Wpis z mikrobloga

Skopiuj link

19.09.2016, 22:01:01

API PHP. Posiadam proste API do bazy MySQL oparte na selectach z atrybutami na subdomenie. Przy zaladowaniu stron, wykonywany jest ajax do api z tokenem. Token to aktualny timestamp z jakims slowem w md5. Niestety istnieja roznice sekundowe pomiedzy zapytaniem ajax i wygenerowaniem tokena, a pomiedzy API i tam tworzeniem tokena. Mireczki jak się do tego zabrać? Wiem, że mogę dać np. przedział 5 sekundowy, ale co np. jeśli komuś będzie się ładować strona 6 sekund lub zapytanie będzie trwało dłużej? #php #api #javascript #ajax #programowanie

Jurigag

19.09.2016, 23:06:46

@marcinzwwa: wtf ? api key po prostu z serwera i tyle, a nie jakiś timestamp xD tak jak robisz auth do api i dostajesz klucz api i tyle, ewentualnie wtedy mozesz sobie jeszcze dorzucic token csrf ale wg mnie w api bez sensu

marcinzwwa

19.09.2016, 23:10:00

@Jurigag: no dobra api key z serwera generowany, ale jak go zgrać z zapytaniem ajaxowym po stronie przeglądarki, żeby dać mu dostęp do tego API? Też musi mieć przecież podać prawidłowy token ( ͡° ʖ̯ ͡°) timestamp po to, żeby ktoś sobie nie skopiował xhra i przekleił i dostał dostęp do API... więc na każdą sekundę (albo 3 np.) jest generowany unique. Nie wiem, może jakieś

Jurigag

19.09.2016, 23:12:25

@marcinzwwa: login i hasło ? auth header ? oauth ? jwt ?

więc na każdą sekundę (albo 3 np.) jest generowany unique

@marcinzwwa: to jest błędne podejście

larvaexotech

19.09.2016, 23:15:47

@marcinzwwa: po prostu zrób sobie aukcje autoryzacyjną która wygeneruje na serwerze token dostępowy z ważnością X czasu a przy zapytaniach wymagających autoryzacji przekazuj ten token np jako GET, POST, w nagłówku, jako ścieżka uri itp itd.

marcinzwwa

19.09.2016, 23:20:40

@Jurigag: no logowanie i haslo to srednia opcja
@larvaexotech: to jest dobry pomysl. tylko kwestia jest jedna. wygeneruje sobie ten token na serwerze z dostepem 180 sekund. Teraz kwestia webu, robie zapytanie ajaxowe no i tam do zapytania url api http://api.example.com/main_table?parametr1=abc&token=??? tutaj musze wygenerowac tez ten token, zeby ajax przeszedl i wyswietlil content.

larvaexotech

19.09.2016, 23:22:23

Nie no zapytanie generujące token zwraca Ci go po prostu w odpowiedzi i w kodzie javascriptowym zapisujesz sobie w jakiś sposób ten token i przy kolejnych rządaniach używasz go z pamięci.

Jurigag

19.09.2016, 23:22:34

@marcinzwwa: nie, token dostajesz z serwera po autoryzacji, top kek, czemu login i hasło to średnia opcja ?

marcinzwwa

19.09.2016, 23:26:20

@larvaexotech: trochę nie kumam.

Chodzi Ci o to, ze najpierw robie zapytanie do samego skryptu generujacego token (via ajax), zapisuje go sobie i pozniej ten token wysylam do API w kolejnym ajaxem (w .php odpowiadajacym za dzialanie API tez go musze wygenerowac tam zeby porownac), dobrze rozumiem?

Jurigag

19.09.2016, 23:28:21

@marcinzwwa:
1. wykonuejsz zapytanie z autetinifikacją, logowanie, czy cokolwiek do sera
2. serwer zwraca token i sobie go zapisuje na sesji/pamięci czy czymkolwiek
3. kolejne zapytania lecą już z tym tokenem
4. na serwerze sprawdzasz czy masz ten token i tyle

larvaexotech

19.09.2016, 23:31:09

Treść przeznaczona dla osób powyżej 18 roku życia...

marcinzwwa

19.09.2016, 23:31:20

@Jurigag: 1. ale takie zapytanie musze zrobic via php, zeby ktokolwiek nie widzial jak pytam serwer o token/autentyfikacje?

4. "Na serwerze sprawdzasz" - czyli tak naprawde sprawdzam czy token, ktory przyszedl jest prawidlowy, czyli tez tak naprawde odpalam funkcje generujaca token i sprawdzam :)?

Jurigag

19.09.2016, 23:34:15

@marcinzwwa: sprawdzasz czy token który przyszedł jest prawidłowy = tj odbyła się wobec niego autentyfikacja oraz czy dla podanej kombinacji uzytkownika i hasła w authentication header np ten token jest zgodny z tym co przechowujesz na serwerze i tyle, nic nie generujesz, w sumie wystarczy sam token przesyłany auth headerem i tyle

jak to via php ? nie rozumiem w czym problem, normalnie ajaxem robisz autentyfikację, wtf

marcinzwwa

19.09.2016, 23:36:12

"odbyła się wobec niego autentyfikacja via ajax" - no wlasnie tu tego wczesniej nie widzialem, poszukam przykladu, bo nie kumam jak mozna wypuscic odkryte zapytanie ktore tez ktos moze sobie niby wygenerowac i dostac sie do API

Jurigag

19.09.2016, 23:37:03

@marcinzwwa: jak wygenerować ? XD a to będzie znał login i hasło ? XD

marcinzwwa

19.09.2016, 23:39:20

@Jurigag: no nie, ale przeciez user+pass bedzie widoczne w zapytaniu ajaxowym :D?

Jurigag

19.09.2016, 23:40:05

Treść przeznaczona dla osób powyżej 18 roku życia...

marcinzwwa

19.09.2016, 23:43:47

@larvaexotech: ale z tego co mowisz, to beda tak jakby dane tylko dostepne dla mnie. A ja chce wygenerowac token dla kazdego usera, ktory wejdzie na strone zeby mogl sobie odczytac API, ale nie miec do niego dostepu spoza strony (czy podejrzenia jej poprzez przeklikanie XHR-a w nowym tabie np...)

Ktoś wchodzi na stronę -> W tym momencie powinno wyświetlić mu się cała data z API (czyli wygenerowal mu sie

Jurigag

19.09.2016, 23:45:42

ktory wejdzie na strone

@marcinzwwa: no to w tym momencie dostaje token i tyle, w czym problem ?

zresztą ja nie rozumiem, co za problem widzisz w odczytaniu api ? serio myślisz że jakoś zabezpieczysz warunek że ktoś musi wejść na stronę ? XD o ja ciebie p------ę, robisz otwarte api do tego co może być otwarte z punktu widzenia security i tyle, to co ma byż zabezpieczone, tj np

larvaexotech

19.09.2016, 23:47:51

@marcinzwwa: To wtedy pkt 2 z mojej listy zamknij w $(document).ready(...) ( ͡° ͜ʖ ͡°)

marcinzwwa

19.09.2016, 23:47:57

@Jurigag: dobra nie ogarnalem, troche pozno i juz nie tak dziala mozg jak trzeba ( ͡° ͜ʖ ͡°) Tylko jeszcze jedno pytanie, czy autoryzacje ajax i samo zapytanie moge ogarnac w jednym zapytaniu? W sensie najpier ajax.authorize, a dalej robi sie juz ostateczny ajax do bazy danych (success) albo (error) jesli token jest bledny? Czy musze to ograc dwoma zapytaniami?

Aktywne Wpisy

Bogactwo_czesc_glowna

Bogactwo_czesc_glowna +454

4 godz. i 23 min temu

Aż nie wiem jak to otagować. Linkedin właśnie wszedł na nowy, absurdalny poziom

#linkedin #patologiazmiasta #heheszki #korposwiat

Bogactwoczescglowna - Aż nie wiem jak to otagować. Linkedin właśnie wszedł na nowy, a... — **źródło:** obraz_2025-12-16_114445852
Pobierz

kukold

kukold +23

3 godz. i 16 min temu

15 lat doświadczenia w IT. Java, React, SQL, Kubernetes, cloud infrastructure, cyber security. Systemy o dużej skali, odpowiedzialność za krytyczne komponenty, lata ciągłej nauki i pracy.

I dziś, z pełną świadomością, mogę powiedzieć jedno: to był błąd życiowy.

Programowanie w 2025 roku nie jest zawodem. Jest zajęciem technicznym bez statusu, bez prestiżu i bez jakiegokolwiek realnego umocowania społecznego. Nieważne, ile lat w tym siedzisz, ile technologii znasz, ile systemów postawiłeś od zera. Dla świata

Aktywne Wpisy

Aktywne Znaleziska

Lex deweloper na Kabatach. Radni krytykują projekt po Tesco. "To żart?"

Notariusze zwalniają pracowników i zamykają kancelarie

Misiek z Nadarzyna i czterech innych zatrzymanych. W tle nieruchomość za 12 mln

Pijany prokurator próbował uciec z miejsca kolizji. Ma jednak więcej na sumieniu

Krynica-Zdrój: Każda pomoc jest dla mnie bezcenna - Beata Plata walczy z ...

Popularne tagi