Модуль: 4. Разработка
Урок 9. Авторизация запросов к серверу мини-приложения
Главное в уроке
- •
Клиентская часть мини-приложения работает в iframe или WebView и взаимодействует с серверной частью. Авторизация запроса — процедура, которую сервер выполняет для каждого запроса, чтобы убедиться, что он пришёл от доверенного источника.
- •
Для авторизации используются параметры запуска мини-приложения. Вы можете получить их в клиентской части мини-приложения при старте из свойства
window.location.searchили в любое время позже с помощью событияVKWebAppGetLaunchParams. - •
Возможный алгоритм проверки выглядит так:
- •
В клиентской части мини-приложения закодируйте строку с параметрами запуска в base64-формате и включите полученное значение в заголовок запроса, который отправляется на сервер.
- •
При получении запроса сервер извлечёт это значение и вычислит подпись параметров запуска по установленному алгоритму. Затем он сравнит полученное значение с параметром
sign, который является частью переданной строки. Значения должны быть равны. Разница означает возможную подмену данных.
- •
- •
Алгоритм вычисления подписи использует защищённый ключ из настроек мини-приложения, который известен вам, разработчику мини-приложения, и недоступен третьим лицам.
- •
Параметр запуска
vk_tsсодержит информацию о времени создания подписи. Если подпись была сформирована более часа назад, мы рекомендуем не обрабатывать запрос, а запросить новые данные от клиентской части.
Полезные ссылки
- •
- •Серверная часть (исходный код),
cмотрите фрагменты кода по #M4L9. - •
- •
- •
- •
- •
- •
