#веб_программирование #авторизация #vkontakte_api #facebook_api
Доброго времени суток! Я не собираюсь заниматься разработкой %сабж%. Мне интересен сам принцип, который заложен в авторизации пользователя на различных форумах (в том числе сомнительного происхождения) при помощи новых "модных" возможностей, используя красивые кнопки, на подобие: "ВКонтакте", "Фэйсбук" и прочих соц.сетей. Как я понимаю, с точки зрения пользователя, я смогу зайти без авторизации на любой форум при помощи этой кнопки, если на текущей машине, с текущего браузера, я до сих пор авторизован в соответствующей сети? Владелиц форума имеет какой либо доступ к той соц.сети, при помощи которой я авторизовался? может ли он использовать мой аккаунт в соц.сети для своих каких либо корыстных целей? PS: Будет полезно, если будут прямые ссылки на техническую документацию или описание данной возможности авторизации к вашим ответам/комментариям. Сильно умно не пишите, не силен я в web разработке и всяких там систем авторизаций...Мне бы как-нибудь по-простому :-) Очередной раз заранее вас благодарю за ваши ответы.
Ответы
Ответ 1
По-простому: форум доверяет ВКонтакту (кто же не знает ВК!). Приходит на форум юзер, говорит, «Я Вася из ВК», форум сам напрямую бежит к ВК и уточняет, «ВК, это точно Вася?», ВК подтверждает, «да, это Вася из ВК». При этом про Васю ВК лишней инф-ии не раскрывает. Даже email не даёт - только имя-фамилию, id и ссылку на картинку с физиономией. Другие соц. сети, или, например, Google, светят email человека. В таком варианте злоупотреблений быть не может. Чтобы форум мог нагадить человеку, нужно дополнительно запросить каких-то прав, разрешений, установить приложение и т.п. ВК не дурак, и об этом подробно напишет: "Приложение такое-то запрашивает доступ к вашим ключам от квартиры и кошельку - дать?". От дурака особо не защитить, конечно, но если люди голову не выключали, то злоупотреблений не произойдёт.Ответ 2
Ну обычно схемы работают достаточно просто - форум запрашивает у сервера соц сети форму авторизации (редирект с токеном), пользователь авторизуется у на сервере соц сети, соц сеть отдаёт новый токен форуму. По этому токену он может спросить у сервера соц сети авторизован ли пользователь, его имя ну и прочиее данные которые разрешены пользователем соц сети. общая схема примерно такая. Возможности использовать в корыстных целях нету, только если есть бреши у соц сети. На уровне апи такой возможности естественно не предусматривают.
Комментариев нет:
Отправить комментарий