Comments 31
Нравится мне за это Дуров, за его попытки(вконтакте.деньги) и за вот такие вот успехи. Постоянно улучшается систему и пытается её повсеместно внедрить.
Авторизация через вконтакте действительно удобная вещь, где не нужна анонимность…
Авторизация через вконтакте действительно удобная вещь, где не нужна анонимность…
+1
А что такое _CLIENT_SECRET_, откуда он берётся?
+1
UFO just landed and posted this here
В прошлых постах аналогичная тенденция, 3 x рейтинг ~ количество добавивших в избранное.
+1
КО внутри меня рвется рассказать про карму и возможность/невозможность плюсовать топики.
но я ему не разрешаю — вдруг, в избранное тоже нельзя с маленькой кармой добавлять…
но я ему не разрешаю — вдруг, в избранное тоже нельзя с маленькой кармой добавлять…
+1
Статья хорошая, только вот не понятно, какой процент пользователей, прежде чем вводить парол, посмотрят на url popup'а?
0
А при чём тут php 5.4? json_decode('{«a»:1}')->a прекрасно работает и в php 5.3.
0
Подозреваю, что полученный access_token действует в течение суток и можно обойтись без code. Я прав?
0
Вопрос немного не в тему: а куда ловить code или access token в standalone? Для расширенных методов я не могу использовать redirect_uri, окно редиректом уходит на blank.html, но так случилось, что я все это пытаюсь собрать на titanium, где для desktop-приложении нет компонента WebView, поэтому ни контента окна ни урлы после редиректа (с параметрами) я отловить не могу. Можно ли как-либо это сделать тем же file_get_contents после того, как пользователь авторизовался? Или я рою не туда. Спасибо заранее.
0
Решил проникнуться атмосферой OAuth 2.0 и посмотрел как он реализован у разных сервисов. Когда изучал документацию Mail.ru, обратил внимание на примечание по безопасности внизу страницы. Решил попробовать проделать подобное на своем сайте через «ВКонтакте». В результате мой UID-контакта привязался к профилю другого пользователя («жертвы»).
Посмотрел документацию для FaceBook, там описан пример и используется параметр «state», в котором передается ключ (сессия пользователя). Потом посмотрел проект спецификации OAuth 2.0 и в ней параметр «state» тоже предусматривается.
Затем я решил воспользоваться этим параметром и для «ВКонтакте», однако сервер проигнорировал его и вернул ответ без него. Предложенный Mail.ru вариант уникального «request_uri» кажется мне не очень удобным. Может быть есть какие-то еще предложения?
P.S. Думаю, что если спецификация будет окончательно утверждена, то все-таки получится что-то удобное, но пока очень много расхождений в реализации OAuth 2.0 у разных сервисов.
Посмотрел документацию для FaceBook, там описан пример и используется параметр «state», в котором передается ключ (сессия пользователя). Потом посмотрел проект спецификации OAuth 2.0 и в ней параметр «state» тоже предусматривается.
Затем я решил воспользоваться этим параметром и для «ВКонтакте», однако сервер проигнорировал его и вернул ответ без него. Предложенный Mail.ru вариант уникального «request_uri» кажется мне не очень удобным. Может быть есть какие-то еще предложения?
P.S. Думаю, что если спецификация будет окончательно утверждена, то все-таки получится что-то удобное, но пока очень много расхождений в реализации OAuth 2.0 у разных сервисов.
+1
Ценное замечание, странно, что в документации ВКонтакте об этом не было упоминания. Но я бы не стал это считать настолько большой проблемой, по сути пользователь, перешедший по ссылке от злоумышленника, создаст аккаунт vk-id-злоумышленника, а фото и отображаемое имя будет жертвы, причем при следующем заходе жертвы на сайт через авторизацию от этой соц.сети нормальный порядок вещей будет восставлен. Аналогичные действия (создание фейкового аккаунта) можно сделать поменяв фотографию и имя/фамилию и войдя на сайт.
0
Я думаю что все чуть хуже, т.к. uid-vk-злоумышленника будет привязан к аккаунту жертвы в базе сайта (в моем случае мне нужна своя база юзеров). И когда злоумышленник зайдет на сайт «войти через ВКонтакте», то сайт достанет по полученному vk-uid аккаунт жертвы. Таким образом, злоумышленник будет авторизован под видом жертвы. Кажется так.
0
Нет, когда злоумышленник Иванов, после того как пользователь Петров зарегистрировался по его ссылке, попытается войти, щелкнув «Войти через ВКонтакте», то ему как и всем откроется окошко «разрешить — отказать», и code он получит свой собственный, и access_token для себя, и данные в уже созданном аккаунте (vk-id-Иванова) обновятся: в качестве отображаемого имени там стояло Петров и фотография была Петрова, а после этого станет Иванов и фотография Иванова.
Как я уже говорил — пользователь из социальных сетей не может узнать свой пароль на моем сайте, не может изменить его или восстановить, поэтому для злоумышленника в используемой у меня схеме авторизации из данной уязвимости выжать получится мало что.
Как я уже говорил — пользователь из социальных сетей не может узнать свой пароль на моем сайте, не может изменить его или восстановить, поэтому для злоумышленника в используемой у меня схеме авторизации из данной уязвимости выжать получится мало что.
0
Привет. Может мне здесь кто-нибудь ответит.
Вконтакте можно создавать нативные приложения, stand alone приложения и привязывать сайты.
Мне, вообще, просто нужна oauth аутентификация через вконтакт.
Штука в том, что при попытке аутентификации приложения вконтакт выплевывает
{«error»:«invalid_request»,«error_description»:«OAuth authorization cannot be used from native VK applications»}
А у stand alone приложений и сайтов просто нету client_secret. Просто его негде взять.
Помогите тупому, а?
Вконтакте можно создавать нативные приложения, stand alone приложения и привязывать сайты.
Мне, вообще, просто нужна oauth аутентификация через вконтакт.
Штука в том, что при попытке аутентификации приложения вконтакт выплевывает
{«error»:«invalid_request»,«error_description»:«OAuth authorization cannot be used from native VK applications»}
А у stand alone приложений и сайтов просто нету client_secret. Просто его негде взять.
Помогите тупому, а?
0
имхо — читайте последний ответ — flapps.ru/forum/topic3054.html
0
«Получение доступа к Вконтакте» — нафига всплывает это окно и как его отключить? На durov.at оно не всплывает. Через АПИ без всяких окон можно получить все что надо с публичной страницы пользователя без задавания ему этих вопросов.
0
$response не приходит. Не подскажите с чем это может быть связано. все параметры вроде указал…
0
Sign up to leave a comment.
Авторизация через ВКонтакте, Mail.ru и другие — 3 (ВКонтакте и OAuth)