50еместо
uLogin - виджет авторизации через социальные сети « все идеи проекта

24

голоса

как определить, что post запрос пришел с сервиса Ulogin?

как отличить Ваш запрос от других, например Логинзы

Дмитрий, 11.06.2012, 19:58
Помечено как спам Помечено как дубликат
Статус идеи: запланировано

Комментарии

uLogin Team, 19.06.2012, 13:33
Посмотреть HTTP_REFERER например.
Михаил, 27.06.2012, 23:34
Тут вопрос о безопасности. Реферер можно подделать. IP сервера может поменяться. Если не делать проверку подлинности, то можно наспамить от имени чужих аккаунтов.
Дмитрий, 23.07.2012, 11:33
Сделайте как на WebMoney. Для клиентов Ulogin должен быть аккаунт с настройками, где можно ввести Secret Key, который при передаче POST передаётся вместе с другими данными в md5 (контрольная сумма). У себя на сайте я смогу проверить полученную контрольную сумму, сложив все данные и свой Secret Key (в md5). Всё довольно просто, вычислить Secret Key невозможно.
так проблема решилась или нет? я не самый умный программист на свете, и не так много опыта, первый вопрос встал о том как определить подлинность пришедших данных..??
Полностью поддерживаю Дмитрия, посмотрите хотя бы авторизацию через ВК, они используют точно тот способ что описал Дмитрий, это необходимо просто! Из тех полей что пользователь не может менять это только ссылка на его профиль, т.е. чтобы подделать запись мне всего лишь достаточно послать методом post объект user который будет содержать ссылку на профиль пользователя и вуаля я зашел от его имени, очень тупо, пусть если даже идет проверка HTTP_REFERER, значит помимо надо еще подделать его и все. Я хочу пользоваться Вашим сервисом, но это как-то слишком уж халатно.
Прощу прощения, и многократно извиняюсь)) все по той самой неопытности, сегодня с утра меня осенило) Ведь мы не получаем в ответе вашего сервера объект user, и наша система не сидит тупо ожидая post данные, а мы сами запрашиваем объект юзера с сервера по ключу токен. Ключ естественно каждый раз разный и каким либо образом узнать его врядли получится. А на сервере как я понял ответ отдается по сочетанию возвратный урл+токен. Все вопросы сняты.
Ваш способ действительно интересен, ведь Вы обошли регистрацию веб мастеров. Спасибо за сервис!)
voodee, 19.02.2013, 22:16
А без использования редиректа как проверять подлинность данных? Там токенов нет и js функцию можно вызвать самостоятельно.
uLogin Team, 20.02.2013, 09:34
Там есть токен, именно он и передается в js-callback. А контроль за "непредсказуемыми" вызовами (инициированными не uLogin'ом) ложится на плечи разработчика.

Оставить комментарий