Как создать токен найти

Время на прочтение
7 мин

Количество просмотров 84K

Доброго времени суток, дорогой читатель. В данной статье я постараюсь рассказать об одном из самых популярных (на сегодняшний день) способов авторизации в различных клиент-серверных приложениях — токен авторизации. А рассматривать мы его будем на примере самой популярной реализации — JSON Web Token или JWT.

Введение

Начнем с того, что важно уметь различать следующие два понятия: аутентификации и авторизации. Именно с помощью этих терминов почти все клиент-серверные приложения основывают разделение прав доступа в своих сервисах.

Очень часто к процессу аутентификации примешивают и процесс индентификации — процесс, позволяющий определить что за пользователь в данный момент хочет пользоваться нашим приложением, например, путем ввода логина. Далее нам, как разработчикам и как ответственным людям хочется убедиться, что данный пользователь действительно тот за кого он себя выдает — и поэтому следует процесс аутентификации, когда пользователь подтверждает, что он тот самый %user_name%, например, путем ввода пароля.

Казалось бы, все что необходимо выполнить для безопасности нашего приложения мы сделали. Но нет, еще одним очень важным шагом в любом клиент-серверном приложении является разграничение прав, разрешение или запрет тех или иных действий данному конкретному аутентифицированному пользователю — процесс авторизации. 

Еще раз кратко закрепим: сначала идет идентификация и аутентификация, процессы когда мы определяем и удостоверяемся, что за пользователь в данный момент использует наше приложение, а далее идет авторизация — процесс принятия решения о разрешенных данному пользователю действиях.

Еще одно небольшое введение

Прежде чем начать говорить о самом токене авторизации следует упомянуть для каких целей вообще его решили использовать. Поскольку мы знаем, что почти весь интернет так или иначе построен на протоколе HTTP(или его старшем брате HTTPS) и что он не отслеживает состояние, то есть при каждом запросе HTTP ничего не знает, что происходило до этого, он лишь передает запросы, то возникает следующая проблема: если аутентификация нашего пользователя происходит с помощью логина и пароля, то при любом следующем запросе наше приложение не будет знать все тот же ли этот человек, и поэтому придётся каждый раз заново логиниться. Решением данной проблемы является как раз наш токен, а конкретно его самая популярная реализация — JSON Web Tokens (JWT). Также помимо решения вопросов с аутентификацией токен решает и другую не менее важную проблему авторизации (разграничение разрешенных данному пользователю действий), о том каким образом мы узнаем ниже, когда начнем разбирать структуру токена.

Формальное определение

Приступим наконец к работе самого токена. Как я сказал ранее в качестве токенов наиболее часто рассматривают JSON Web Tokens (JWT) и хотя реализации бывают разные, но токены JWT превратились в некий стандарт, именно поэтому будем рассматривать именно на его примере.

JSON Web Token (JWT) — это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на формате JSON. 

Фактически это просто строка символов (закодированная и подписанная определенными алгоритмами) с некоторой структурой, содержащая полезные данные пользователя, например ID, имя, уровень доступа и так далее. И эта строчка передается клиентом приложению при каждом запросе, когда есть необходимость идентифицировать и понять кто прислал этот запрос.

Принцип работы

Рассмотрим принцип работы клиент серверных приложений, работающих с помощью JWT. Первым делом пользователь проходит аутентификацию, конечно же если не делал этого ранее и в этом есть необходимость, а именно, например, вводит свой логин и пароль. Далее приложение выдаст ему 2 токена: access token и refresh token (для чего нужен второй мы обсудим ниже, сейчас речь идет именно об access token). Пользователь тем или иным способом сохраняет его себе, например, в локальном хранилище или в хранилище сессий. Затем, когда пользователь делает запрос к API приложения он добавляет полученный ранее access token. И наконец наше приложение, получив данный запрос с токеном, проверяет что данный токен действительный (об этой проверке, опять же, ниже), вычитывает полезные данные, которые помогут идентифицировать пользователя и проверить, что он имеет право на запрашиваемые ресурсы. Таким нехитрым образом происходит основная логика работы с JSON Web Tokens.

Структура токена

Пришло время обсудить структуру токена и тем самым лучше разобраться в его работе. Первое что следует отметить, что JWT токен состоит из трех частей, разделенных через точку:

1. Заголовок (header)

2. Полезные данные (playload)

3. Подпись (signature)

Рассмотрим каждую часть по подробнее. 

Заголовок

Это первая часть токена. Она служит прежде всего для хранения информации о токене, которая должна рассказать о том, как нам прочитать дальнейшие данные, передаваемые JWT. Заголовок представлен в виде JSON объекта, закодированного в Base64-URL  Например:

Если раскодировать данную строку получим:

{"alg":"HS256","typ":"JWT"}

Заголовок содержит два главных поля: alg и typ. Поле typ служит для информации о типе токена, но как я уже упоминал ранее, что JWT превратился в некий стандарт, то это поле перестало нести особый смысл и служит скорее для целей будущего, если вдруг появится улучшенная версия алгоритма JWT(2.0), которая заменит JWT. Поле alg задает алгоритм шифрования. Обязательный для поддержки всеми реализациями является алгоритм HMAC с использованием SHA-256, или же, как он обозначен в заголовке, HS256. Для работы с этим алгоритмом нужен один секретный ключ, конкретный механизм работы рассмотрим ниже. Для справки можно также отметить, что существует и асимметричный алгоритм, который можно использовать в JWT, например, RS256. Для работы с ним требуется два ключа — открытый и закрытый. Но в данной статье рассмотрим работу с одним закрытым ключом.

Полезные данные

Перейдем наконец к полезным данным. Опять же — это JSON объект, который для удобства и безопасности передачи представляется строкой, закодированной в base64. Наглядный пример полезных данных (playload) токена может быть представлен следующей строкой:

Что в JSON формате представляет собой:

{"user_id":1,"exp":1581357039}

Именно здесь хранится вся полезная информация. Для данной части нет обязательных полей, из наиболее часто встречаемых можно отметить следующие:

iss — используется для указания приложения, из которого отправляется токен.

user_id — для идентификации пользователя в нашем приложении, кому принадлежит токен.

Одной из самых важных характеристик любого токена является время его жизни, которое может быть задано полем exp. По нему происходит проверка, актуален ли токен еще (что происходит, когда токен перестает быть актуальным можно узнать ниже). Как я уже упоминал, токен может помочь с проблемой авторизации, именно в полезных данных мы можем добавить свои поля, которые будут отражать возможности взаимодействия пользователя с нашим приложением. Например, мы можем добавить поле is_admin или же is_preferUser, где можем указать имеет ли пользователь права на те или иные действия, и при каждом новом запросе с легкостью проверять, не противоречат ли запрашиваемые действия с разрешенными. Ну а что же делать, если попробовать изменить токен и указать, например, что мы являемся администраторами, хотя таковыми никогда не были. Здесь мы плавно можем перейти к третьей и заключительной части нашего JWT.

Подпись

На данный момент мы поняли, что пока токен никак не защищен и не зашифрован, и любой может изменить его и тем самым нарушается вообще весь смысл аутентификации. Эту проблему призвана решить последняя часть токена — а именно сигнатура (подпись). Происходит следующее: наше приложение при прохождении пользователем процедуры подтверждения, что он тот за кого себя выдает, генерирует этот самый токен, определяет поля, которые нужны, записывает туда данные, которые характеризуют данного пользователя, а дальше с помощью заранее выбранного алгоритма (который отмечается в заголовке в поле alg токена), например HMAC-SHA256, и с помощью своего приватного ключа (или некой секретной фразы, которая находится только на серверах приложения) все данные токена подписываются. И затем сформированная подпись добавляется, также в формате base64, в конец токена. Таким образом наш итоговый токен представляет собой закодированную и подписанную строку. И далее при каждом новом запросе к API нашего приложения, сервер с помощью своего секретного ключа сможет проверить эту подпись и тем самым убедиться, что токен не был изменен. Эта проверка представляет собой похожую на подпись операцию, а именно, получив токен при новом запросе, он вынимает заголовок и полезные данные, затем подписывает их своим секретным ключом, и затем идет просто сравнение двух получившихся строк. Таким нехитрым способом, если не скомпроментировать секретный ключ, мы всегда можем знать, что перед нами все еще наш %user_name% с четко отведенными ему правами.

Время жизни токена и Refresh Token

Теперь плавно перейдем к следующему вопросу — времени жизни токена, и сопутствующей этой теме refresh token. Мы помним, что одно из важнейших свойств токена — это время его жизни. И оно совсем недолговечное, а именно 10-30 минут. Может возникнуть вопрос: а зачем такое короткое время жизни, ведь тогда придется каждый раз заново создавать новый токен, а это лишняя нагрузка на приложения. А ответ достаточно очевидный, который включает в себя и одновременно ответ на вопрос: а что делать если токен был перехвачен. Действительно, если токен был перехвачен, то это большая беда, так как злоумышленник получает доступ к приложению от имени нашего %user_name%, но так как access token является короткоживущим, то это происходит лишь на недолгий период. А дальше этот токен уже является не валидным. И именно чтобы обновить и получить новый access token нужен refresh token. Как мы знаем (или если забыли можем снова прочитать в начале) пользователь после процесса аутентификацию получает оба этих токена. И теперь по истечении времени жизни access token мы отсылаем в приложение refresh token и в ответ получаем снова два новых токена, опять же один многоразовый, но ограниченный по времени — токен доступа, а второй одноразовый, но долгоживущий — токен обновления. Время жизни refresh token вполне может измеряться месяцами, что достаточно для активного пользователя, но в случае если и этот токен окажется не валидным, то пользователю следует заново пройти идентификацию и аутентификацию, и он снова получит два токена. И весь механизм работы повторится.

Заключение

В данной статье я постарался подробно рассмотреть работу клиент-серверных приложений с токеном доступа, а конкретно на примере JSON Web Token (JWT). Еще раз хочется отметить с какой сравнительной легкостью, но в тоже время хорошей надежностью, токен позволяет решать проблемы аутентификации и авторизации, что и сделало его таким популярным. Спасибо за уделенное время.

Полезные ссылки

1. 5 Easy Steps to Understanding JSON Web Tokens (JWT)

2. JWT — как безопасный способ аутентификации и передачи данных

3. Securing React Redux Apps With JWT Tokens

4. Зачем нужен Refresh Token, если есть Access Token?

guides

1. Подтвердите свой адрес электронной почты, если он еще не подтвержден.

2. В правом верхнем углу любой страницы щелкните фотографию своего профиля, затем нажмите Settings (Настройки).

1. На левой боковой панели нажмите Developer settings (Настройки разработчика).

1. На левой боковой панели щелкните Personal access tokens (Личные токены доступа).

1. Щелкните Generate new token (Создать новый токен).

1. Дайте вашему токену описательное имя (любое, удобное Вам).

1. Выберите области или разрешения, которые вы хотите предоставить этому токену. Чтобы использовать свой токен для доступа к репозиториям из командной строки, выберите repo.

1. Щелкните Generate token (Создать токен).

1. Щелкните кнопку , чтобы скопировать токен в буфер обмена. По соображениям безопасности после того, как вы покинете страницу, вы больше не сможете увидеть токен. Сохраните его в удобном и надёжном месте, чтобы не потерять.

1. В дальнейшем, при запросе учетных данных (логина и пароля), вместо пароля указывайте этот токен.

$ git clone https://github.com/username/repo.git
Username: ваш юзернейм
Password: токен, который вы сгенерировали

Предупреждение: относитесь к своим токенам как к паролям и держите их в секрете. Обязательно сохраните токен и не теряйте его! При утере проделайте все шаги заново.

Оригинал

Термин криптовалюта объединяет следующие понятия: блокчейн, протокол согласования, разные типы нод или узлов и их взаимодействие в пиринговой сети. Человеку, не являющемуся программистом, трудно представить себе всю архитектуру цифровых денег. Поэтому распространено мнение, что создать токен очень сложно. Однако это не совсем так, поскольку многое решает метод, выбранный для разработки новой криптовалюты. Сперва стоит четко разграничить понятия токен и коин. Оба типа активов относятся к монетам, но они имеют разное назначение.

Что такое токен

Название произошло от английского token (знак, символ, жетон). Токен — цифровой актив, для разработки которого использовался блокчейн уже существующей криптовалюты. В этом основное отличие от Coin — его распределенный реестр создавался с нуля.

Топ криптобирж

Другими словами, коин — платежное средство, имеющее собственную ценность, которую можно реализовать вне системы. Токены выполняют аналогичную функцию внутри проекта. Их используют для оплаты услуг, товаров, получения скидок.

Выделяют такие типы токенов:

• Security — близкий аналог акций компаний или инвестиционных вложений. Токены безопасности дают право держателям получать дивиденды от фирмы-эмитента.
• Utility — инструмент для проведения операций внутри системы. Дает доступ к сервисам и услугам платформы. Хорошим примером будет игровая валюта.
• NFT — незаменяемые единицы используются для токенизации уникальных активов. Например, картин, коллекций, патентных разрешений и т.д.
• Governance — токены управления. Из названия понятно, что такие активы дают их держателям право голосовать по вопросам развития проекта.
• Asset-backed — вид цифровой валюты, цена которой обеспечена активом реального мира. Компании, выпускающие такие монеты, гарантируют их держателю обмен на конкретный товар или услугу.

Как создать токен в зависимости от сети

Появление криптовалюты привлекло большое внимание к самой технологии Blockchain. Области применения распределенного реестра увеличиваются с каждым годом, и это относится не только к финансовой сфере, но и к логистике, индустрии развлечений, райдшерингу, авторскому праву и т.д. Такая ситуация привела к значительному спросу на платформы, с помощью которых можно разрабатывать и запускать новые монеты и криптосистемы.

При выборе сети для создания токенов стоит учитывать ряд важных факторов:

• Алгоритм консенсуса в блокчейне.
• Язык программирования.
• Тип платформы.
• Цену запуска нового цифрового актива.
• Активность сообщества.
• Популярность сети.

В таблице представлены распространенные системы для разработки новой крипты и различия между ними.

Ethereum

Эфириум — популярная платформа, которая позволяет создать свой токен. Почти 90% новых жетонов выпущено на ней.

Архитектура Ethereum разработана так, что пользователи, не владеющие программным языком Solidity (предназначен для написания смарт-контрактов), легко запускают новые криптомонеты самостоятельно. Блокчейн Ethereum — своеобразный виртуальный конструктор, где можно задавать нужные параметры для знака. Достаточно внести небольшие изменения в код смарт-контракта. При этом весь процесс занимает не более 20 минут.

Технические особенности

В системе Ethereum можно токенизировать любые активы, имеющие ценность. Примеры: лотерейные билеты, акции компании, очки лояльности и т. д.

Чтобы обеспечить запросы пользователей и разработчиков, Эфириум предлагает готовые шаблоны (стандарты) для создания токенов — ERC (Ethereum Request for Comments). Таких протоколов существует несколько. Между собой они различаются цифровым индексом, расположенным справа:

• ERC-20 — унифицированный стандарт, разработанный для лучшего взаимодействия между смарт-контрактами, кошельками ETH и криптобиржами.
• ERC-721 — применяют для выпуска незаменимых жетонов. Каждая монета, созданная на основе такого протокола, уникальна.
• ERC-1155 — стандарт для объединения транзакций разных активов. Появился в июне 2018 года. С его помощью можно передавать как взаимозаменяемые, так и неделимые tokens в одной транзакции.
• ERC-777 — протокол полностью совместим с ERC-20. Отличие в том, что усовершенствован механизм передачи и обмена активов внутри системы. Это приводит к снижению комиссий за транзакции и увеличению скорости их проведения.
• ERC-1400 — стандарт для токенов безопасности.

Это только небольшая часть протоколов, разработанных на платформе Эфириум. Одни стандарты часто применяются в сфере криптовалют, другие еще проходят стадию тестирования. На сентябрь 2021 года большего всего служебных активов было выпущено с использованием ERC-20.

Выбор утилиты

Для создания своей криптовалюты на основе платформы Ethereum можно использовать готовые фреймворки, разработанные независимыми программистами сообщества. Утилиты предоставляют набор инструментов, при помощи которого с запуском криптомонеты справится даже новичок. К приложениям такого типа относятся:

• Truffle.
• Remix.
• Embark.
• Dapple.

Тем, кто только пробует свои силы в создании криптовалюты, подойдет редактор Remix. Он не требует установки на ПК (работает прямо в браузере), а также позволяет отслеживать ошибки, сделанные в процессе настройки параметров нового токена.

Чтобы пользоваться этой утилитой, нужно зарегистрировать аккаунт в приложении MetaMask (расширение браузера для работы в сети Ethereum c функциями криптокошелька).

Скачивание исходного кода

Эфириум — это платформа с открытым кодом. Все исходные данные и документация находятся в свободном доступе. Создание монеты начинается с посещения сайта GitHub. Здесь можно свободно скачать исходный код смарт-контракта с параметрами будущей крипты. Это 2 файла с расширением .sol, которые доступны бесплатно. Так, можно получить базовый код, который использовали при разработке Эфира.

Если нужно взять за основу смарт-контракт определенной монеты, то пользователю нужно перейти на сайт Etherscan. В разделе Verified Contracts следует выбрать нужный вариант и вручную скопировать код.

Данные токена

Чтобы новая криптовалюта отличалась от основной, нужно ввести следующую информацию:

• Name — собственное имя жетона.
• Symbol (тикер) — сокращенное наименование цифрового актива. К примеру, BTC для Биткоина или ETC для Эфириум классик. Можно использовать любое количество букв и цифр.
• Total supply (эмиссия) — определяет, сколько монет будет выпущено.
• Decimals — число знаков после запятой или величина дробления. Это нужно для того, чтобы можно было переводить или получать не целое количество монет. Пример: $1,26 в смарт-контракте будет представлено как 126 центов, так как в блокчейне Эфириума используются только недробные числа.

Деплоит токена

После того как в код базового смарт-контракта были внесены изменения, определяющие свойства новой монеты, нужно «залить» его в блокчейн. Эта процедура платная и потребует комиссии в виде Эфира.

Если вся операция проводилась с целью ознакомления и обучения, то деплоить (от англ. deploy — «развернуть») смарт-контракт в реальном блокчейне Эфириума не нужно.

Можно воспользоваться тестовой сетью ropsten — это бесплатно.

В редакторе Remix для разворачивания можно воспользоваться нужной функцией интерфейса (нажать соответствующую кнопку). В других утилитах это придется делать вручную через командную строку.

EOS

Чтобы запустить новую криптовалюту на основе блокчейна EOS, нужно выполнить следующие пункты:

1. Через консоль установить на ПК утилиту EOS Cleos.
2. На сайте eosx io приобрести RAM (для поддержки сетью транзакций).
3. Разработать код смарт-контракта. Можно использовать приложение EZEOS (скачать с сайта GitHub).
4. Опубликовать умный контракт через EOS Cleos.

TRON

Создание жетона на основе платформы ТРОН также не представляет большой проблемы. Все можно сделать онлайн на сайте Tronscan. Алгоритм действий выглядит так:

1. После авторизации на сайте нужно выбрать стандарт. В сентябре 2021 года есть 3 варианта: TRC-10 (стандартный), TRC-20 (кастомный) и TRC-721 (для выпуска уникальных монет по аналогии с Эфиром).
2. Ввести все данные и подтвердить создание token.
3. Если используется TRC-10, то информация будет автоматически внесена в шаблон смарт-контракта и опубликована в блокчейне сети TRON. Для TRC-20 и TRC-721 нужно вставить код в форму и утвердить.
4. При использовании стандарта TRC-10 произойдет списание 1024 TRX со счета кошелька (нужно заранее купить на бирже). Если смарт-контракт разработан создателем собственноручно (в среде TronBox), то оплата не взимается.

Enecuum

В конце 2019 года был запущен новый криптопроект. Он отличался от подобных стартапов особой структурой распределенного реестра, которая предполагала использование мобильных мастернод и технологии разветвленного блокчейна (HyperDAG).

Отдельные цепочки блоков (ветви) формируют общий блокчейн. Такое решение позволяет увеличить пропускную способность системы. При проведении тестов скорость транзакций достигала 18 тысяч в секунду.

Смарт-контракт

В сети Enecuum для разработки пользовательских монет ввели новый умный контракт — SHARNELL. Он основан на принципах линейной логики и совокупности простых операций. Разработчики указывают на такие преимущества этого стандарта:

• Создатель криптовалюты не меняет код смарт-контракта, следовательно, нет возможности появления уязвимости.
• Прежде чем провести деплоит монеты, она проверяется аудиторами на предмет безопасности.
• Из-за своей простоты ошибки в структуре новой цифровой валюты можно обнаружить еще на этапе компиляции.

Комиссия

В криптовалютах, у которых реализована функция майнинга, комиссия за транзакции выплачивается основной монетой для обеспечения вознаграждения майнерам. Платформа Enecuum утвердила свои правила начисления за перевод активов:

• За транзакцию ENQ пользователь платит 0,1 монеты разработчикам системы.
• При выпуске нового жетона с эмитента берется комиссия 1000 ENQ. Она идет майнерам за обработку транзакций.
• При переводе токена платят его создателю. Он может сам установить размер комиссии и ее тип (фиксированная или процентная).
• С каждой транзакцией пользовательского жетона его эмитент платит 0,1 ENQ в сеть Enecuum.

Протокол консенсуса

Разработчики объединили три алгоритма в один и назвали его Trinity.

• Подтверждение активности (PoA) — смартфоны и мобильные устройства. Проверяют случайные переводы и собирают microblocks.
• Подтверждение доли (PoS) — кошельки крупнейших держателей монет. Одобряют транзакции в микроблоках и формируют из них макроблок.
• Доказательство работы (PoW) — ПК и серверы. Подтверждают macroblock и добавляют его в блокчейн.

Такой гибридный протокол консенсуса позволяет майнить ENQ на смартфонах.

 Загрузка …

Какие токены можно выпустить

При помощи Enecuum можно создавать:

• Взаимозаменяемые жетоны. Могут быть майнинговые, с ограниченной эмиссией и с возможностью постоянно эмитировать или сжигать монеты.
• Уникальные. Предназначены для токенизации единичных активов (подарочные сертификаты, идентификаторы культурных ценностей и прочее). Действуют аналогично ERC721 у Эфириума.

Создатель криптовалюты сам настраивает нужные параметры: возможность майнинга и взаимозаменяемость.

Пример создания

Платформа Enecuum предлагает хорошие условия, чтобы пользователь или компания могли создать токен. Весь процесс проходит на сайте проекта и занимает всего 3 минуты. На сентябрь 2021 года доступна только тестовая сеть, но разработчики утверждают, что подобная функция появится в основной системе в ближайшее время.

 Пошаговый алгоритм:

1. Зайти на сайт проекта Bit Enecuum, нажать на кнопку «Кошелек» и пройти регистрацию. Чтобы иметь постоянный доступ к аккаунту, нужно сохранить приватный ключ и публичный адрес.
2. Через раздел «Получить монеты» заказать на свой счет 25 BIT (внутренняя валюта системы). Можно получать каждые 10 минут.
3. Вернуться в кошелек и нажать кнопку «Создание токена». В открывшейся форме заполнить нужные параметры: имя, тикер, количество монет и комиссию. Подтвердить действия.
4. Проверить раздел «Обзор блокчейна» и найти свой жетон при условии, что все сделано верно. Новая криптовалюта создана.

Такую операцию можно провести при помощи мобильного приложения, ссылка на которое расположена на том же сайте.

Где хранить и как передавать созданный токен

Все платформы с функцией для развертывания собственной криптовалюты имеют нативные кошельки для хранения как основной монеты, так и пользовательского жетона. Также существует ряд мультивалютных сервисов, где можно держать новую крипту. Например, Trustee Wallet, на который легко добавить любой токен стандарта ERC-20. После появления нужной монеты в списке кошелька ее можно передавать на другой адрес. Такая же опция есть на сайте Etherscan io или в редакторе Remix.

Заключение

По данным сайта CoinMarketCap, на 19 сентября для торговых операций доступно 6900 криптовалют, и количество их постоянно растет. С технической стороны создание токена — относительно простая операция. Для ее проведения не нужно быть программистом или разработчиком блокчейнов.

Основная сложность в том, чтобы новая криптовалюта стала востребованной и обрела ценность для других пользователей. Для этого нужно формировать комьюнити, развивать инфраструктуру и заниматься рекламой. Хотя при правильной организации и поддержке сообщества даже шуточные мем-коины могут стать реальным финансовым активом.

Часто задаваемые вопросы

[статья обновлена 1 декабря 2020]

В последнее время появляется огромное количество онлайн-сервисов, компьютерных или мобильных приложений, скриптов, которые предназначены для ВКонтакте, но для их работы необходимо пройти авторизацию через access_token.

Некоторые сервисы предоставляют возможности получить ключ доступа, который необходим для авторизации. На это уходит несколько секунд. Но как быть, если вы загрузили скрипт, но необходимого access_token ключа нет?

Как создать public VK?

Краткая инструкция для получения токена сообщества

Заходим в настройки сообщества. (если у вас нет сообщества, значит его необходимо создать):

1.  Работа с Api > 2. Получить ключ > 3. Скопируйте его (это ключ (токен) и есть access_token сообщества)

Вот и всё. А если же вам нужен токен пользователя, тогда вся необходимая информация находится ниже в статье.

Получить токен через приложение:

1. через собственное приложение (создаёте сами)
2. через официальное приложение (не своё)

Где взять access_token?

Сегодня мы разберем то, как авторизоваться в ВКонтакте, используя прямую ссылку API ВКонтакте (на базе протокола OAuth) или, как его еще называют, Implicit flow. Авторизация, если вы используете этот метод, производится через приложение Вк, которое указывается как ID. Сегодня такой метод считается самым безопасным. Вы можете натолкнуться на статьи, в которых рассказывается о методах получения access_token с использованием приложений, которые вызывают (и не зря!) подозрение. Но сегодня мы поговорим о том, как авторизоваться через официальные приложения ВКонтакте.

Секрет получения токена – в переходе по ссылке, в которой содержится ID определенного приложения ВКонтакте.

Ссылка может быть следующего вида:

https://oauth.vk.com/authorize?client_id=ID_ПРИЛОЖЕНИЯ&scope=notify,photos,friends,audio,video,notes,pages,docs,status,questions,offers,wall,groups,messages,notifications,stats,ads,offline&redirect_uri=http://api.vk.com/blank.html&display=page&response_ENGINE=token

Если с этим разобрались, закономерно всплывает следующий вопрос: где взять эту самую ссылку?

Далее я расскажу о двух основных методах, которые позволят получить токен:

✅ Получение токена через собственное приложение.

• С использованием собственного приложения. Этот метод заведомо рассчитан на то, что у вас есть приложение собственной разработки. Если у вас его нет – самое время создать. Сделать это очень легко: достаточно перейти по ссылке vk.com/apps?act=manage и кликнуть на «Создать приложение».

Система попросит ввести название для приложения. Как пример, можете использовать «Получение access_token». Проверьте, если ли галочка «Standalone-приложение». Далее нажимайте на «Подключить приложение».

Чтобы подтвердить приложение, надо будет ввести код, который вам придет на указанный номер телефона. На этом этапе создания приложения можно зафиксировать мобильное устройство к странице Вк. Чтобы это сделать, надо кликнуть на «Привязать устройство». Можно и без привязки к аккаунту. Тогда просто необходимо перейти по ссылке «Подтвердить через SMS».

После того, как вы подтвердите регистрацию, откроется страница, на которой изложена информация о приложении, которое было создано. Нажмите на «Настройки», которые расположены в левом углу. Там расположен client_id – ID приложения ВКонтакте.

ID необходимо скопировать. Далее – вставьте в ссылку, заменив ID_ПРИЛОЖЕНИЯ. Получится как-то так:

https://oauth.vk.com/authorize?client_id=5563738&scope=notify,photos,friends,audio,video,notes,pages,docs,status,questions,offers,wall,groups,messages,notifications,stats,ads,offline&redirect_uri=http://api.vk.com/blank.html&display=page&response_ENGINE=token

5563738 – это ID приложения, которое вы создали. У вас получится похожая комбинация. После того как создали приложение перейдем к самому вопросу как получить access_token.

✅ Получение токена через официальное приложение VK.

Метод отличается от того, который был описан ранее, лишь тем, что вам не нужно создавать собственное приложение. Используйте уже созданное. Ему можно стопроцентно доверять.

Метод будет рассматривать на примере ВКонтакте для Android. ID такой: 2890984. Именно эту комбинацию надо подставить в ссылку.

Получится следующее:

https://oauth.vk.com/authorize?client_id=2890984&scope=notify,photos,friends,audio,video,notes,pages,docs,status,questions,offers,wall,groups,messages,notifications,stats,ads,offline&redirect_uri=http://api.vk.com/blank.html&display=page&response_type=token

На этом заканчивается часть статьи, в которой мы рассмотрели варианты идентификации приложения, которые могут быть использованы для авторизации. Осталось коснуться всего лишь нескольких моментов:

✅ Права доступа:

• В примерах, которые описаны выше, параметр scope содержит многие названия разделов социальной сети ВКонтакте: audio, photos, notify, friends. Это те разделы, которые будут открыты для приложения. Аccess_token может быть использован по-разному. ID, который вы используете, принадлежит доверенному приложению. Именно поэтому вы можете создать access_token, у которого есть все права доступа. Он становится универсальным, так что может быть использован везде.

✅ access_token:

Последний вопрос, которого надо коснуться, так это то, как получить непосредственно сам ключ access_token. После того, как вы получите ссылку (использовав один из методов), надо будет перейти по ней, чтобы открыть право доступа.

Уже после этого в вашей адресной строке появится необходимый ключ. Он копируется вручную: после access_token= и перед &expires_in.

Ну и закончить стоит несколькими советами:

• Не передавайте ключ access_token посторонним лицам.
• Не стоит проходить авторизацию с использованием приложений, которые не вызывают доверия. Рекомендуется использовать только собственные или официальные.
• Удалите ключ после того, как вы его использовали. Если понадобится, вы всегда сможете создать новый.
• Все активные сеансы стоит завершить после того, как в них исчезнет необходимость. Это вы можете сделать через настройки безопасности аккаунта.

Вам может быть интересно:

Что разряжает аккумулятор вашего телефона

3 способа сохранить изображение с instagram

Как установить Linux. Пошаговая инструкция