Евгений Тен: Да, виджет должен вызываться с того же домена, что и игра настроена, базовая валидация refererа... Как вариант - сделать промежуточную страницу на ok.example.com которая уже открывает виджет, а с вашей стороны открывать ее.
Да, может не быть (съестся редиректом). В таком случае этот хак не получится, и придется делать более сложный хак для передачи данных.
Навскидку идеи возможных хаков:
1. через localstorage с подпиской на изменение на основном сайте (обе страницы же на одном домене).
2. на открывающей стороне проверять что окно-попап еще существует
EvgenyMorozov:
Так как метод несессионный, подписывать надо секретным ключем приложения. возможно, эта причина ошибки подписи
Информация о группах публична (если сама группа публичная)
Да, виджет не авторизует пользователя по сессии приложения (которая ему и не передается в url btw).
Тем не менее, если пользователь авторизован в браузере где открывается виджет, и это тот же пользователь, что пользуется приложением, логин не должен требоваться.
Для webview такой сценарий не работает. Возможно поддержка логина сессией пользователя из приложения будет добавлена в будущем.
lider112: При конструировании объекта SDK вы передаете туда return url, он и используется при авторизации.
Попробуйте просто передать кастомный url, SDK должна его обработать и вытащить оттуда токен авторизации.
Ессли не выйдет, то:
1. Передайте URL с кастомной схемой и url
2. Зарегистрируйте его как указано выше
Если приложение относительно новое (то есть имеет encoding seed = 0), то полученные по API IDшки пользователей будут уже конечными и не требуют никаких дополнительных конвертаций (можно использовать и в качестве ссылки на профиль).
Если приложения старое - то, возможно, стоит обратиться в поддержку чтобы убрали encoding seed для приложения.
