@phpgeeks
Roman17.10.2018
16:00:17
16:00:17
А что тогда проверять?
Evgeniy17.10.2018
16:00:30
16:00:30
тебе запрос будет сервер делать или пользователь из браузера ?
GoogleRoman17.10.2018
16:00:41
16:00:41
Пользователь из бразуера
Evgeniy17.10.2018
16:00:56
16:00:56
надо проверять значит пользователя
Roman17.10.2018
16:01:09
16:01:09
Evgeniy17.10.2018
16:01:33
16:01:33
нет
Roman17.10.2018
16:01:37
16:01:37
А потом, уже при запросе проверять его?
Evgeniy17.10.2018
16:01:39
16:01:39
для каждого пользователя
Roman17.10.2018
16:01:39
16:01:39
Нет?
Evgeniy17.10.2018
16:01:46
16:01:46
запрос идет из браузера
Alex17.10.2018
16:01:47
16:01:47
Туплю, сори
GoogleEvgeniy17.10.2018
16:02:02
16:02:02
спокойно
Алексей17.10.2018
16:02:16
16:02:16
Привет.
Как правильно ограничить доступ к "некому" функционалу моего сайта.
Пользователь добавляет свой сайт (с котогоро будет идти ajax-запрос) в базу данных, и только после этого ему разрешен доступ к функционалу моего сайта.
В каждом запросе проверять $_SERVER['HTTP_REFERER']??? Или есть лучше вариант???
токен генерь... сохрани его как фаил, где нить за пределами wwwEvgeniy17.10.2018
16:02:21
16:02:21
если ты сайты сгенеришь токен
и у пользователя будет этот токен
то я автор другова сайта могу взять этот токен и со своего сайта слать запросы
и ты не отличишь
Алексей17.10.2018
16:02:48
16:02:48
и каждый раз при запросе пытайся открыть фаил с именем токена
Evgeniy17.10.2018
16:03:18
16:03:18
потому что все что в браузере оно публично
Evgeniy17.10.2018
16:03:59
16:03:59
я об этом выше писал
что рефер бред
и надо каждому пользователю выдавать доступ
Алексей17.10.2018
16:04:21
16:04:21
лучше сделать либу, устанавливаемую на хостинг клиента
Evgeniy17.10.2018
16:04:23
16:04:23
единственное что может помочь
Алексей17.10.2018
16:04:46
16:04:46
через нее делать авотризованые запросы
Evgeniy17.10.2018
16:05:12
16:05:12
это сайту выдать секретный токер
он используя секретный токен будет получать публичный временный токен (с временем жизни минут 30)
этот публичный токен будет во фронтенде уже использоваться
GoogleEvgeniy17.10.2018
16:05:16
16:05:16
но это ацкий бред
Алексей17.10.2018
16:05:27
16:05:27
ну... у хостинга постояный белый ип
Evgeniy17.10.2018
16:05:50
16:05:50
Алексей17.10.2018
16:05:55
16:05:55
так что отловить по ип - кто лезит с какого сайта вообще не проблема
Evgeniy17.10.2018
16:06:00
16:06:00
но опять же зная адрес прокси
Evgeniy17.10.2018
16:06:07
16:06:07
автор другова сайта к нему может обрабиться
и получить данные
просто адрес обращения будет другой
Алексей17.10.2018
16:06:41
16:06:41
Evgeniy17.10.2018
16:06:49
16:06:49
в большинстве случаев творят тут хуйню какую то
Алексей17.10.2018
16:07:30
16:07:30
просто адрес обращения будет другой
ну почему... те, кто могут делать запрос будут отлавливаться сайтом клиентаRoman17.10.2018
16:08:27
16:08:27
https://jwt.io/
Evgeniy17.10.2018
16:08:55
16:08:55
тебе это тоже не подойдет
Алексей17.10.2018
16:09:05
16:09:05
Evgeniy17.10.2018
16:09:25
16:09:25
у тебя доступ к твоему апи платный?
GoogleEvgeniy17.10.2018
16:10:32
16:10:32
если он проебал свой токен и положил во фронтенд
а он ушел на другой сайт
это его косяк, тебе похуй, пусть платит
AdminERROR: S client not available
Evgeniy17.10.2018
16:10:54
16:10:54
максимум что можешь сделать обновить токен
а он должен не ajax запросы делать
Evgeniy17.10.2018
16:11:22
16:11:22
а делать свой сервис
Алексей17.10.2018
16:12:04
16:12:04
так как должна быть поверка токен+ip если несколько доступов к апи может быть с одного сервера
Evgeniy17.10.2018
16:12:25
16:12:25
так как должна быть поверка токен+ip если несколько доступов к апи может быть с одного сервера
если один из сайтов на aws и будет менять локацию вот весело с ip будеткаждую неделю менять
Алексей17.10.2018
16:13:04
16:13:04
если один из сайтов на aws и будет менять локацию вот весело с ip будет
его траблы. пусть нормальный хостинг беретRoman17.10.2018
16:13:49
16:13:49
В любом случае, спасибо за помощь!
Буду тестировать разные методы.
Evgeniy17.10.2018
16:13:51
16:13:51
его траблы. пусть нормальный хостинг берет
да нет это твои траблы потому что потерян клиент который готов был платитьEvgeniy17.10.2018
16:14:06
16:14:06
В любом случае, спасибо за помощь!
Буду тестировать разные методы.
подобным образом гугл мапс доступ дают к своему апивыписываешь токен и отдаешь сайту
GoogleEvgeniy17.10.2018
16:14:25
16:14:25
а как он пользует его дело
главное дай возможность сбросить его
генерируй 2 токена, один для использования
второй для сброса первого
Денис17.10.2018
16:15:31
16:15:31
в личном кабинете клиент вводит сайт, получает ключ, скрипт проверяет совпал ли ключ в запросе с реферером и всё
Evgeniy17.10.2018
16:15:39
16:15:39
ну либо пусть к тебе на сайт заходит проходит аутедентификацию и сбрасывает токен
в личном кабинете клиент вводит сайт, получает ключ, скрипт проверяет совпал ли ключ в запросе с реферером и всё
он же пишет что некоторые запросы могут идти с браузерау пользователя может быть noscript или что угодно что чистит реферы
not tracking
Денис17.10.2018
16:16:37
16:16:37
так неважно откуда идут
клиент должен быть предупреждён о порядке, а если хочет и так и этак то пожалуйста вот тебе повыше тариф и хоть с тостера шли запросы
Evgeniy17.10.2018
16:18:36
16:18:36
в большинстве случаев это головники клиента (сайта)
отдал токен и пусть пользует как хочит главное чтобы за запросы платил
Денис17.10.2018
16:19:05
16:19:05
а нерадивых самому вычислять, писать в логи с каких ip и предупреждать клиента
Evgeniy17.10.2018
16:19:09
16:19:09
выложил в паблик пусть сбрасывает его
Денис17.10.2018
16:19:38
16:19:38
либо поставить ограничение на количество запросов опять же по тарифам
Evgeniy17.10.2018
16:19:52
16:19:52
зачем ему на своей стороне этот головняк ?
Открыть в Telegram