Как по задумке работает авторизация в vk.com API?

Question

[manischewitz]

Привет. Думаю более правильно было-бы задать этот вопрос на русскоязычном ресурсе. А именно: в vk.com api любые приложения могут получить доступ к пользовательским данным через access_token. Т. е. приложения 3 стороны подобные k... mobile могут по сути иметь доступ к информации к которой они доступ иметь не должны. Является ли это безопасным, или может я что-то не понял?

Comments

[iBird Rose]

запросы, которые каким-то образом касаются конф. данных можно вызывать только через Implicit Flow https://vk.com/dev/implicit_flow_user
т.е. данный метод нельзя вызвать с сервера.
для примера https://vk.com/dev/messages.get

Answer 1

[Сергей Соколов]

1. пользователь устанавливает себе приложение
   
2. ВК задаёт пользователю вопрос: приложение k...mobile хочет доступ к вашим данным – имени, телефону, номеру банковского счёта, паролю от онлайн банка и т.п. – перечисляет запрашиваемые права
   
3. пользователь соглашается или отказывается
   
4. если согласился, в приложении оказывается именно его access_token, с которым доступ есть только к данным пользователя (и чужим публичным данным)
   

Это считается безопасным.

Если у ВК появятся подозрения в зловредной деятельности приложения, они его "отключают" – все выданные пользователями этому приложению разрешения разом аннулируются, оно не сможет более выполнять запросы к API ВК.

Comments

[manischewitz]

Т. е. следующий сценарий невозможен?
1 создается "безобидное" приложение и заливается в гугл плей
2 просим авторизоваться пользователя
3 берем присланный от вк токен и отсылаем куда-то к себе
4 у себя используем этот токен вне ведома пользователя
..или он неким образом привязывается к запросившему(например по IP)?

[l1l1l1]

manischewitz, возможен, только вк скорее всего быстро тебя блокнут

[Сергей Соколов]

Возможен, наверное, даже худший вариант. Т.к. app id известны и для k...mobile, и для оф. клиентов вк, возможно сразу написать зловред, авторизующийся в вк как будто это оф. клиент или одобренный k..m.
ВК автоматически определяет "подозрительную активность" и морозит аккаунт.

[Александр Аксентьев]

manischewitz,

3 берем присланный от вк токен и отсылаем куда-то к себе
4 у себя используем этот токен вне ведома пользователя

он как бы и так хранится на стороне приложения, и если при этом стоит флажок специальный, то можно использовать в любое время и как угодно в рамках предоставленного доступа.

[Дмитрий Беляев]

Сергей Соколов, одного app id недостаточно, нужен еще секретный ключ
даже если Вы посмотрите первый, без второго Вы не авторизуйтесь (и без пользователя кстати тоже)

[Сергей Соколов]

Дмитрий Беляев, смотрите Implicit flow – пользователь идёт в ВК, говорит «да» и его с токеном редиректит на https://oauth.vk.com/blank.html#access_token=... Остаётся забрать этот токен, что доступно вышестоящему на веб-компонентом коду. Секретный ключ никак не задействуется. Кроме того, ничто не мешает разобрать и посмотреть и оф. клиент и прочие. Расчитывать, что хранить в них секретный ключ – надёжно – было бы наивно )

[Дмитрий Беляев]

Сергей Соколов, а никто и не хранит секретный ключ на клиенте
1. клиент запрашивает авторизацию у авторизующей стороны
2. авторизующая сторона делает запрос на сервер и передает код автоматизации
3. сервер делает запрос на авторизующую сторону, передает секретный ключ и код, в замен получает токен
дальше сервер волен распоряжаться токеном как угодно, может передать на клиент, а может делать запросы к апи сам

[Сергей Соколов]

Дмитрий Беляев, это вы пишете про другую схему авторизации. Не для standalone приложений.