Как правильно получать токен VK?

Question

[jenya7771]

Здравствуйте, пишу приложение на nodeJS и мне нужно получить токен авторизации пользователя. Он должен нажать на странице по ссылке:

https://oauth.vk.com/authorize?client_id=000000&scope=groups,wall,offline,photos&redirect_uri=http://oauth.vk.com/blank.html&display=page&v=5.21&response_type=token

И после он авторизуется и перебрасывается обратно на сайт.
Вопрос заключается в следующем, делать ли кнопку просто ссылкой или лучше сделать форму POST, после чего его само приложение перенаправит по ссылке.
И какой редирект должен быть после? ссылка с токеном например /vk/{checkToken}#access_token=12345, где checkToken я буду создавать, и после перехода понимать, какой пользователь выполнил процедуру по получению токена. Или просто сделать /vk/{idUser}#access_token=12345?
Как сделать более правильно и безопаснее?

Comments

[Сергей Соколов]

Приложение у вас какое - серверное?

[jenya7771]

Сергей Соколов, Да на сервере

Answer 1

[Сергей Соколов]

После авторизации и переброски на http://oauth.vk.com/blank.html c токеном в хэше, вытащить его вы сможете только, будучи «над» браузером пользователя. Web extension, установленный в браузере пользователя или целиком ваше приложение на каком-нибудь Electron с компонентом браузера смогут получить такие данные. В обычном браузере этого никак не сделать: чужой домен.

По второму вопросу. Имея токен получить id пользователя можно вызвав метод users.get() с этим токеном: вернёт данные пользователя, выдавшего токен.

Comments

[jenya7771]

Перекинет пользователя на мой сайт, который в настройке приложения в VK добавлено. Вопрос как перенаправить на ссылку, и нужно ли в ссылку на которую будет редирект добавить токен, который сохраню в БД и с помощью его получу id пользователя на своём сайте.

[jenya7771]

В параметре redirect_uri укажу свой сайт

[Сергей Соколов]

Можно откоывать по кликк новое окно, в котором авторизация вк. А при посадке после, с токеном, слать из этого окна message.post в window.opener с токеном.

[Сергей Соколов]

jenya7771, с редиректом на свой сайт не получите право wall.

[jenya7771]

Сергей Соколов, У меня работает, при переходе по ссылке, потом редирект на мой сайт и параметром access_token

[Сергей Соколов]

jenya7771, но там нет права wall, вероятно. Попробуйте запостить на стену с таким токеном.

[jenya7771]

Сергей Соколов, Да нет, есть, перебрасывает на страницу авторизации

[jenya7771]

Мне главное понять как лучше получать токен, на какую страницу делать редирект, в которой будет уникальны хеш который я сохраню в БД, а потом с помощью него смогу проверить какой пользователь на сайте получил токен.

[jenya7771]

Или как более правильно сделать?

[Сергей Соколов]

jenya7771, я бы принимал просто токен и более ничего. На сервере тут же пытался его использовать для users.get() – если срабатывает, значит, во-первых, токен валиден, а во-вторых из ответа достоверно известен соотв. user_id.

[jenya7771]

Сергей Соколов, мне токен нужен для публикации постов в группе, я смогу увидеть в каких группах пользователь является админом?

[Сергей Соколов]

jenya7771, почему бы просто не попробовать?

Увидите, т.к. вы запросили права groups. См. параметр filter метода groups.get()

[jenya7771]

Сергей Соколов, Понял о чём вы, дорогая идея! Спасибо!
Теперь возникла проблема получить хешь из ссылки в express.js, но это уже другой вопрос)