Wpis z mikrobloga

@DrDevil: jak strona wykopu wali oba klucze do auth?

@DrDevil: może to hash?

@DrDevil: a jaki problem z tym, że wali oba klucze do auth jak to po tls idzie?

@DrDevil: no to nie strona wykopu do czegoś wali tylko twoja przeglądarka po TLS przesyła dane, to jak nie kryje sie z tym?

@DrDevil: nie wiem nie mam dostępu do docsów bo trzeba wysłać prośbe do michała, nie wiem do czego służy ten endpoint i co oznaczają te dwa parametry, może je tak nazwali dla beki

Czy ten "secret" jest faktycznie taki secret, że nie powinien być nikomu przekazywany?

@DrDevil: tak.
Nie sugeruj się tym jak jest na stronie wykopu, tam to działa trochę inaczej niż API

@DrDevil: przed kim chcesz chronić ten secretkey? Zarówno w api v1 jak i w api v2 key i secret były normalnie zaszyte w aplikacji i nic się nie działo. Sam wyciągałem te klucze oficjalnej apki aby obejść limity swojego klucza xD
Co innego userkey, który dostaje użytkownik po zalogowaniu się na swoje konto. Userkey powinien być przechowywany w bezpiecznym miejscu tylko na urządzeniu użytkownika bo to dzięki niemu można wykonywaćPokaż całość

@DrDevil jak logujesz użytkownika to żeby uzyskać jwt albo session cookie wysyłasz na endpoint login i hasło w formularzu oczywiście po tls. działa to tak samo w aplikacji desktopowej. jeśli chcesz zaoferować użytkownikowi zapamiętanie hasła to możesz użyć store który oferuje system pod który piszesz aplikacje.
jeśli potrzebujesz wysłać secret key który był przypisany do twojej konkretnej aplikacji to jest dziwne nazewnictwo ze strony API wykopu bo w takim razie niePokaż całość

No dobra, to mam w takim razie drugie pytanie: co w przypadku, gdy piszę aplikację typowo desktopową i muszę jakoś zalogować użytkownika?

@DrDevil: to zalezy,
sa tak jakby dwa modele.
1. Cala aplikacja dziala na jednym "aplikacyjnym" uzytkowniku
2. Kazdu uzytkownik aplikacji loguje siePokaż całość