Печаль. Надо кодировать урл значит

И раскодировать на принимающей стороне

Ты сейчас get параметры придумал?)

не придумал, а использовать решил

Ну ты только не сам это делай, а модуль используй)

Я flask юзаю

На принимающей стороне

так это вчера была первопарельская шутка с переименованием чата ?

В половине чатов так пошутили

https://docs.python.org/3/library/urllib.parse.html#module-urllib.parse

тоже вариант, но я как-то к фласкам привык, они в себя уже включают парсер реквестов

Я про "кодировать урл"

Urlencode

Интересно, а POST из телеги можно отправить?

может через какие-нибудь инлайн кнопки можно?..

(не знаю)

неа, нельзя

Urlencode

Эээээм, и чо? Оно ж не скрывает содержимое параметров

Только всякие пробелы в %20 кодирует

А как ты собрался скрывать содержимое параметров?)

Ну хотябы в base64

кому надо раскопает ведь)

Да

ну так 64 тоже не скроет

зачем?

Потому надо искать более стойкий шифр, например ассиметричное что-то

в смысле, суть какая, зачем от юзераа скрывать так

Может лучше расскажешь какая у тебя задача

вот

да!

Может у тебя обычные инлайн-кнопки с patload решат задачу хорошо

Что бы юзер не смог по дороге в браузере поменять содержимое параметров

тогда подписывай хешем с солью

а потом проверяй хеш с солью

HMAC хуемое

Пока b64 сделаю, позже буду думать как лучше шифрануть за отдельные деньги =)

бля, везет, за такую хуйню доп. бабла просить

=)

У меня типа почасовой заказ

зачем делать просто b64, когда есть jwt?

не слышал про такое

там и b64 и json и hmac

https://jwt.io нормальная реализация на питоне https://github.com/mpdavis/python-jose

но надо заметить что там шифрования нет, только подпись, которая защищает передаваемые данные от изменений

Я бы по нажатию на inline button генерил на своей стороне длинный случайный токен, связывал бы его с юзером у себя (засовывал нужные параметры, вот это всё) и отдавал ему ссылку типа example.com/my-long-token Когда юзверь бы переходил по ссылке, я бы смотрел соответствие токена, и вытаскивал бы из хранилища соответствующие параметры

Да, годный вариант.

спасибо

Если инлайн кнопка обрабатывается ботом (без урла), то достаточно хранить Dict [user, Dict [buttonkey, buttonvalue ] ]

Если инлайн кнопка обрабатывается ботом (без урла), то достаточно хранить Dict [user, Dict [buttonkey, buttonvalue ] ]

Где хранить? Там же два разных приложения. Одно отправляет линк, другое получает и обрабатывает парамертры запроса.

Если инлайн кнопка обрабатывается ботом (без урла), то достаточно хранить Dict [user, Dict [buttonkey, buttonvalue ] ]

buttonkey и buttonvalue можно заменить через кастомный клиент

buttonkey и buttonvalue можно заменить через кастомный клиент

Value не уходит на клиент

Тогда я что-то не совсем понимаю в терминологии

Можешь в терминологии телеграмовской доки

Где хранить? Там же два разных приложения. Одно отправляет линк, другое получает и обрабатывает парамертры запроса.

Если 2 приложения - вариант не подходит

Тогда я что-то не совсем понимаю в терминологии

Value == что сделать в боте по приходу key Это не привязано к телеграму

Всё, понял

md5('a=1&b=2' + 'supersecurity') # пусть будет afaf0af0a0fa90192102491020000, лень считать http://127.0.0.1:5000/?a=1&b=2&hash=afaf0af0a0fa90192102491020000

так - не?

md5('a=1&b=2' + 'supersecurity') # пусть будет afaf0af0a0fa90192102491020000, лень считать http://127.0.0.1:5000/?a=1&b=2&hash=afaf0af0a0fa90192102491020000

Да, кстати, можно хэш передавать

если изменят a или b, то хеш тоже поменяется

при этом т.к. у тебя в хеше соль, пользователь не сможет перехешировать так, чтобы хеш был правильный с измененными данными

ток не мд5, пажалуста

пащади

ну а на стороне сервера, который получает этот запрос, делаешь соответственно проверку, что пришли 'a=1&b=2', берешь свой 'supersecurity' ключ/соль, сверяешь хеш

я для примера

так-то надо и порядок аргументов учитывать

ток не мд5, пажалуста

Ну вот да, md5 потом не раскодируешь на другой стороне

чтоб не ломалось если поменяют местами

ERROR: S client not available

да зачем раскодировывать-то???

Ну вот да, md5 потом не раскодируешь на другой стороне

так его и не надо раскодировать

тебе надо закодировать то что пришло и сверить, что хэши совпадают

ты будешь пересылать данные прямым текстом

а хеш для того, чтобы убедиться, что данные по пути никто не поменял

Мне надо знать что именно я передал. А в случае с токеном, да, можно не париться.

md5('a=1&b=2' + 'supersecurity') # пусть будет afaf0af0a0fa90192102491020000, лень считать http://127.0.0.1:5000/?a=1&b=2&hash=afaf0af0a0fa90192102491020000

^

перечитай)

бот хранит supersecurity приложение хранит supersecurity бот генерирует ссылку a=1&b=2&hash=md5('a=1&b=2' + 'supersecurity') юзер переходи по ней приложение берет a=1&b=2, делает с ним md5('a=1&b=2' + 'supersecurity') и сверяет с hash

бот хранит supersecurity приложение хранит supersecurity бот генерирует ссылку a=1&b=2&hash=md5('a=1&b=2' + 'supersecurity') юзер переходи по ней приложение берет a=1&b=2, делает с ним md5('a=1&b=2' + 'supersecurity') и сверяет с hash

во, спасибо, а то я наверное непонятно объяснил

в куках ключ передавать, ксорить им на стороне клиента

если хитрый пользователь попытается сделать так: ?a=2&b=1&hash=old_hash

в куках ключ передавать, ксорить им на стороне клиента

какие куки???

то ничего не получится - так как old_hash работает только для одной комбинации параметров

там можно только дать ссылку, по которой юзер перейдет (GET-запросом в браузер, очевидно), и сервер этот запрос получит

я не читал с чего всё началось

То есть чтобы юзверь смог подделать запрос - ему нужно знать как генерируется хэш в нашем случае о способе генерации хэша знает только приложение и бот

я не читал с чего всё началось

сорри :)

это такой hmac для бедных получается

ретяб если я в .gitignore напишу __pycache__/

он будет из всех приложений игнорить этот каталог?

вроде да

проще самому проверить)

да

http://stackoverflow.com/a/14058267

md5('a=1&b=2' + 'supersecurity') # пусть будет afaf0af0a0fa90192102491020000, лень считать http://127.0.0.1:5000/?a=1&b=2&hash=afaf0af0a0fa90192102491020000

собственно, ты изобрел менее безопасный jwt, только там еще есть фичи типа срока действия токена

да

я не изобретал ) я описал на пальцах

но направление мысли верное. если нужно шифровать, в cryptography.io есть симметричный Fernet

я не изобретал ) я описал на пальцах

перепиши на гитхаб, пальцы вытри

перепиши на гитхаб, пальцы вытри

нафига?

пусть остаются отпечаточки