Буду весьма благодарен, если скажете как.Nick Lisogor писал(а):Api_secret можно и защитить
Безопасность: setUserScore и/или отправка на сервер
-
- Сообщения: 691
- Зарегистрирован: 28 апр 2010, 12:34
Re: Безопасность: setUserScore и/или отправка на сервер
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
Отправка viewer_id и auth_key в php скрипт, сам php выглядит так:
Auth_key и viewer_id Flash приложение получает из Api, т.е. при де компиляции лишь запрос на получение, а ответа нет т.к. приложение не запущено ВКонтакте.
Noise, сорри) увидел твоё сообщение только сейчас), так бы написал раньше
Код: Выделить всё
<?php $app_id = ''; //ID приложения$api_secret = ''; //Защищенный ключ$api_secret_code = ''; //Секретный ключ //Получаем нужные нам данные из API$auth_key = $_POST['auth_key'];$viewer_id = (int)$_POST['viewer_id']; //Обрабатываем переменные, заданные в скрипте и полученный viewer_id$real_key = md5($app_id."_".$viewer_id."_".$api_secret); //Если принятый ключ идентичен обработанному скриптомif ($auth_key == $real_key){ //Возвращаем id приложения и секретный ключ(ид приложения делал для себя т.к. , чем меньше данных в клиенте - тем лучше), также можно добавить в ответ другие нужные переменные echo "<?xml version=\"1.0\" encoding=\"UTF-8\"?>"; echo "<response>"; echo "<api_id_data>".$app_id." </api_id_data>"; echo "<api_code_data>".$api_secret_code." </api_code_data>"; echo "</response>"; } else { //Ну и конечно же для любознательных полазить в исходнике echo "Hacking Attempt!"; exit;}?>
Noise, сорри) увидел твоё сообщение только сейчас), так бы написал раньше
-
- Сообщения: 691
- Зарегистрирован: 28 апр 2010, 12:34
Re: Безопасность: setUserScore и/или отправка на сервер
да, ладно - на то и форум, а не чат))))Nick Lisogor писал(а):увидел твоё сообщение только сейчас), так бы написал раньше
Все это, конечно, хорошо, но опять же не слишком защищает(((
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
тоесть, не слишком?
-
- Сообщения: 691
- Зарегистрирован: 28 апр 2010, 12:34
Re: Безопасность: setUserScore и/или отправка на сервер
Ну ты же сам посылаешь ключ в приложение - стОит прослушать ответ с сервера - и ключ у тебя в кармане...
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
Прослушать с клиента или со стороны php скрипта?
Re: Безопасность: setUserScore и/или отправка на сервер
Посмотри в моем уроке "Рейтинг в приложении на собстенном сервере". Более-мение хорошая защита.
-
- FL Team
- Сообщения: 119
- Зарегистрирован: 12 дек 2010, 14:08
Re: Безопасность: setUserScore и/или отправка на сервер
В вашем уроке api_id и api_secret указываются в клиенте...
Re: Безопасность: setUserScore и/или отправка на сервер
Только при декомпиляции можно будет узнать код. А просто подменить запрос - нет.
-
- Сообщения: 691
- Зарегистрирован: 28 апр 2010, 12:34
Re: Безопасность: setUserScore и/или отправка на сервер
насколько я понял, ты имеешь ввиду своего рода подпись запроса:Doker писал(а):Посмотри в моем уроке "Рейтинг в приложении на собстенном сервере". Более-мение хорошая защита.
Код: Выделить всё
$real_key = md5("$new_score STbfPJfRhj");if ($new_score_sig == $real_key){