Возможен ли вызов secure.sendNotification без access_token?

Question

[Александр Фарбер]

Здравствуйте, возможен ли вызов этого метода с собственного сервера без предварительного получения access_token?

Официальная документация к secure.sendNotification утверждает, что да, начиная с апреля прошлого года, это возможно - при помощи сервисного ключа доступа.

Я нашел этот ключ в настройках своего iframe-приложения, но как встроить его в URL вызова метода (я использую Java и Jetty HttpClient) - непонятно.

Какой именно параметр нужно добавлять в мой URL?

String VK_API_URL = "https://api.vk.com/method/secure.sendNotification?user_id=%s&message=%s&v=5.71";

Кроме того, в документации непонятно, привязан сервисный ключ доступа к IP-адресу сервера моей игры или все-таки нет:

Для запросов к методам secure сервисный ключ привязан к IP-адресу, с которого был сгенерирован.

Получить сервисный ключ доступа можно в настройках Вашего приложения. Ключ не привязан к IP-адресу при использовании с открытыми методами, срок его действия не ограничен

Если он все-таки привязан, то как получить его именно для моего сервера?

Обновление:

Я попытался добавить параметр в форме access_token=сервисный ключ доступа, но увы - на вызов GET следующего URL:

https://api.vk.com/method/secure.sendNotification?access_token=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX&user_id=62184875&message=%D0%A1%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D0%B5+%D0%BE%D1%82+%D0%B8%D0%B3%D1%80%D0%BE%D0%BA%D0%B0&v=5.71

Приходит ответ (хотя получатель и установил у себя мою еще не прошедшую проверку в каталог игру):

{"error":{"error_code":7,"error_msg":"Permission to perform this action is denied","request_params":[{"key":"oauth","value":"1"},{"key":"method","value":"secure.sendNotification"},{"key":"user_id","value":"62184875"},{"key":"message","value":"Сообщение от игрока"},{"key":"v","value":"5.71"}]}}

Добавление еще &client_secret=... ничего не изменило

Answer 1

[Даниил]

Возможен. Сервисный ключ необходимо передавать в параметре "access_token".
Как написано в совершённом изменении, Вы можете спокойно использовать сервисный ключ, который указан в настройках приложения и он не будет привязан к IP.
UPD. Много противоречивой информации в документации, где-то нужно по-прежнему для сервера запрашивать сервисный ключ отдельно, а где-то пишут, что и из настроек подойдёт.
В ответе я склоняюсь к информации из уже совершённого изменения.

С апреля 2017 года для использования открытых методов и методов secure нужно будет использовать сервисный ключ доступа из настроек приложения. Вам не придется делать отдельный запрос к oauth.vk.com, чтобы получить его.

Также обратите внимание на это.

Помимо стандартных параметров, указанных в описании методов, к запросу необходимо добавлять параметр client_secret, содержащий значение из поля «Защищенный ключ» в настройках приложения.

Secure. На странице секции указывается запрашивать сервисный ключ старым способом, но ничто не мешает Вам попробовать и вроде актуальный вариант, и старый.

Comments

[Александр Фарбер]

Спасибо, попробую завтра...

А можно добавить какой-нибудь параметр &test=1 чтобы обойти ограничения вызова secure.sendNotification раз в час?

[Даниил]

Александр Фарбер, к сожалению, нет. Увеличить это количество нельзя. К тому же тестовый режим при работе с Secure-методами не поддерживается.
Ограничение одного успешного запроса/уведомления за час распространяется на каждого конкретного пользователя, а не на количество вызовов метода в целом. Как я понял, Вы можете хоть 100 раз отправить уведомление, только при условии, что с каждым новым запросом будет указан ID пользователя, который за последний час и сутки не получал больше одного и трёх уведомлений от Вашего приложения соответственно.

Обратите внимание, нельзя отправлять пользователю более 1 уведомления в час (3 в сутки). Кроме того, нельзя отправить одному пользователю два уведомления с одинаковым текстом подряд.

[Александр Фарбер]

Увы, с &access_token=сервисный ключ приходит ответ:

{"error":{"error_code":7,"error_msg":"Permission to perform this action is denied","request_params":[{"key":"oauth","value":"1"},{"key":"method","value":"secure.sendNotification"},{"key":"user_id","value":"62184875"},{"key":"message","value":"Сообщение от игрока"},{"key":"v","value":"5.71"}]}}

[Даниил]

Александр Фарбер, Вы использовали сервисный ключ из настроек или запросили старым способом с сервера? Если первый вариант, тогда запросите на сервере ключ и попробуйте вызвать метод с ним. Если второй вариант, то сделайте наоборот - используйте ключ из настроек.
И не забывайте про защищённый ключ в каждом запросе.

Помимо стандартных параметров, указанных в описании методов, к запросу необходимо добавлять параметр client_secret, содержащий значение из поля «Защищенный ключ» в настройках приложения.

[Александр Фарбер]

Даниил Лепке, к сожалению та же ошибка при добавлении &access_token=сервисный ключ доступа&client_secret=... - оба значения из настроек моего iframe-приложения

[Даниил]

Александр Фарбер, Вы пробовали запросить сервисный ключ на сервере и использовать его?
Если пробовали и не получилось, рекомендую обратиться в техническую поддержку ВК, описав им все предпринимаемые Вами действия.

[Александр Фарбер]

Даниил Лепке, да, сейчас попробовал запросить сначала токен и получил его - он отличается от "сервисного ключа" и кроме того видимо никогда не истекает:

{"access_token":"da.......72","expires_in":0}

Но когда я попробовал отправить secure.sendNotification -

https://api.vk.com/method/secure.sendNotification?access_token=da....72&client_secret=xxxxxx&user_id=62184875&message=%D0%A1%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D0%B5+%D0%BE%D1%82+%D0%B8%D0%B3%D1%80%D0%BE%D0%BA%D0%B0+Alexander&v=5.71

то получил ту же ошибку:

{"error":{"error_code":7,"error_msg":"Permission to perform this action is denied","request_params":[{"key":"oauth","value":"1"},{"key":"method","value":"secure.sendNotification"},{"key":"client_secret","value":"XXXXX"},{"key":"user_id","value":"62184875"},{"key":"message","value":"Сообщение от игрока Alexander"},{"key":"v","value":"5.71"}]}}

Хотя получатель и разрешил прием сообщений от приложения:



Видимо, дело все-таки в том, что мое приложение пока отказываются принять в каталог.

Когда примут, попробую все шаги заново...

И вот кстати, непонятно, какой код ошибки должен прийти, если этот бессмертный access_token все-таки станет недействительным?

На странице с кодами ошибок подходящего кода нет (в отличие например от Amazon Device Messaging, где похожая система, но есть и код, сообщающий что токен истек).