Jump to content
... wszystkich graczy na naszych serwerach

[Propozycja] [Serwer] Serwerowe API.


Allerek
 Share

Recommended Posts

Nick:Allerek
Czego dotyczy propozycja?: Serwer/Ogół serwera
Opis propozycji:Dodanie serwerowego API dla botów na discord, min.
-Sprawdzanie wszystkich informacji, oraz eventów(jak importy, artefakty)
-Pobieranie ilości graczy i slotów.
-Pobieranie zawartości i cen w magazynie
-Dla przestępczych jakieś dragi itd

Oczywiście można powiedzieć że ktoś mógłby chcieć atakować takie API, ale myślę że Brzyś będzie potrafił to zabezpieczyć jakimiś 'Rate-Limitami' itd.
Na pewno rozbudzi to kreatywność osób pracujących np. w NodeJS lub innych tego typu środowiskach programistycznych.

  • Kocham To 3
Link to comment
Share on other sites

W dniu 7.05.2021 o 03:23, Destruktor napisał:

Na nie, jest to zbyt zbędne by tworzyć do tego weryfikacje. 

Jaka weryfikacje? Wystarczyłyby zwykłe tokeny, API działa już teraz w kwestii organizacji, po prostu nie ma wielu opcji które można dodać, ktoś tu nie wie co znajduje się na serwerze na którym ma się supporta hah

Link to comment
Share on other sites

  • Moderator
1 godzinę temu, Allerek napisał:

Jaka weryfikacje? Wystarczyłyby zwykłe tokeny, API działa już teraz w kwestii organizacji, po prostu nie ma wielu opcji które można dodać, ktoś tu nie wie co znajduje się na serwerze na którym ma się supporta hah

Ciekawa próba prowokacji, o API wiem bo sam z niego korzystam (może nie zauważyłeś bota). Jednakże tworzenie weryfikacji tokenem API jest zbędne. Więcej roboty niż pożytku.

Link to comment
Share on other sites

38 minut temu, Destruktor napisał:

Ciekawa próba prowokacji, o API wiem bo sam z niego korzystam (może nie zauważyłeś bota). Jednakże tworzenie weryfikacji tokenem API jest zbędne. Więcej roboty niż pożytku.

Weryfikacja tokenem API też już jest, naprawdę musisz odświeżyć swoją wiedzę.

Link to comment
Share on other sites

  • Moderator
Godzinę temu, Allerek napisał:

Weryfikacja tokenem API też już jest, naprawdę musisz odświeżyć swoją wiedzę.

Ciekawe, przedstaw mi proszę gdzie mogę, ów weryfikację znaleźć w UCP?

Link to comment
Share on other sites

Posted (edited)
17 godzin temu, Destruktor napisał:

Ciekawe, przedstaw mi proszę gdzie mogę, ów weryfikację znaleźć w UCP?

Sesja logowania utrzymuje się dlatego że jest użyty token JWT (JSON Web Token) aby zapisać najprawdopodobniej dane do logowania. Ów token jest zabezpieczony poprzez salt więc tylko osoby które znają salt są w stanie go odkodować. https://jwt.io/

chrome_XNPS6zhuhv.thumb.png.b366f155b589aed612564218cc8d2ac3.png

Edited by csskrouble
Link to comment
Share on other sites

  • Moderator
26 minut temu, csskrouble napisał:

użyty token JWT (JSON Web Token)

Kolega wyżej wspomniał o API key, JWT jest trochę inną rzeczą. Jednakże dobrze przedstaw mi zastosowanie tego w weryfikacji użytej w zewnętrznej aplikacji, skoro tak jak Allerek powiedział takie coś istnieje więc nie wiem po co ta propozycja skoro według niego już to powstało. Bo o ile się nie mylę raczej kopiuj wklej nie wystarczy. Źle sformułowałem poprzednią wypowiedź bo chodziło mi o API magazynowe, które według Allerka już istnieje. Moim jedynym argumentem jest to, że więcej czasu zużyje się na stworzenie dobrze zabezpieczonego api, niż będzie z tego pożytku.

Link to comment
Share on other sites

Teraz, Destruktor napisał:

Kolega wyżej wspomniał o API key, JWT jest trochę inną rzeczą. Jednakże dobrze przedstaw mi zastosowanie tego w weryfikacji użytej w zewnętrznej aplikacji, skoro tak jak Allerek powiedział takie coś istnieje więc nie wiem po co ta propozycja skoro według niego już to powstało. Bo o ile się nie mylę raczej kopiuj wklej nie wystarczy. Źle sformułowałem poprzednią wypowiedź bo chodziło mi o API magazynowe, które według Allerka już istnieje. Moim jedynym argumentem jest to, że więcej czasu zużyje się na stworzenie dobrze zabezpieczonego api, niż będzie z tego pożytku.

Aby użyć API generujesz token JWT w grze/lub w ucp, po czym dodajesz go jako header podczas korzystania z niego w powiedzmy Insomni https://insomnia.rest/ : np. "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" i możesz używać API. (podany tutaj token jest randomowym tokenem)

Link to comment
Share on other sites

  • Moderator
Posted (edited)
47 minut temu, csskrouble napisał:

Aby użyć API generujesz token JWT w grze/lub w ucp, po czym dodajesz go jako header podczas korzystania z niego w powiedzmy Insomni

Chyba nie rozumiesz o co mi chodzi. Zakończę to tu, ponieważ propozycja i tak nie przejdzie, nie raz już się taka pojawiała i zawsze kończyła tak samo. Poza tym popatrz na to, że przechowywałbyś w tym momencie informacje, do których normalnie nie miałbyś dostępu.

Edited by Destruktor
Link to comment
Share on other sites

3 godziny temu, Destruktor napisał:

Chyba nie rozumiesz o co mi chodzi. Zakończę to tu, ponieważ propozycja i tak nie przejdzie, nie raz już się taka pojawiała i zawsze kończyła tak samo. Poza tym popatrz na to, że przechowywałbyś w tym momencie informacje, do których normalnie nie miałbyś dostępu.

Webhook to zwykłe API, musi byc ono zabezpieczone w jakikolwiek sposób gdyż w innym wypadku mógłbym wyciągać np. chat waszej organizacji, co jest niedopuszczalne.

Link to comment
Share on other sites

  • Moderator
Posted (edited)
55 minut temu, Allerek napisał:

Webhook to zwykłe API, musi byc ono zabezpieczone w jakikolwiek sposób gdyż w innym wypadku mógłbym wyciągać np. chat waszej organizacji, co jest niedopuszczalne.

Człowieku zrozum, retoryka i ironia polecam poczytać co to, wiem że w tekście ją trudno znaleźć ale nie oczekiwałem przykładów chodziło mi jedynie by nakreślić twoje źle sformułowane zdanie gdzie napisałeś, że to już istnieje. Nie zostanie to dodane najpewniej z uwagi na bezpieczeństwo. Ty jako osoba trzecia posiadałbyś dostęp do danych, do których dostępu mieć nie powinieneś. Z jakiegoś powodu nie każdy ma wgląd w magazyn innej organizacji.

Edited by Destruktor
Link to comment
Share on other sites

1 godzinę temu, Destruktor napisał:

Człowieku zrozum, retoryka i ironia polecam poczytać co to, wiem że w tekście ją trudno znaleźć ale nie oczekiwałem przykładów chodziło mi jedynie by nakreślić twoje źle sformułowane zdanie gdzie napisałeś, że to już istnieje. Nie zostanie to dodane najpewniej z uwagi na bezpieczeństwo. Ty jako osoba trzecia posiadałbyś dostęp do danych, do których dostępu mieć nie powinieneś. Z jakiegoś powodu nie każdy ma wgląd w magazyn innej organizacji.

??? WTF XD
Nie ogarniasz totalnie tematu propozycji.
Po to są klucze/tokeny by mieć dostęp do informacji tylko i wyłącznie o magazynie swojej organizacji, moja propozycja to po prostu rozbudowanie obecnego webhooka o więcej funkcji i to tyle, nie wiem czemu miałoby to nie wejść.

Link to comment
Share on other sites

  • Moderator
Posted (edited)
1 godzinę temu, Allerek napisał:

Nie ogarniasz totalnie tematu propozycji.
Po to są klucze/tokeny by mieć dostęp do informacji tylko i wyłącznie o magazynie swojej organizacji, moja propozycja to po prostu rozbudowanie obecnego webhooka o więcej funkcji i to tyle, nie wiem czemu miałoby to nie wejść.

Chyba nie rozumiesz więc ci wyjaśnię, jeżeli jako właściciel bota, będziesz chciał użytkownikom udostępnić funkcje sprawdzania magazynu będziesz musiał przechowywać ich token, a zarazem informacje, do których dostępu nie powinieneś mieć.

Nasza kłótnia do niczego nie prowadzi, ty masz swój punkt widzenia, ja posiadam swój, proponuje na tym po prostu zaprzestać.

Edited by Destruktor
Link to comment
Share on other sites

Posted (edited)
2 godziny temu, Destruktor napisał:

Chyba nie rozumiesz więc ci wyjaśnię, jeżeli jako właściciel bota, będziesz chciał użytkownikom udostępnić funkcje sprawdzania magazynu będziesz musiał przechowywać ich token, a zarazem informacje, do których dostępu nie powinieneś mieć.

Nasza kłótnia do niczego nie prowadzi, ty masz swój punkt widzenia, ja posiadam swój, proponuje na tym po prostu zaprzestać.

CO XD ty znasz się w ogóle na tym?
Każda org. otrzymuje token autoryzacji, może być on regenerowany.
Dzięki temu tokenowi serwer wie o jakiej organizacji ma wysyłać dane, nie ma tu żadnego związku z użytkownikiem.
Obecnie działa to w ten sam sposób, ja po prostu proponuje dodanie nowych funkcji, a nie nowego systemu, nie będzie więc zmian w bezpieczeństwie.

Jako supporter powinieneś odświeżyć swoje informacje o serwerze na którym grasz.

(Psst, każde API tak działa, bez wyjątku)

Edited by Allerek
Link to comment
Share on other sites

  • Moderator
Posted (edited)
19 minut temu, Allerek napisał:

CO XD ty znasz się w ogóle na tym?
Każda org. otrzymuje token autoryzacji, może być on regenerowany.
Dzięki temu tokenowi serwer wie o jakiej organizacji ma wysyłać dane, nie ma tu żadnego związku z użytkownikiem.
Obecnie działa to w ten sam sposób, ja po prostu proponuje dodanie nowych funkcji, a nie nowego systemu, nie będzie więc zmian w bezpieczeństwie.

Jako supporter powinieneś odświeżyć swoje informacje o serwerze na którym grasz.

(Psst, każde API tak działa, bez wyjątku)

Rozumiesz co znaczy zakończenie naszej bezsensownej dyskusji? Zacznijmy od tego, że supporter nie musi posiadać wiedzy na temat API serwerowego. Sam właśnie napisałeś cytując 'Dzięki temu tokenowi serwer wie o jakiej organizacji ma wysyłać dane', więc twój bot będzie odbierał informacje, do których normalnie nie masz dostępu (przykładowo zawartość magazynu org), poczytaj czasami co ktoś pisze uważnie.

Proszę cię skończ prowokować, mam ciekawsze rzeczy do roboty niż tłumaczenie tobie mojego punktu widzenia, który może być i różny ale to i tak nie zostanie dodane.

UCP korzysta z JWT, które nawet się do robienia sesji nie nadaje więc skończ mi tu gadać, że ja czegoś nie potrafię.

Edited by Destruktor
Link to comment
Share on other sites

Posted (edited)
9 godzin temu, Destruktor napisał:

Rozumiesz co znaczy zakończenie naszej bezsensownej dyskusji? Zacznijmy od tego, że supporter nie musi posiadać wiedzy na temat API serwerowego. Sam właśnie napisałeś cytując 'Dzięki temu tokenowi serwer wie o jakiej organizacji ma wysyłać dane', więc twój bot będzie odbierał informacje, do których normalnie nie masz dostępu (przykładowo zawartość magazynu org), poczytaj czasami co ktoś pisze uważnie.

Proszę cię skończ prowokować, mam ciekawsze rzeczy do roboty niż tłumaczenie tobie mojego punktu widzenia, który może być i różny ale to i tak nie zostanie dodane.

UCP korzysta z JWT, które nawet się do robienia sesji nie nadaje więc skończ mi tu gadać, że ja czegoś nie potrafię.

Jak to nie mam dostępu? Nie wiesz nawet jak działa UCP 😄
image.png.7cf647d84ade3015510cb332f31ec16c.png

UCP a API nie ma nic wspólnego, ktoś wyżej po prostu cię wprowadził w błąd.

Jak wyglądą API?
W ten sposób:
Mamy link, np.
api.paradise-rpg.pl

Do tego mamy token, wychodzi nam

api.paradise-rpg.pl/?token=oiobdoio39fpf

Chcemy wykonać zapytanie, techniką POST

api.paradise-rpg.pl/?token=oiobdoio39fpf

+dane zapytania w formule POST, zależnie od języka

Token jest unikalny dla organizacji, to lider decyduje komu da dostęp do takiego tokena, a jeśli np. uzna że nie chce dalej współpracować z tą osobą, może token regenerować w celu odłączenia dostępu tej osoby - pełne bezpieczeństwo, nikt nie ma dostępu do danych do których dostępu nie powinien mieć, proszę - nie wypowiadaj się na temat na który nie masz pojęcia, bo możesz odciągnąć od dobrego pomysłu innych użytkowników.

Każde API działa w ten sposób.
Link+Token+Zapytanie=odpowiedź

KAŻDE, bez wyjątku. Pare przykładów:
-Discord (https://discord.com/developers/docs/reference tu możesz poczytać że to o czym mówię to prawda)
-Google
-Steam

Czemu? Bo jest to najbezpieczniejsze, w ten sam sposób działa np. karta SIM, nie daje ci bezpośredniego dostępu do danych, ale pozwala o nie spytać i decyduje czy powinieneś je otrzymać czy nie.

W skrócie - to serwer określa czy powinieneś dostać np. informacje o magazynie, nie użytkownik.

Dodatkowo, nie używamy tutaj nigdzie JWT, nie miałoby to sensu, token API nie ma nic wspólnego z JWT.

Edited by Allerek
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

Przeglądając to forum akceptujesz Guidelines oraz Privacy Policy

Multi Theft Auto mta.paradise-rpg.pl
Team Speak 3 ts.paradise-rpg.pl
Discord discord.gg/KAnFbGy