Wpis z mikrobloga

Skopiuj link

 Skopiuj link
marcinzwwa
  • 2
API PHP. Posiadam proste API do bazy MySQL oparte na selectach z atrybutami na subdomenie. Przy zaladowaniu stron, wykonywany jest ajax do api z tokenem. Token to aktualny timestamp z jakims slowem w md5. Niestety istnieja roznice sekundowe pomiedzy zapytaniem ajax i wygenerowaniem tokena, a pomiedzy API i tam tworzeniem tokena. Mireczki jak się do tego zabrać? Wiem, że mogę dać np. przedział 5 sekundowy, ale co np. jeśli komuś będzie się ładować strona 6 sekund lub zapytanie będzie trwało dłużej? #php #api #javascript #ajax #programowanie
  • 24
marcinzwwa
  • 0
@Jurigag: no dobra api key z serwera generowany, ale jak go zgrać z zapytaniem ajaxowym po stronie przeglądarki, żeby dać mu dostęp do tego API? Też musi mieć przecież podać prawidłowy token ( ͡° ʖ̯ ͡°) timestamp po to, żeby ktoś sobie nie skopiował xhra i przekleił i dostał dostęp do API... więc na każdą sekundę (albo 3 np.) jest generowany unique. Nie wiem, może jakieś błędne
larvaexotech
  • 0
Nie no zapytanie generujące token zwraca Ci go po prostu w odpowiedzi i w kodzie javascriptowym zapisujesz sobie w jakiś sposób ten token i przy kolejnych rządaniach używasz go z pamięci.
marcinzwwa
  • 0
@larvaexotech: trochę nie kumam.

Chodzi Ci o to, ze najpierw robie zapytanie do samego skryptu generujacego token (via ajax), zapisuje go sobie i pozniej ten token wysylam do API w kolejnym ajaxem (w .php odpowiadajacym za dzialanie API tez go musze wygenerowac tam zeby porownac), dobrze rozumiem?
Jurigag
  • 1
@marcinzwwa:
1. wykonuejsz zapytanie z autetinifikacją, logowanie, czy cokolwiek do sera
2. serwer zwraca token i sobie go zapisuje na sesji/pamięci czy czymkolwiek
3. kolejne zapytania lecą już z tym tokenem
4. na serwerze sprawdzasz czy masz ten token i tyle
larvaexotech
  • 3
Tzn jeśli mam być szczery to ja Cie już ni #!$%@? nie rozumiem.

1. Robisz sobie akcje /authorize na serwerze, która po podaniu jakiś danych (np. email i hasła) wyciąga z bazy danych odpowiedni wiersz i zapisuje do niego TOKEN. To rządanie /authorize dodatkowo zwraca ten wygenerowany token.

2. Z poziomu JS robisz sobie ajax na /authorize i dostajesz w odpowiedzi token który sobie zachowujesz (np. var token = ... lub do
marcinzwwa
  • 0
@Jurigag: 1. ale takie zapytanie musze zrobic via php, zeby ktokolwiek nie widzial jak pytam serwer o token/autentyfikacje?

4. "Na serwerze sprawdzasz" - czyli tak naprawde sprawdzam czy token, ktory przyszedl jest prawidlowy, czyli tez tak naprawde odpalam funkcje generujaca token i sprawdzam :)?
Jurigag
  • 0
@marcinzwwa: sprawdzasz czy token który przyszedł jest prawidłowy = tj odbyła się wobec niego autentyfikacja oraz czy dla podanej kombinacji uzytkownika i hasła w authentication header np ten token jest zgodny z tym co przechowujesz na serwerze i tyle, nic nie generujesz, w sumie wystarczy sam token przesyłany auth headerem i tyle

jak to via php ? nie rozumiem w czym problem, normalnie ajaxem robisz autentyfikację, wtf
marcinzwwa
  • 0
"odbyła się wobec niego autentyfikacja via ajax" - no wlasnie tu tego wczesniej nie widzialem, poszukam przykladu, bo nie kumam jak mozna wypuscic odkryte zapytanie ktore tez ktos moze sobie niby wygenerowac i dostac sie do API
Jurigag
  • 0
@marcinzwwa: jak to widoczne ? XD to skoro widzisz to weź podejrzyj u mnie xd przecież masz https i nawet nie przejmujesz się w ogóle o czym piszesz bo zanim zostanie wykonany jakiekolwiek pakiet z przeglądarki to jest to wcześniej szyfrowane

po prostu nie rób logowania za pomocą geta XD post/json body i tyle

i nie rozumiem za bardzo nawet co ajax ma tu do rzeczy, przecież nawet normalne logowanie do
marcinzwwa
  • 0
@larvaexotech: ale z tego co mowisz, to beda tak jakby dane tylko dostepne dla mnie. A ja chce wygenerowac token dla kazdego usera, ktory wejdzie na strone zeby mogl sobie odczytac API, ale nie miec do niego dostepu spoza strony (czy podejrzenia jej poprzez przeklikanie XHR-a w nowym tabie np...)

Ktoś wchodzi na stronę -> W tym momencie powinno wyświetlić mu się cała data z API (czyli wygenerowal mu sie token
Jurigag
  • 0
ktory wejdzie na strone


@marcinzwwa: no to w tym momencie dostaje token i tyle, w czym problem ?

zresztą ja nie rozumiem, co za problem widzisz w odczytaniu api ? serio myślisz że jakoś zabezpieczysz warunek że ktoś musi wejść na stronę ? XD o ja ciebie #!$%@?ę, robisz otwarte api do tego co może być otwarte z punktu widzenia security i tyle, to co ma byż zabezpieczone, tj np więcej
marcinzwwa
  • 0
@Jurigag: dobra nie ogarnalem, troche pozno i juz nie tak dziala mozg jak trzeba ( ͡° ͜ʖ ͡°) Tylko jeszcze jedno pytanie, czy autoryzacje ajax i samo zapytanie moge ogarnac w jednym zapytaniu? W sensie najpier ajax.authorize, a dalej robi sie juz ostateczny ajax do bazy danych (success) albo (error) jesli token jest bledny? Czy musze to ograc dwoma zapytaniami?

Aktywne Wpisy

jaroslaw-nitko
#konfederacja #heheszki
nie wiem gdzie to nagrane ale ten "czlowiek" powinien byc leczony psychiatrycznie - i na takie miernoty chca glosowac ludzie? . Normalnie dostal by juz w pysk za niszczenie cudzego mienia ale korzysta pelna geba z immunitetu #polityka

115 odpowiedzi

WeronikaYass
Chciałam się tylko pochwalić nowymi, mega uroczymi paznokciami ()

#paznokcie #manicure #rozowepaski #logikarozowychpaskow
Pobierz
źródło: 20230531_090431

58 odpowiedzi

Aktywne Znaleziska

Pomorskie zamki gotyckie. Wspaniałe, murowane warownie!
90
Radca prawny piratem drogowym. Za nic ma przepisy, uporczywie łamie prawo
193
Duża spółka w tarapatach. "Przyjaciele z państwowych spółek zgotowali nam ten lo
99
Stany Zjednoczone Afryki.
161
Wielka awaria na politechnice. Serwery padły w czasie ćwiczeń Ppoż.
285

Popularne tagi