Как защитить API сервиса от поддельных запросов?

Question

[jieggii]

Итак, у нас имеется:

• API
  
• Клиентское приложение (VK Mini App), которое ни что иное, как удобный для пользователя интерфейс, реализующий функциональность API
  

У нас есть пользователь, у которого есть user_id.
У API есть метод someAction.perform, который взаимодействует с базой данных и что-то там меняет. Мне нужно каким-либо образом проверять, что этот запрос отправил именно этот пользователь, именно через клиентское приложение, а не какой-то злодей, отправляющий запросы curl'oм и подставляющий чужой user_id. Также хочу подчеркнуть, что работаю через VK, по этому у моих пользователей нет паролей или логинов в моем сервисе, и что клиентское приложение легко поддается реверс-инжинирингу.

Answer 1

[Сергей Соколов]

Читать документацию по VK Mini Apps, раздел Подпись параметров запуска. Там же ссылки на примеры реализцию проверки подписи.

Пользователь приходит с кучей параметров, в числе которых user_id и подпись запроса sign, которую надо у себя на сервере проверять. Она завязана на «секрет» приложения.
Так можно убедиться, что пришёл именно тот пользователь и параметры не подделаны.

Далее эти же параметры можно передавать и с каждым API-запросом, а в обработчике снова проверять их.

Либо, чуть сложнее, генерить временный уникальный ключ, хранить у себя в БД/Redis, и его передавать в заголовках всех API запросов.

Comments

[jieggii]

Спасибо!

Answer 2

[Dimonchik]

чтобы два раза не вставать

Answer 3

[xmoonlight]

Надо связать юзера и секретный ключ подписи запросов, используя ответчик стороннего сервиса.

Проверьте: можно ли по кольцу передавать данные: ваш сервис -> приложение -> vkAPI -> и.. отбивка vk на ваш сервис, минуя клиента?

Если это возможно - вы можете подписывать свои запросы и проверять подпись по отбивке/ответчику vk для конкретного пользователя (секретный ключ - знаете только Вы, а пользователя - только VK).

Иначе - никак.

Comments

[profesor08]

Клиентское приложение поддается реверсу, значит ботовод сможет получить алгоритм, по которому получаются ключи и шифруется все.

[xmoonlight]

profesor08, может, только если там петля - ему это не поможет. Он не сможет получить ответы на запросы, если сервис приложения залочит его по нику.

PS: Сергей Соколов нашёл, что как раз там всё так и сделано уже.

[profesor08]

xmoonlight, все сможет, код приложения на руках, все алгоритмы на руках, все можно воспроизвести, какую бы тихтроумную хрень не придумывай.

[xmoonlight]

profesor08,
Воспроизвести - да.
Обойти прямую отправку (исполнение запроса) без vk - уже нет.

[profesor08]

xmoonlight, а причем тут вк? речь про приложение, которое что-то там делает. Все что оно делает, можно автоматизировать, в том числе авторизацию через вк и всякие подтверждения.

[xmoonlight]

profesor08, хотел цитату - а там весь текст почти))
Перечитай вопрос.

Единственное, что не отследить - это то, что юзают приложение.
Но можно паблик-кей для каждого юзера раздавать.

[profesor08]

xmoonlight, какой вопрос перечитать? Юзер задал вопрос, ему намекнули, что никак, сиди и фильтруй по косвенным признакам.

Попытки что-то зам запутать и тд, запутают только разработчика, но эффекта не принесут. Иначе не существовало бы здоровенного бизнеса по накрутке чего угодно, где угодно.

[xmoonlight]

profesor08, фильтруй ты: речи про накрутку - вообще не шла в вопросе.
И если интересно: возможность крутить полностью зависит от логики принятия/непринятия голосов через репутационный и поведенческий фильтры.

[profesor08]

xmoonlight, лол, я не обижал никого, про фильтрацию имел ввиду запросы.

[xmoonlight]

profesor08, сорян! Мой косяк!