These are chat archives for dru-io/Drupal

1st
Apr 2016
mar4ehk0
@mar4ehk0
Apr 01 2016 11:18 UTC
Привет. Пишу костомное API, используется https. передаю параметры и я так понимаю нужен какой нибудь токен(hash, secret, etc) для верификации запросов. Как лучше генировать этот токен? или не париться ввести просто какое нибудь hash от md5(), ведь перехватить https невозможно( верно мыслю?)
boolboost
@boolboost
Apr 01 2016 11:22 UTC
Перехватить можно разшифровать сложно
Авторизация по токену нужна
В целом думаю можно как угодно шифровать
Как и md5
mar4ehk0
@mar4ehk0
Apr 01 2016 11:23 UTC
ок. как генировать этот токен?
boolboost
@boolboost
Apr 01 2016 11:24 UTC
Это нз))
mar4ehk0
@mar4ehk0
Apr 01 2016 11:24 UTC
для каждого запроса нужен своей уникальный токен?
boolboost
@boolboost
Apr 01 2016 11:24 UTC
Я генерил всегда от времени
  • соль
Делал один
Вот смотри
Можно ещё плюс пасс делать
Тогда будет использоваться как пароль
И можно распознать пользователя
mar4ehk0
@mar4ehk0
Apr 01 2016 11:26 UTC
хм.... так где пример?
куда смотреть ?
boolboost
@boolboost
Apr 01 2016 11:27 UTC
md5($id_user . $pass . time() . $token)
Вот так
Но time наверное тогда выкинуть лучше
mar4ehk0
@mar4ehk0
Apr 01 2016 11:28 UTC
а как на обратной стороне узнавал время?
boolboost
@boolboost
Apr 01 2016 11:28 UTC
Ну тут либо делать метод авторизации
Что бы он json со временем отдавал
И сохранить куда нибудь
Или не добавлять время
mar4ehk0
@mar4ehk0
Apr 01 2016 11:30 UTC
погоди. что значит метод авторизации? что ты под этим подразумеваешь?
boolboost
@boolboost
Apr 01 2016 11:30 UTC
В принципе соли должно хватить
rest/auth?логин пасс или логин токен
Который будет давать уникальный токен
mar4ehk0
@mar4ehk0
Apr 01 2016 11:31 UTC
а. ок. спасибо тебе.
boolboost
@boolboost
Apr 01 2016 11:32 UTC
В принципе платёжные системы так же делают
Только без времени)
mar4ehk0
@mar4ehk0
Apr 01 2016 11:32 UTC
они по полю amount )
boolboost
@boolboost
Apr 01 2016 11:35 UTC
Ну всё что можешь уникальное добавляй
Хотя я всё сказал
Alexandr.Poddubsky
@AlexandrPoddubsky
Apr 01 2016 11:36 UTC
drupal_hash_base64
boolboost
@boolboost
Apr 01 2016 11:41 UTC
Ну да это помощнее будет
Ivan
@Punk-UnDeaD
Apr 01 2016 14:05 UTC
а у вас вся спина белая

md5($id_user . $pass . time() . $token)

нужен публичный сервис для синхронизации времени и допуск лага минимум секунд на 5 в таком случае

boolboost
@boolboost
Apr 01 2016 15:41 UTC
Не не обязательно синхронить
Но если синхронить тогда да))
Ivan
@Punk-UnDeaD
Apr 01 2016 16:03 UTC
синхронить надо, нет гарантии, что часы и у тебя и на сервере нормально выставлены
boolboost
@boolboost
Apr 01 2016 16:07 UTC
Я просто тут имел ввиду узать time только на сервере
Ivan
@Punk-UnDeaD
Apr 01 2016 16:07 UTC
ну важно запомнить разницу
себе время ставить не следует
boolboost
@boolboost
Apr 01 2016 16:07 UTC
Чисто ради уникального токена
По поводу разницы https похоже это делает
Alan Bondarchuk
@fortis
Apr 01 2016 19:47 UTC
drupal_random_key() можно
если хранишь)