Comments 9
По-моему, вы не раскрыли тему безопасности. В вашем "примере реализации" бэкэнд возвращает простое true/false, что легко можно заменить на другое значение в любом дебаг-прокси и получить доступ к вебаппу от имени юзера (MITM).
Уверен, что кто-то будет использовать эту статью как туториал, поэтому предостерегаю от тупого копирования. О безопасности действительно надо заботиться, но не так, как предложил автор.
Чувствую, что это тренд 2023.
Спасибо за статью! Хотелось посмотреть на реализацию бота Liot, но он не отвечает.
По-моему, вы не раскрыли тему безопасности. В вашем "примере реализации" бэкэнд возвращает простое true/false, что легко можно заменить на другое значение в любом дебаг-прокси и получить доступ к вебаппу от имени юзера (MITM).
Уверен, что кто-то будет использовать эту статью как туториал, поэтому предостерегаю от тупого копирования. О безопасности действительно надо заботиться, но не так, как предложил автор.
Предложите свой вариант, как лучше сделать?
По-хорошему на фронте не должно выполняться никакой функциональности, которая требует авторизации, а вся функциональность на сервере с авторизацией для каждого запроса. Соответственно нужно передавать при каждом запросе к серверу данные пользователя для проверки, либо реализовать на сервере и использовать авторизацию, например, с использованием jwt-токенов или кук (httpOnly и secure для большей безопасности).
"Относительно недавно" - да уже года 2 как, может и больше. На сайте телеги есть отличная подробнейшая документация, лучше бы ее перевёл. Статья не особо полезная, представления о теме не даёт. И читается тяжело, как будто машинный перевод
Ошибаетесь, впервые web app в ботах были представлены 16 апреля этого года
https://telegram.org/blog/notifications-bots/ru#revolyutsionnie-vozmozhnosti-botov
Напишите пожалуйста, если кто-то найдет способ заставить работать кнопку звонка в таком веб-приложении 🙂
Если что, речь идет об:
<a href="tel:+123456789">Позвонить</a>
Telegram WebApps. Как встроить веб-приложения в чат-бота?