These are chat archives for dru-io/Drupal

1st
Apr 2016
mar4ehk0
@mar4ehk0
Apr 01 2016 11:18
Привет. Пишу костомное API, используется https. передаю параметры и я так понимаю нужен какой нибудь токен(hash, secret, etc) для верификации запросов. Как лучше генировать этот токен? или не париться ввести просто какое нибудь hash от md5(), ведь перехватить https невозможно( верно мыслю?)
boolboost
@boolboost
Apr 01 2016 11:22
Перехватить можно разшифровать сложно
Авторизация по токену нужна
В целом думаю можно как угодно шифровать
Как и md5
mar4ehk0
@mar4ehk0
Apr 01 2016 11:23
ок. как генировать этот токен?
boolboost
@boolboost
Apr 01 2016 11:24
Это нз))
mar4ehk0
@mar4ehk0
Apr 01 2016 11:24
для каждого запроса нужен своей уникальный токен?
boolboost
@boolboost
Apr 01 2016 11:24
Я генерил всегда от времени
  • соль
Делал один
Вот смотри
Можно ещё плюс пасс делать
Тогда будет использоваться как пароль
И можно распознать пользователя
mar4ehk0
@mar4ehk0
Apr 01 2016 11:26
хм.... так где пример?
куда смотреть ?
boolboost
@boolboost
Apr 01 2016 11:27
md5($id_user . $pass . time() . $token)
Вот так
Но time наверное тогда выкинуть лучше
mar4ehk0
@mar4ehk0
Apr 01 2016 11:28
а как на обратной стороне узнавал время?
boolboost
@boolboost
Apr 01 2016 11:28
Ну тут либо делать метод авторизации
Что бы он json со временем отдавал
И сохранить куда нибудь
Или не добавлять время
mar4ehk0
@mar4ehk0
Apr 01 2016 11:30
погоди. что значит метод авторизации? что ты под этим подразумеваешь?
boolboost
@boolboost
Apr 01 2016 11:30
В принципе соли должно хватить
rest/auth?логин пасс или логин токен
Который будет давать уникальный токен
mar4ehk0
@mar4ehk0
Apr 01 2016 11:31
а. ок. спасибо тебе.
boolboost
@boolboost
Apr 01 2016 11:32
В принципе платёжные системы так же делают
Только без времени)
mar4ehk0
@mar4ehk0
Apr 01 2016 11:32
они по полю amount )
boolboost
@boolboost
Apr 01 2016 11:35
Ну всё что можешь уникальное добавляй
Хотя я всё сказал
Alexandr.Poddubsky
@AlexandrPoddubsky
Apr 01 2016 11:36
drupal_hash_base64
boolboost
@boolboost
Apr 01 2016 11:41
Ну да это помощнее будет
Ivan
@Punk-UnDeaD
Apr 01 2016 14:05
а у вас вся спина белая

md5($id_user . $pass . time() . $token)

нужен публичный сервис для синхронизации времени и допуск лага минимум секунд на 5 в таком случае

boolboost
@boolboost
Apr 01 2016 15:41
Не не обязательно синхронить
Но если синхронить тогда да))
Ivan
@Punk-UnDeaD
Apr 01 2016 16:03
синхронить надо, нет гарантии, что часы и у тебя и на сервере нормально выставлены
boolboost
@boolboost
Apr 01 2016 16:07
Я просто тут имел ввиду узать time только на сервере
Ivan
@Punk-UnDeaD
Apr 01 2016 16:07
ну важно запомнить разницу
себе время ставить не следует
boolboost
@boolboost
Apr 01 2016 16:07
Чисто ради уникального токена
По поводу разницы https похоже это делает
Alan Bondarchuk
@fortis
Apr 01 2016 19:47
drupal_random_key() можно
если хранишь)