r_anisimov Dec 14 2023 at 17:10

Пора делать нормальных телеграм-ботов #2

Easy

4 min

6.4K

Programming*Interfaces*Instant Messaging*Web services testing*

Comments 21

sshmakov Dec 14 2023 at 17:41

Кнопки стоит удалять из сообщения после их нажатия, оставлять только актуальные, заодно и чат будет аккуратнее выглядеть.

r_anisimov Dec 14 2023 at 17:47

Поясните, пожалуйста, что имеете в виду.

sshmakov Dec 14 2023 at 17:54

Когда человек нажал какую-то кнопку под сообщением, то надо все кнопки под этим сообщением скрыть (если, конечно, вы не хотите их оставлять для чего-то). Телега сама кнопки не скрывает, это делается ботом через апдейт сообщения.

Если в чат отправляется сообщение с новыми кнопками, к примеру, как на вашем экране с двумя start, то стоит почистить кнопки у предыдущих сообщений.

r_anisimov Dec 14 2023 at 18:02

Если отправлена команда, чтобы найти предыдущее сообщение с кнопками, нужно хранить его ID в базе. Неэффективно. Плюс само сообщение без кнопок будет выглядеть неполноценно, что портит интерфейс.

pavelmakis Dec 15 2023 at 11:13

Не нужно ничего хранить. После нажатия кнопки пользователем, можно вызвать метод очистки клавиатуры этого же сообщения, если она дальше не нужна

r_anisimov Dec 15 2023 at 11:15

Подождите. А зачем скрывать кнопки и отправлять новое сообщение? Это решение ещё хуже, так остаётся висячее сообщение. Кнопки должны обновляться, никак иначе. Либо я не понимаю, о чём речь.

pavelmakis Dec 15 2023 at 11:57

Речь была про ситуацию когда кнопки не нужны, но они остались после использования. Чтобы они не "висели" ненужными их лучше убирать. Понятно что обновлять их лучше чем слать новое сообщение.

r_anisimov Dec 15 2023 at 12:02

В статье я описал повторное сообщение после отправки команды. Так предыдущее сообщение не узнать, не сохранив ID.

pae174 Dec 14 2023 at 18:23

Так как при установке вебхука вы используете прямую ссылку на скрипт, это значит, что кто угодно может отправить любой запрос вашему боту, если ссылка будет скомпрометирована.

Там разве нельзя отсеять посторонних по IP адресам серверов Телеграма?

r_anisimov Dec 14 2023 at 22:00

Не знаю. А телеграм не использует прокси CloudFlare или типа того? У них нет вроде списка адресов.

beatleboy Dec 14 2023 at 22:47

У метода setWebhook есть поле secret_token. Для безопасности можно например раз в сутки менять секретный токен.
Также адрес для обработки вебхука у вас должен быть не простым, с каким нибудь хэшом в url (его тоже можно периодически менять)

Ну и адреса подсетей телеги тоже известны:

Accepts incoming POSTs from subnets 149.154.160.0/20 and 91.108.4.0/22 on port 443, 80, 88, or 8443.

r_anisimov Dec 15 2023 at 00:06

Про адреса не знал. Не изучал вопрос настолько глубоко, ибо не нужно. Про секретный токен напишу в следующей статье. Во всяком случае, суть в том, что почти никому не требуется настолько тщательная защита от внедрения.

pavelmakis Dec 15 2023 at 12:00

Удивительно, как вы затрагиваете тему безопасности вебхуков, про токен не упомянули, а про адреса вовсе не знали, потому что "ибо не нужно". Вы уверены что стоит продолжать составлять подобные "правила" хороших телеграмм ботов? Может вы не обладаете достаточными компетенциями?

r_anisimov Dec 15 2023 at 12:05

Уверен. Если бы телеграм-боты были нормальными, а не вырвиглазными и плохо работающими, статьи бы не понадобились. Изначально я пишу про хорошее проектирование, а не безопасность, поэтому она упомянута вскользь.

needsomedata Dec 15 2023 at 13:32

Вообще уже есть отличные конструкторы скриптовых ботов, чем они плохи?

r_anisimov Dec 15 2023 at 14:39

Не знаю, не пользовался.

pae174 Dec 15 2023 at 00:04

У CloudFlare как раз есть список IP адресов. Кроме того там есть ещё и authenticated origin pull, защищающий от MITM между CF и вашим сервером.

Как уже выше прокомментировали, IP телеграма известны, а значит их просто можно забить в фаерволл и не париться по поводу посторонних запросов. Остается только возможность атаки со спуфингом IP, для предотвращения которой у CF есть authenticated origin pull а у телеграма ничего нет, но эта вероятность реально остается только у спецслужб или чего-то такого.

MansikM Dec 17 2023 at 22:59

Выглядит так, будто вы выкатываете в продакт код, который не протестили. Все эти косяки, если они для вас действительно значимы, вылезают при первом же прогоне на тесте. Вы разве не смотрите, что получилось на выходе? И не заметите, что кнопки не пропали после нажатия и мешают? Это относится ко всем описанным пунктам. Странно, что наличие этих косяков (фич) может быть для программиста неожиданностью. Типа, прочитал статью и задумался "ёк, макарёк, у меня же так же наверное", странно.

r_anisimov Dec 17 2023 at 23:01

Поясните, пожалуйста, что вы имеете в виду?

MansikM Dec 17 2023 at 23:20

Я имею в виду ровно то, что написал. Если Вы после написания кода все качественно прогнали на тесте, то для вас не будет удивлением, что кнопки не пропали, что имеются проблемы с кодировкой, что есть ограничения в количестве символов и т.д. А если у Вас всё же вызывает удивление, как работает написанный Вами код, то просто стоит больше уделить времени тестированию кода перед деплоем.

Я просто читаю это все, и не пойму, как так вышло, что ваш код выводит сообщение с кнопками, но вы не знали о том, что они не пропадут после нажатия? Как так вышло, что сообщение в телеге вы видите без тегов, а на сервере появились теги, и никто об этом не в курсе, прочитали статью и озарились.

Меня удивила сама статья, "Ребята, вы пишите ботов, а вы знали, что кнопки не пропадут, если на них нажать? И что кнопки пропадут, если удалить сообщение? Давайте писать нормальных ботов!"

Извините, никаких притензий, просто не понял, что происходит. Можно написать код, задеплоить его, и не знать, что будет работать так?

r_anisimov Dec 17 2023 at 23:43

Не совсем понимаю, о чём речь, извините.