VK API — как проверить на стороне сервера access_token-а, полученного из standalone/mobile приложения?

Question

[Denis Morozov]

Схема такая:
1. пользователь логинится в мобильном приложении через vk
2. получает access_token
3. передаёт его на сервер
4. на сервере происходит проверка этого access_token-а и получение id пользователя, соответствующего данному access_token (в FB аналог https://graph.facebook.com/me?access_token=...)
5. сервер автоматически регистрирует/логинит пользователя

Я пытаюсь использовать метод secure.checkToken:
1. vk.com/dev/auth_server - тут я получил access_token
2. делаю такой запрос:

https://api.vk.com/method/secure.checkToken?token=<user_access_token>&client_secret=<app_secret>&access_token=<access_token>

в ответ получаю:

{"error":{
     "error_code":15,"error_msg":"Access denied: Incorrect token sig_param",
     "request_params":[
          {"key":"oauth","value":"1"},
          {"key":"method","value":"secure.checkToken"},
          {"key":"token","value":"<user_access_token>"},
          {"key":"client_secret","value":"<app_secret>"},
          {"key":"access_token","value":"<access_token>"}
     ]
}}

Comments

[Denis Morozov]

такой вызов

https://api.vk.com/method/secure.checkToken?token=<user_access_token>

говорит
User authorization failed: no access_token passed

[Denis Morozov]

такой вызов

https://api.vk.com/method/secure.checkToken?token=<user_access_token>&access_token=<access_token>

говорит

User authorization failed: you should pass client_secret param to use secure methods

Answer 1

[Дмитрий Сикорский]

В общем помучался пару часов и удалось решить путем добавления "offline" в scope. Привязка по IP не работает в таком случае.

Comments

[Denis Morozov]

можете, пожалуйста, поподробнее объяснить?

[Дмитрий Сикорский]

В общем, на телефоне под iOS я получаю accessToken. Как я описал выше, VK.com всего лишь один из 4-х вариантов входа в iOS/Android-приложения/сайт. Т. е. я все-равно создаю своего внутреннего пользователя, который может потом привязать другие идентификаторы входа, а этот (VK) например вовсе отвязать. И вход затем соответственно выполняется таким же образом. Мобильное устройство проводить авторизацию, затем говорит МОЕМУ серверу "создай билет авторизации для такого-то id VK, вот его access token". Сервер должен проверить access token, а именно, что ему соответствует именно тот userId, который передан. Без этого можно было бы запросить билет авторизации от моего сервера для любого пользователя просто по его ID. Ну вот. И тут возникла сложности, т. к. если авторизацию выполнять так: [VsSkd authorize:@[] revokeAccess:YES], то access token будет привязан зачем-то к IP, и проверит его на сервере не получится. Я уж думал что все, но нет. Если выполнить авторизацию так: [VsSkd authorize:@[VK_PER_OFFLINE] revokeAccess:YES], то access token привязываться к IP не будет, и проверка на сервере выполняется корректно. Надеюсь, это поможет кому-то, т. к. я чудом нашел где-то упоминание об этом.

[Egor Merkushev]

@DmitrySikorsky: поделитесь опытом по прошествии полугода — ВК мер не принял в отношении этого метода проверки токена и id?

[Дмитрий Сикорский]

Egor Merkushev: все работает как и раньше.

[think]

Проблема возникает, когда сервер и пользователь находятся в разных странах. Пользователь авторизуется нормально, а на сервере возникает ошибка с требованием ввода капчи.

Answer 2

[Олег Кулясов]

Проверьте внимательно, что вы всё отправляете верно. Только что закончил задачу, похожую на вашу. Всё работает так, как написано в документации.
Сначала получаем access_token:

https://api.vk.com/oauth/access_token?v=5.21&client_id=<app_id>&client_secret=<app_secret>&grant_type=client_credentials

Получаем в ответ:
{access_token: <access_token>, expires_in: 0}
Затем выполняем запрос secure.checkToken:

https://api.vk.com/method/secure.checkToken?v=5.21&token=<user_token>&ip=<user_ip>&client_secret=<app_secret>&access_token=<access_token>

Получаем в ответ:

{response: {success: 1, user_id: <user_id>, date: 1400088413, expire: 1402680413}}

Дополнение: Я user_token получаю из flash_vars (access_token) из игрушки на флэше, а вы через мобильное приложение, возможно поэтому поведение отличается.

Comments

[KurazhBambei]

А вы не знаете, как в iFrame приложении можно получить access_token?

[Олег Кулясов]

Клиентский acсess_token в параметрах GET запроса придёт. А серверный нужно на сервере получать, это уже от вашего сервера зависит. На java я использую org.apache.http.client.HttpClient.

[KurazhBambei]

Странно, но клиентский access_token не пришел ни в массиве $_GET ни в $_POST. Зато $_SERVER['QUERY_STRING'] дал результат

[Denis Morozov]

Дополнение: Я user_token получаю из flash_vars (access_token) из игрушки на флэше, а вы через мобильное приложение, возможно поэтому поведение отличается.

именно в этом и дело

вариант DmitrySikorsky я ещё не проверял

Answer 3

[Дмитрий Сикорский]

Ребята, удалось найти решение? Я столкнулся с той же проблемой. На сервере есть таблица с пользователями, у каждого пользователя много способов входа. Соответственно, мой сервер создает для мобильных приложений authticket на основании идентификатора пользователя, полученного от приложения. Почту проверить просто (по паролю), Фейсбук тоже просто, а с ВК проблма из-за того, что access token привязан к IP. Какие есть идеи? Спасибо!

Answer 4

[EduardTrayan]

Cудя по этой документации ваш запрос должен иметь вид

https://api.vk.com/method/secure.checkToken?token=<your_token>

Comments

[Denis Morozov]

в приведённой вами ссылке написанно:
Данный метод является серверным. Он может быть вызван только с Вашего сервера, от имени приложения, используя схему вызова серверных методов.

и если перейти по ссылке 'схема вызова серверных методов'
vk.com/dev/secure_how_to , то там можно увидеть следующее:
1. В результате выполнения запроса будет возвращён access_token, при помощи которого можно осуществлять вызовы к серверным методам API.
2.При вызове защищенных методов к запросу необходимо добавлять параметр client_secret.

[EduardTrayan]

Просто я не совсем понимаю что вы хотите сделать :) По моему вы мешаете разные подходы в 1

Чтобы авторизовать пользователя в мобильном приложении и получить его айдишку для регистрации в своей системе достаточно выполнить все по vk.com/dev/auth_mobile

[Denis Morozov]

Я правильно понимаю что вы предлагаете после того как приложение получило access_token и user_id пересылать эту пару на сервер?

В этом случае злоумышленник может заменить user_id на любой другой и когда придёт настоящий пользователь, то не сможет зарегистрироваться. Или того хуже поставить цикл по перебору user_id от 1 до 10000000 и в итоге забить все id-шники

Answer 5

[EduardTrayan]

1. пользователь логинится в мобильном приложении через vk
2. получает access_token
3. передаёт его на сервер

Если вы логините юзера через мобильное приложение, то получается судя опять таки по этому мануалу вам в строке запроса приходит токен и айдишка пользователя, те по сути эти действия

я пытаюсь использовать метод secure.checkToken:

вам не нужны

А вообще опишите что вы хотите сдеалть

Comments

[Denis Morozov]

Мне нужно сделать "Войти через VK" используя приложение на iPhone/Android.

Проверка access_token нужна обязательно, иначе можно подменить id пользователя

[Denis Morozov]

Я уже описал схему работы приложения:

1. пользователь логинится в мобильном приложении через vk
2. получает access_token
3. передаёт его на сервер
4. на сервере происходит проверка этого access_token-а и получение id пользователя соответствующего данному access_token (в FB аналог https://graph.facebook.com/me?access_token=...)
5. сервер автоматически регистрирует/логинит пользователя

дополнительно:
6. сервер выдаёт access_token в своей системе и уже на моём сервере используя последний access_token я могу управлять данными через своё мобильное приложение

[EduardTrayan]

Тогда не подскажу, так как странно что ваши запросы не работают :(

Попробуйте может добавить User authorization failed: you should pass client_secret param to use secure methods в тот запрос еще client_secret код приложения

Answer 6

[Степан]

Плохая затея.. Токен не работает так как запрошен с одного ип/софт а проверяется с другого..
Вместо secure.checkToken вызывайте другой метод, например получение инфо о юзере или напишите свой метод через execute который будет делать проверку.. Но имейте ввиду, так как вы обращаетесь к апи с другого места, вк от вас запросит капчу.

Comments

[KurazhBambei]

Причем здесь IP? secure.checkToken это серверный метод, он по определению должен выполняться на другом IP (на вашем сервере).

[KurazhBambei]

а IP клиента мы отслеживаем по запросу к iFrame странице, выполняем secure.checkToken и сравниваем user_id.

Answer 7

[lovesuper]

На 2020ый год рабочая схема выглядит так:

https://api.vk.com/method/secure.checkToken?access_token=1581a9cd3481a9cd3481a9cd5534f00ff2334820481a9cd7a2e43ba39c6842ab16f8e65&client_secret=rtJbebd5vbAStnJyKwjA&v=5.21&client_id=7448000&token=8b31f3f6602885d6f479af9aab7cb7fe7c1a0487a47c64a7ef5e83daa23fe3001bbd5e9cc0c2967cef619

(в админке Вашего приложения надо взять айди приложения, аксес токен приложения и секрет приложения)