есть параметр filter. Если туда передать значение "managers" вернётся список админов сообщества. Остаётся вам проверить, есть ли среди них id текущего юзера.

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, а можно на стороне сервера узнать подделали ли запрос?

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, именно тот запрос что в iframe

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, перечитайте ответ.

Только не забывайте проверять auth_key

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, да. Но узнать подменили ли переменную viewer_type я не смогу. Как же мне узнать со стороны сервера админ ли данный пользователь?

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, так вы с сервера получайте список админов и смотрите, в нём ли юзер. Список можно не каждый раз дёргать, а закэшировать.

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, Если я составляю запрос groups.getMembers с сервера то мне отвечают ошибкой что IP не тот что был в access_token.

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, смотрите документацю к методе getMembers() – какие там годятся токены, помимо пользовательского?

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, Так и не могу разобраться. Может я вам заплачу, а вы мне поможете?

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, это против правил Тостера. Вы можете создать задание на Фрилансим.

Что у вас не получается?

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, "смотрите документацю к методе getMembers() – какие там годятся токены, помимо пользовательского?"
- да, можно и другие, но в любом случае нужна авторизация на стороне сервера

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, в документации по приложениям сообщества посмотрите Запрос прав у администратора сообщества

Написано более трёх лет назад
TANK_IST @TANK_IST Автор вопроса

Сергей Соколов, да, но это js. Я не знаю как сделать все безопасно, чтобы другие пользователи не могли отправлять запросы администрирования. Как я понимаю для этого нужно проверять пользователя на стороне сервера.

Написано более трёх лет назад
Сергей Соколов @sergiks Куратор тега JavaScript

TANK_IST, если речь про администрирование приложения методами ВК – то по идее, у не-админов ничего и не выйдет. Попробуйте с запасного аккаунта на тестовой группе. Вам придётся заморачиваться с проверками на стороне сервера только для ограничения прав на действия именно в вашем приложении – напр. вход в его админку.

Написано более трёх лет назад