?

Log in

No account? Create an account
 
 
09 November 2009 @ 01:00 am
 
Есть идея подключения одного сервиса,
но в нём нужна авторизация.

Поэтому вопрос - существуют ли api для проверки
залогиненности на жж, по логину и ip ?

Например: пользователь залогинился в жж,
и из него кликает на ссылку сервиса, к которой
привязан его логин.
Сервис - отправляет запрос к жж с ip и логином,
и получает ответ: залогинен или нет.

На основании этого - сервис ищет запись пользователя, с которой ассоциирован данный логин,
и впускает его на ресурс.
(чтобы это работало - пользователь должен указать, в личных данных, на сервисе, свой логин в жж)

Можно ли, сейчас, так сделать ?
Если нет - то можно ли это реализовать ?
 
 
 
Илья Дроновigrick on November 8th, 2009 08:09 pm (UTC)
Это можно сделать c помощью OpenID.
lomka on November 8th, 2009 10:53 pm (UTC)
OpenID - хорош для того, чтобы логиниться на те сайты, на которых, у пользователя, нет акаунта,
и процесс, при этом, начинается с захода пользователя на сторонний сайт.

А в данном случае - пользователь изначально залогинен в жж, и у него есть акаунт на стороннем сайте,
где указан его жж-логин, что технически позволяет обеспечить вход, при переходе по ссылке,
указанным выше способом, без заполнения каких - либо дополнительных полей.

Кроме того, пользователю, при входе по OpenID, в этой ситуации, придётся сделать больше действий,
чем при простом вводе логина и пароля, при переходе на сторонний сайт.

Дело в том, что это не простой вход, а вход на интегрированный ресурс. В жж, вроде-бы, пока, нет сервисов,
интегрированных подобным образом, но, с появлением такого программного интерфейса, можно себе представить, например,
появление интегрированного хранилища изображений, типа локального фликра, или хранилища музыкальных файлов.
Да много чего можно приделать, таким образом.

Такой интерфейс позволит сторонним разработчикам писать различные сервисы, по типу серверных плагинов, расширяя, таким
образом, функциональность жж. Сторонние сервисы, таким же образом, могут быть интегрированы с другими социальными сетями.

В моём случае - сторонний сервис - это торговая система http://webface.su, которую бы мне хотелось подключить, таким образом.

В принципе, пользователи жж могут пользоваться этой системой уже сейчас, просто, если она будет интегрирована - это обеспечит этой системе
необходимую раскрутку, а жж - сможет получать партнёрские отчисления от каждой продажи.
По моим прикидкам - сумма этих отчислений - может быть сопоставима с прибылью от платных акаунтов.

Как думаете, ради такого дела - можно приделать авторизацию по ip и логину ?
Илья Дроновigrick on November 18th, 2009 06:48 am (UTC)
OpenID хорош только одним моментом — он позволяет стороннему ресурсу убедиться в том, что вы в ЖЖ тот, за кого себя выдаете. Что уж дальше на этом строить — всецело решает ресурс.

Теперь, если вы у себя храните имя пользователя в ЖЖ, то что вам мешает прокинуть его OpenID, что бы узнать залогинен он или нет? Со стороны пользователя вообще не потребуется никаких действий, если сторонний сервис будет внесен в белыфй список OpenID партнеров (т.е. ЖЖ не попросить пользователя подтвердить операцию).

Единственное что вам не будет доступно — это совершение от имени пользователя каких-либо действий в ЖЖ. Но вы в изначальном сообщении этого и не просили, так что вашу задачу — проверку залогиненности — OpenID прекрасно решает.
Если же вам нужно именно совершать от имени пользователя действия в ЖЖ, и при этом знать только его логин — то это тоже возможно (есть соответствующий RPC), но это совсем другой уровень отношений между компаниями, который я не готов обсуждать здесь в сообществе.

P.S. По вашим прикидкам про прибыль и про сопоставимо — это сколько?
lomka on November 18th, 2009 07:50 am (UTC)
Ага, понятно, вот именно это я и хотел узнать.
А какова процедура внесения в этот список ?

Абсолютная прибыль - зависит от товарооборота.
В процентах - от 0.5 до 2% от стоимости товара,
в зависимости от принятой бизнес-стратегии.

Более подробно, как распределяется прибыль - можно
посмотреть на webface.su - там, на главной, есть вкладка -
"бизнес-модель", там всё расписано. И ещё, на вкладке
"Личный офис/партнёрство/правила игры".
ЖЖ может играть роль "референт", и, частично, участвовать в роли "владелец блога".
lomka on November 18th, 2009 05:08 am (UTC)
igrick, простите, но я позволю себе напомнить,
о своём сообщении. Может быть, оно как-то не так выглядит,
но это конкретное предложение, по сотрудничеству,
на которое хотелось бы получить ответ.
От этого ответа, зависит наша дальнейшая стратегия работы с жж.
Или мы будем интегрироваться, как описано в предложении,
или начнём раскрутку самостоятельно, но, тогда жж, от эксплуатации
сервиса на своём ресурсе, ничего не получит. Поскольку я предвижу различные
будущие коллизии связанные с этим, я прошу у Вас официального ответа на это предложение.
Вы позиционируете своё сообщество как официальное, поэтому я сюда и обратился.
Так что, пожалуйста, если Вы не можете, решить этот вопрос,
или он вне Вашей компетенции - подскажите, к кому мне обратиться.
Илья Дроновigrick on November 18th, 2009 06:50 am (UTC)
Вы правильно сделали что обратились именно сюда. И хорошо что напомнили.
Я полагал что уже ответил на ваш вопрос, но видимо ошибся. Выше — более развернутый ответ про то, как вы можете решить свою задачу с помощью OpenID.
Илья Дроновigrick on November 18th, 2009 06:59 am (UTC)
Кстати, то MD5 — это не шифрование, а односторонняя функция, в сигнатуре которой всего один параметр. Так что с помощью MD5 нельзя зашифровать одно слово другим. Более того, если мы что-то храните в MD5, то преобразовать обратно, что бы узнать исходный текст, невозможно (на то она и односторонняя), можно только проверить совпадает ли результат выполнения функций, но для этого нужно знать исходный текст. Так что там какая-то ерунда написана.

Это я ко второму абзацу вашей записи
lomka on November 18th, 2009 07:34 am (UTC)
Не совсем ерунда :)
http://pajhome.org.uk/crypt/md5/
Илья Дроновigrick on November 18th, 2009 07:41 am (UTC)
И? По ссылке реализованная на JS функция md5, которая вычисляет хеш-сумму текстовой строки. В чем я был не прав? Эту функцию можно реализовать на любом языке, так как она математическая.
lomka on November 18th, 2009 07:59 am (UTC)
Вот же фома неверущий, прости господи )
http://jgae.de/sdagen.htm
lomka on November 19th, 2009 02:38 am (UTC)
Если Вы думаете, что пример http://jgae.de/sdagen.htm
- это фэйк, наберите в гугле:
"md5 encryption javascript".
Также, наберите "md5 encryption crack".
Кроме предложений по "краку" паролей, и о возможности
коллизии хэшей - ничего не найдёте. А это относится к алгоритму хеширования MD5, а не шифрования.
Если бы этот алгоритм шифрования был сломан -
думаю, что это было бы известно гуглю.

И, ещё, не в обиду, но наше общение как-то сильно растянуто. Может быть, мне, всё таки, имеет смысл обратиться по ссылке "обратная связь"/раздел партнёрство ?
Или Вы точно имеете полномочия на ведение таких переговоров, и никто, кроме Вас, вопрос по сотрудничеству, решить не может ?
Поймите, в проект вложены немалые средства, и имеется план внедрения, выполнение которого, по срокам, уже отстаёт от графика. Так что, хочется, как-то, ускорить процесс обмена информацией.
Илья Дроновigrick on November 23rd, 2009 07:42 am (UTC)
Можете обратиться, но запрос так или иначе попадет в конечном счете ко мне.
Что мне не нравится в вашей системе, так это то, что вы просите у пользователя LiveJournal отдать свой пароль от ЖЖ в вашу систему. Я правильно понял?
lomka on November 23rd, 2009 08:12 am (UTC)
Пароль, сейчас, отдаётся только для того, чтобы пользователь мог использовать greasemonkey, для автоматического входа.
В этом случае, да, я имею техническую возможность прочитать пароль,
когда он проходит через сервер.
Но, это не принципиально, и на остальной сервис не влияет.
Пароль можно убрать и ограничиться одним логином, для верификации по
OpenId, как Вы описали. Вообще - вся эта кухня с шифрованием
пароля была задумана для того, чтобы иметь возможность интеграции
со сторонними сервисами, реализованными на flash. В этом случае
обмен данными (пароля) со сторонним приложением происходил бы прямо в броузере, и даже у меня, как администратора - не было бы возможности
прочитать его. Я хотел, таким образом, интегрировать свой сервис с платёжной системой w1, используя их виджет на вконтакте.
Но, пока это невыполнимо из-за невозможности соблюдения требований безопасности w1, на моём сервере.
Соответственно, пока не будет возможности обеспечить необходимый уровень безопасности - я хотел найти ей какое-то другое применение, и сделал, на её основе, пользовательский скрипт, который позволяет автоматически логиниться на различные сайты.

Так что, если это принципиально - можно эту функциональность, с пользовательскими скриптами и паролями, заморозить до лучших времён, пока не будет разработан плагин, который позволит это делать прямо из броузера, минуя сервер, что будет гарантировать физическую невозможность чтения паролей.
lomka on November 24th, 2009 01:17 pm (UTC)
igrick, пожалуйста скажите - жж это предложение интересно или нет ?
Если нет - я пойду дальше, и даже не стану интересоваться причинами
отказа.
В рунете - масса блогов, и Вы меня совсем не огорчите, если откажете,
Только, пожалуйста, не молчите. Если нужно - можно поговорить по скайпу.
Илья Дроновigrick on November 24th, 2009 07:38 pm (UTC)
Я завтра задам этот вопрос нашим коммерсантам.
lomka on November 24th, 2009 09:09 pm (UTC)
Ок.
lomka on November 25th, 2009 03:37 pm (UTC)
И чего коммерсанты сказали ?
Кстати, я в сообществе webface_su опубликовал 8 статей,
с различными вариантами использования сервиса.
Можно почитать, для более полного представления.
tarzanissimotarzanissimo on September 6th, 2012 12:16 pm (UTC)
тролль
Что можно сделать со "сверхписучестью" конда не робот копируя сотни файлов откуда попало, заполняет троллевым образом огромные пространства в ГУГЛЕ ? Проверьте пожалуйста кто это "крапан-5" она заполняет эжедневно десятки строк перепостингом оюзеизвестных общепросветительных сайтов.

Edited at 2012-09-06 12:22 pm (UTC)