Нещодавно ми Voximplant поліпшували авторизацію в SDK. Подивившись на результати, я трохи засмутився, що замість простого і зрозумілого токена їх стало дві штуки: access token і refresh token. Які мало того що треба регулярно оновлювати, так ще документувати та пояснювати навчальних матеріалах. Пам'ятаючи, що в OAuth два токена потрібні в основному з-за різних сервісів, на яких вони використовуються (навіть питання на stackoverflow є), а у нас такий сервіс один, я трохи офігів і пішов на другий поверх вытрясать душі з розробників. Відповідь вийшов несподіваним. Його немає на stackoverflow. Зате він є під катом.

Читати далі →

PushAll Auth — аутентифікація і зворотний зв'язок з користувачем


Для чого ми використовуємо електронну пошту? Найчастіше, ми використовуємо Email для реєстрації і входу на різних сайтах, а також щоб тримати зв'язок з цими сайтами, вони можуть надіслати вам інформацію про вашому акаунті, повідомлення та інше. Однак при такій реєстрації ви даруєте сайтів ваш постійний Email, на який вони зможуть писати, і відписка не завжди може допомогти. Ваш ящик може потрапити третім особам і потрапити списки розсилки спаму. Антиспам добре – але до розумної межі.

Ми вже давно позиціонуємо наш сервіс як заміну Email. І ось тепер ми підходимо до можливості здійснювати вхід на сторонніх сайтах використовуючи PushAll ID.
Раніше у нас вже була можливість вказати Callback URL для отримання ID, але зробити повторний вхід було неможливо.

З головних особливостей входу через PushAll можна виділити:

  1. Анонімність. Якщо ви заходите в PushAll через Google обліковий запис Google+ або через Email, то сторонній сайт дізнається тільки ваш ID.
  2. Контрольована зворотний зв'язок. Можна в будьякий час відписатися від каналу, він більше не зможе вас потривожити. Поки ви підписані – ви будете отримувати миттєві повідомлення.
Ми реалізували кнопку «Відкрити» після підписки та альтернативну OAuth-модель входу. Також в кінці статті розповімо про новий микросервисе, який ми зробили для Host-Tracker.com

Читати далі →

Security Week 51-52: Нестандартний топ новин 2016

Ну ось знову, ніхто не очікував, а рік раптово закінчився. Пора підбивати підсумки, і вже третій рік поспіль я волію робити це нестандартно. Єдиним критерієм для відбору новини в топ є її популярність на новинному сайті Threatpost. Так, це не самий об'єктивний спосіб оцінки важливості тієї чи іншої події. Але й не найгірший: аудиторія Threatpost зазвичай ігнорує відверту политоту і приділяє чимало уваги подіям, на які потрібно реагувати або ось прямо зараз, або тим, що варто запам'ятати на майбутнє.

Нагадаю, огляді за 2015 рік у нас були уязвимости в интернете речей (ну ладно, в роутерах), шифрування даних, серйозна уразливість Stagefright в Android і діра GLIBC, а також складносурядні атаки — Carbanak, The Equation. У 2014-му: вразливість POODLE SSLv3, Shellshock і Heartbleed і, раптово, стеганография PNG-картинками.

В цьому році «п'ятірка» популярних новин виглядає почасти схоже: справу Apple проти ФБР, дірки в GLIBC (знову!) і в ядрі Linux, проблеми з OAuth і питання генерації надійних випадкових чисел з ненадійних джерел.

Читати далі →

React.js: збираємо з нуля ізоморфне / універсальне додаток. Частина 3: додаємо авторизацію і обмін даними з API


будь Ласка, авторизуйтеся
Це третя і заключна частина статті про розробку изоморфного React.js програми з нуля. Частини перша і друга.
У цій частині ми:
  • додамо redux-dev-tools;
  • додамо запити до API;
  • реалізуємо авторизацію;
  • реалізуємо виконання запитів до API в процесі Server-Side Rendering.

Читати далі →

OAuth-авторизація в Mozilla Thunderbird: від зародження до релізу



Якийсь час назад ми розповідали про те, як Mail.Ru реалізований збір пошти з використанням протоколу OAuth 2.0. Ми продовжуємо підвищувати безпеку пошти і просувати стандарт OAuth 2.0 в маси. І сьогодні розповімо про те, як ми додали OAuth-авторизацію в поштовий клієнт Mozilla Thunderbird. На цьому прикладі ми розберемо процес внесення нової фічі в продукт з відкритим вихідним кодом, від створення тікета до релізу. Якщо ви давно хотіли зробити свій перший pull request, але не знали як, — читайте нашу історію.
Читати далі →

Трохи про юніт-тестування і зовнішніх API в PHP

Юніт-тестування — одна з невід'ємних частин процесу розробки, і воно стає складнішими та суперечливішими, якщо основне завдання Вашого коду — надсилати запити до зовнішніх API і обробляти відповіді. Чимало списів зламано про тему, яким повинно бути тестування коду, зав'язаного на зовнішніх джерелах, і де проходить межа між тестуванням власного коду і чужих API.

На цьому етапі розробникам доводиться вирішити, які запити надсилати на віддалений сервер, а які симулювати локально. Існує чимало рішень як для відправки запитів, так і для їх симуляції. У своєму пості я розповім, як зробити і те, і інше на базі HTTP клієнта Guzzle.



Читати далі →

Підключайтеся до online-трансляції Unified Communication User Community (UC2)

28 квітня 2015 року з 19:00 до 21:00 (МСК) пройде перша зустріч IT-співтовариства Unified Communication User Community (UC2).

Зустріч буде проводитися в 2-х форматах:
Для всіх видів участі необхідна обов'язкова реєстрація
Адреса проведення: Технологічний центр Microsoft (р. Москва, вул. Лісова 9. м. Білоруська)
Читати далі →

Авторизація через китайські соцмережі

Будь-який нормальний сайт\додаток нині дозволяє зареєструватися, використовуючи акаунти третє служб. І якщо з англомовним\російськомовним інформації більш ніж достатньо, то за китайським(в російському сегменті Інтернету) — кіт наплакав. Між тим, окрім того, що це близько 700 млн користувачів інтернету, це ще і понад 5 млн китайців відвідали Росію в 2014 році і близько 500 тисяч китайців, які залишилися в Росії на тимчасове\постійне проживання — в першу чергу студентів. Так як інтеграція китайців в місцеве суспільство завжди проходить зі скрипом, вони воліють користуватися програмним забезпеченням, знайомим з дитинства — таким, як інтернет-месенджер QQ.
У цій статті я хотів би висвітлити процес інтеграції логіна через QQ в мобільних додатках\ на веб-сайтах. Це дуже просто. Розповім на прикладі нашого додатки для платформи Android


Читати далі →

Туторіал по Coub API

Днями ми випустили Coub API. Тепер можна робити програми, дивитися стрічку, лайкати, рекобить, тобто практично все, що можна зробити на сайті, можна робити через API. Але найголовніше — тепер можна з сторонніх додатків через API створювати коби.

У цьому туториале я покажу, як можна зробити найпростіший клієнт коба на Ruby on Rails. Додаток дозволяє залогуватися через ксб та згенерувати такий коб з будь-яким текстом:



Робоча версія цього додатка лежить за адресою fantozzi.dev2.workisfun.uk, код додатки з цього туториала можна подивитися на Гітхабі: github.com/igorgladkoborodov/memegenerator

Читати далі →

Авторизація і використання VK.com API в Xamarin.Android

Xamarin — дуже багатообіцяючою продукт, який допомагає вести кроссплатформенную розробку на Android і iOS на мові C#. На мій погляд, незаслужено упускається з виду співтовариством мобільних розробників. Мова C# можна легко замінити на F#, а в якості платформ взяти ще й OSX і Windows Phone. Загалом, можливостей і перспектив маса, найцікавіших.



Це вже третя моя стаття на хабре, присвячена Xamarin-у, в ній ми розробимо просте, але наочне додаток (у жанрі Hello Word), з використанням VK.com API. Як правило, вихідні матеріали викладені на GitHub і наведені в кінці статті.

Отже, в чому, власне, принципова різниця для завдань, з якими доведеться зіткнутися розробнику, створює native-додаток Android, що підтримує VK.com і розробнику, що вирішує ту ж саму задачу з Xamarin?

Читати далі →