gkislin Feb 22 2022 at 16:36

Интеграция с amoCRM — паранойя безопасности

3 min

Comments 8

Protos Feb 22 2022 at 21:28

oAuth2 решили доработать - Refresh token протухает после каждого запроса.
На самом деле конечно не все так печально. Нужно просто еще сделать механизм сохранения Refresh token после каждого запроса - накладно, зато супер-безопасно.

Не помню что там в стандарте, но разве так не было всегда?

gkislin Feb 22 2022 at 22:36

Нет. По одному Refresh token вы получаете Access token-ы и только у них есть время жизни.

gkislin Aug 22 2022 at 14:19

Правка - действительно при обновлении access token'a обновляются ОБА (refresh и access) токена. Хорошая ссылка по реализации OAuth2: https://gist.github.com/zmts/802dc9c3510d79fd40f9dc38a12bccfc

Catsys2 Feb 23 2022 at 21:56

Я тоже не так давно возился с интеграцией и меня смутил один момент: для обмена кода на токены нужно отправить в теле ключ и секретный ключ приложения на домен, который пришел в GET параметре. Т.е. я просто пишу логер запросов на своей стороне и передаю свой домен в строке гет с выдуманным кодом и ко мне прилетят все ключи приложения.

gkislin Feb 25 2022 at 12:26

ключ и секретный ключ приложения нужны только для refresh roken
все остальное- это уже извращенная реализация

antirek Apr 6 at 21:01

более того при обмене кода (который получаете при установке) на токен, вы также отправляете и client_id и client_secret, т.е. теоретически если сделать какой-нибудь MitM, то по сути все секретики у тебя будут, чтобы перехватить управление данными от интеграции.

аналогично и при запросе свежего access_token мы передаем client_id, client_secret и refresh_token

логичнее было бы передавать какой-нибудь хеш от refresh_token+cleint_secret, который на своей стороне амо могла также воспроизвести и сравнить воспроизведенный с полученным.

dimult Oct 15 2023 at 10:19

amo = 1c = извращения на ровном месте

antirek Apr 6 at 20:49

механизм не так плох, единственно, что напрягает, что с машины разработчика пока реализуешь нужную функциональность по десять раз потребуется получать свежий access_token

с одной стороны его таки не сложно получить, но все же нужна какая никакая инфраструктура, т.е. сервер, который примет код, и ты его поменяешь на токен

чтобы меньше заморачиваться на это и каждый раз не объяснять тем, кто у нас недавно начал заниматься виджетами под амо, с коллегой записали видео https://www.youtube.com/watch?v=CxQcB5AsyHI может кому сделает жизнь проще и съэкономит время на разборки с пониманием амо

Show the best of all time