主页 / 问题 / 1004227
Accepted
nicolaa
Asked:2020-07-18 17:44:43 +0000 UTC2020-07-18 17:44:43 +0000 UTC

如何在 vk 迷你应用程序中正确保护用户信息

  • 772

了解如何保护用户信息。计划是将每个用户的设置存储在数据库中,当用户进入应用程序时,网站本身会通过 ifram 加载,并且在链接中有一个参数vk_user_id,我想通过它来确定谁进入了应用程序,接受这个参数在服务器上并在数据库中检查并提供设置。问题是,通过页面的源代码,您可以更改 iframe 中的链接,在参数中指定任何其他值vk_user_id,并且已经发送了一个请求,假设另一个用户进入了应用程序,其 id 在 URL 中指示,如何处理?

php

1 个回答

  1. Best Answer

    在文档中找到了问题的解决方案

    原来,除了参数 之外vk_user_id,还传递了另一个参数,sign它在编码中包含了用户 id + 安全密钥(位于应用程序设置中)base64。在服务器端,我们获取用户的 id 和 sign,将受保护的密钥从应用程序设置中保存在一个变量中,将接收到的 id 和现有密钥发送到 base64 中,用符号检查结果。

    现在,通过替换,vk_user_id我们得到fail

        $url = "https://{$_SERVER['HTTP_HOST']}{$_SERVER['REQUEST_URI']}";
    $client_secret = 'ххх'; //Защищённый ключ из настроек вашего приложения

    $query_params = [];
    parse_str(parse_url($url, PHP_URL_QUERY), $query_params); // Получаем query-параметры из URL

    $sign_params = [];
    foreach ($query_params as $name => $value) {
        if (strpos($name, 'vk_') !== 0) { // Получаем только vk параметры из query
          continue;
        }
        $sign_params[$name] = $value;
    }

    ksort($sign_params); // Сортируем массив по ключам
    $sign_params_query = http_build_query($sign_params); // Формируем строку вида "param_name1=value&param_name2=value"
    $sign = rtrim(strtr(base64_encode(hash_hmac('sha256', $sign_params_query, $client_secret, true)), '+/', '-_'), '='); // Получаем хеш-код от строки, используя защищеный ключ приложения. Генерация на основе метода HMAC.

    $status = $sign === $query_params['sign']; // Сравниваем полученную подпись со значением параметра 'sign'

    echo ($status ? 'ok' : 'fail')."\n";
    • 0

相关问题