Overmaak API
- Onderwerp starter Jenner
- Startdatum
G
Guest
Guest
Is dat niet een beetje om veilig?
J
Jenner
Guest
Nja of net zo als je een GPT website hebt dat iemand een uitbetaling aanvraagt in one2xs punten (zie Verdienxs), als de admin dan de uitbetaling goedkeurt (of als dat al automatisch gaat,) dat er automatisch punten van je one2xs account naar het one2xs account van de uitbetaler wordt geschreven (o.i.d.)?
Jenner
Active member
Zoiets als Lennard idd
, maar ter beveiliging zou je dus een signature moeten maken (Van het OAuth idee) zodat de prijs en de persoon waar je het naartoe verzend niet kunnen worden aangepast en als je wordt terug gestuurd moet de code worden gecontroleerd of het wel een geldige code is
(Ook beveiligen met OAuth, omdat ie na het controleren niet meer geldig moet zijn)
Hoe op een veilige manier?
Elke user die dat wil een API key geven en vragen op welke IP adressen de API moet werken. Vervolgens roept de user one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=getdomains aan en hij krijgt de domeinnamen terug... roept ie one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=transfer&amount=4&to=rik aan dan maakt hij 4 punten over naar Rik.
Is geen OAuth voor nodig toch?
Elke user die dat wil een API key geven en vragen op welke IP adressen de API moet werken. Vervolgens roept de user one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=getdomains aan en hij krijgt de domeinnamen terug... roept ie one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=transfer&amount=4&to=rik aan dan maakt hij 4 punten over naar Rik.
Is geen OAuth voor nodig toch?
Jenner
Active member
IP zou dat ook idd een optie kunnen zijn
Al is misschien OAuth wat veiliger, maar voor een website als dit moet het niet uitmaken denk ik
Voor OAuth maar je een signature van alle variabele die je mee stuurt en hierdoor is het voor een onderschepper niet mogelijk om variabele aan te passen
Voor OAuth maar je een signature van alle variabele die je mee stuurt en hierdoor is het voor een onderschepper niet mogelijk om variabele aan te passen
Lennard (link):
Hoe op een veilige manier?
Elke user die dat wil een API key geven en vragen op welke IP adressen de API moet werken. Vervolgens roept de user one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=getdomains aan en hij krijgt de domeinnamen terug... roept ie one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=transfer&amount=4&to=rik aan dan maakt hij 4 punten over naar Rik.
Is geen OAuth voor nodig toch?
Ip is niet leuk voor dynamische IPs.
Hoe op een veilige manier?
Elke user die dat wil een API key geven en vragen op welke IP adressen de API moet werken. Vervolgens roept de user one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=getdomains aan en hij krijgt de domeinnamen terug... roept ie one2xs.com/api?user=lennard&key=r9r9woeewufio93u&action=transfer&amount=4&to=rik aan dan maakt hij 4 punten over naar Rik.
Is geen OAuth voor nodig toch?
Ip is niet leuk voor dynamische IPs.
Jenner (link):
IP zou dat ook idd een optie kunnen zijn
Al is misschien OAuth wat veiliger, maar voor een website als dit moet het niet uitmaken denk ik
Voor OAuth maar je een signature van alle variabele die je mee stuurt en hierdoor is het voor een onderschepper niet mogelijk om variabele aan te passen
Dat kan zo ook niet, want het script doet een request, one2xs maakt de betaling klaar en stuurt een betaallink terug, bezoeker komt op de betaallink, one2xs checkt of hij betaald heeft, stuurt de gebruiker terug, server vraagt nog een keer aan one2xs of er betaald is, one2xs stuurt terug of dat het geval is. Kan weinig fout aan gaan lijkt me?
IP zou dat ook idd een optie kunnen zijn
Voor OAuth maar je een signature van alle variabele die je mee stuurt en hierdoor is het voor een onderschepper niet mogelijk om variabele aan te passen
Dat kan zo ook niet, want het script doet een request, one2xs maakt de betaling klaar en stuurt een betaallink terug, bezoeker komt op de betaallink, one2xs checkt of hij betaald heeft, stuurt de gebruiker terug, server vraagt nog een keer aan one2xs of er betaald is, one2xs stuurt terug of dat het geval is. Kan weinig fout aan gaan lijkt me?
Jenner
Active member
Lennard (link):
Jenner (link):
IP zou dat ook idd een optie kunnen zijn
Al is misschien OAuth wat veiliger, maar voor een website als dit moet het niet uitmaken denk ik
Voor OAuth maar je een signature van alle variabele die je mee stuurt en hierdoor is het voor een onderschepper niet mogelijk om variabele aan te passen
Dat kan zo ook niet, want het script doet een request, one2xs maakt de betaling klaar en stuurt een betaallink terug, bezoeker komt op de betaallink, one2xs checkt of hij betaald heeft, stuurt de gebruiker terug, server vraagt nog een keer aan one2xs of er betaald is, one2xs stuurt terug of dat het geval is. Kan weinig fout aan gaan lijkt me?
Een onderschepper kan toch de gebruiker aanpassen waar het naartoe gestuurd moet worden of het bedrag wat betaald moet worden?
Jenner (link):
IP zou dat ook idd een optie kunnen zijn
Voor OAuth maar je een signature van alle variabele die je mee stuurt en hierdoor is het voor een onderschepper niet mogelijk om variabele aan te passen
Dat kan zo ook niet, want het script doet een request, one2xs maakt de betaling klaar en stuurt een betaallink terug, bezoeker komt op de betaallink, one2xs checkt of hij betaald heeft, stuurt de gebruiker terug, server vraagt nog een keer aan one2xs of er betaald is, one2xs stuurt terug of dat het geval is. Kan weinig fout aan gaan lijkt me?
Een onderschepper kan toch de gebruiker aanpassen waar het naartoe gestuurd moet worden of het bedrag wat betaald moet worden?
Jenner
Active member
Wie zegt dat iemand niet een leuk idee heeft en een app wil maken voor iOS of Android. Het is dan veel efficienter als het wordt opgehaald direct door de app dan dat een server hem eerst ophaalt en doorstuurt. En zou je dan willen dat iedere gebruiker van je server jouw ip weet?
Ik wil geen apps die niet van ons zijn waarmee gebruikers punten kunnen oversturen naar elkaar ofzo, en als het gewoon van variabele_user -> vaste_user gaat dan is het efficient genoeg lijkt me, per betaling 6 requests, dat is wel te doen zolang er geen miljoen betalingen per dag gedaan worden via die API, en dat zie ik zo snel niet gebeuren.
