Все вопросы по новому способу авторизации в Wialon (oAuth)

Я смотрю вы пофиксили баг с авторизацией.
Добавили  на странице http://hosting.wialon.com/login.html в html документ тег
<input type="hidden" name="sign" value="GZhR8TXwJBfx6bhezQVyd9+qOHCmMVisgiWGF9aetiE=">

Думаете тяжело выдрать вот этот ключ (GZhR8TXwJBfx6bhezQVyd9+qOHCmMVisgiWGF9aetiE=) и постучаться по ссылке http://hosting.wialon.com/oauth.html с доп. параметром.

И в результате получить токен.

По итогу... Ваша правка дала защиты 0. Обходится ваш костыль за 15 минут.

Рекомендую усилить защиту вот таким способом.

1 Пользователь звонит к вам.
2 Вы задаете секретный вопрос (Ваше любимое блюдо?/ Девичья фамилия матери?/ Ваш любимый фильм?)
3 Пользователь говорит правильный ответ
4 Вы выдаете токен.

Добрый день.
Делаю POST запрос к http://hosting.wialon.com/oauth.html в итоге возвращается ответ 200 вместо 301 и в теле "{"error": "insecure or allowed time expired"}" с чем это может быть связано? Авторизационные данные верные

Здравствуйте!
Можно ли использовать token выданный при авторизации одного из клиентов для авторизации других ?
Вопрос связан с тем, что наша система на базе 1С (в основном используется web-клиент), и все общение с телематами (в том числе и с вашим) осуществляется с клиентов.
В результате многие клиенты не довольны необходимостью операторов вводить логин/пароль от телемата (или хотя бы его знать, на случай если авторизация истечет).

В связи с этим конкретный вопросы:
1) Обязательно ли IP должен быть одним и тем же при получении token и его использовании для авторизации ?
2) Сколько авторизаций можно осуществить с одним token (и если "да", то сколько одновременных сессий возможно от одного token) ?

Просто замечательно!

И небольшое уточнение...

В описании oAuth не говорится, о бессрочном действии докена (упоминается только о действии по умолчанию - 30 дней), а в этой теме говорится, что если задать атрибут duration в 0, то токен будет бессрочным, если используется хотя бы раз в течении 100 дней (как я понимаю, как после выдачи, так и после последнего использования).

Действительно ли можно использовать один и тот же токен неопределенное время, если он используется чаще 100 дней ?

Раньше у нас на сайте была сделана "сквозная" авторизация посредством отправки формы вот такого типа:

<form action='http://hosting.wialon.com/login_action.html' method='post'>
               <input type='hidden' name='user' value='user}'>
               <input type='hidden' name='passw' value='password'>
               <input type='hidden' name='action' value='login'>
               <input type='hidden' name='skip_auto' value='1'>
               <input type='hidden' name='lang' value='ru'>
             </form>

Теперь такая штука не проходит. Собственно, вопрос: Можно ли с новой системой авторизации сделать так, чтобы пользователь, который один раз получил токен введя логин и пароль на http://hosting.wialon.com/login.html при следующем входе не вводил логин и пароль, а как-то передавал свой токен (ну не лично, конечно, а из БД сайта), что-бы таки вернуть "автологин" хоть в каком-то  виде.  А-то неудобно каждый раз сначала логиниться в нашу систему, а потом ещё отдельно и в мониторинг слежения...

dark_max
Если токен уже есть в БД, то ссылка вида http://hosting.wialon.com/?token=<USER_TOKEN> выполнит автологин

Уважаемый shreding.kot, Вы можете использовать вышеуказанный способ
(если Вам так хочется и для Вас ничего не значат наши слова "не допускается").
Однако Вы должны сами понимать, что если это работает сейчас,
то нет никаких гарантий что оно будет работать завтра.
Мы в любой момент можем скорректировать и усложнить защиту.
И Вам придётся заново переписывать свои обходные пути.

да бросьте Вы в самом деле. с помощью данного механизма решилась довольно важная проблема - необходимость промежуточного сохранения связки логин-пароль для выполнения серии запросов из внешней системы. действительно таким образом можно говорить о "безопасном входе" в свою систему с учеткой wialon...

Я преобразовал старую функцию логина в эту (тут выдуманный токен, а вообще я его получил через форму http://hosting.wialon.com/login.html):

    /** 
     * 
     * App login
     *
     */
    function login() {
    var sess = wialon.core.Session.getInstance(); // get instance of current Session
    var user = sess.getCurrUser(); // get current User
        
    sess.initSession("https://hst-api.wialon.com"); // initialize Wialon session
    sess.loginToken(token, "2242424245954766A508", // trying login 
        function (code) { // login callback
            if (code) msg(wialon.core.Errors.getErrorText(code)); // login failed, print error
            else msg("Logged successfully"); // login succeed
        }
    );
}

В итоге пишет Uncaught ReferenceError: token is not defined...

Добавление капчи это крайний случай.
Конечно это защитит, скажем так, от недобросовестных разработчиков.
Но вместе с тем усложнит вход обычным пользователям.
Пока мы пойдём другим путём, т.е. сделаем ещё более хитрую защиту,
но незаметную обычным пользователям и разработчикам.

Нашел ошибку в описании. Написано про флаги уровня доступа

. На самом деле "0xffff" полных прав не дает, а значение "-1" дает. По флагу "0xffff", например, не смог получить доступ к изменениям флагов учетной записи и т.п.
В списке токенов права для "0xffff" обозначены как

А для "-1" как

Вопрос: Какая ошибка в операции будет возвращена если токен удален или просрочен? Попробовать очистить все боюсь, так как есть работающие пользователи. А в списке токенов кто есть кто - не видно.

Отсюда второй вопрос: В запросе есть флаг "0x1 — возвращать в ответе имя пользователя"? Нельзя ли в списке токенов показывать то самое имя пользователя и дату создания/срок токена? Это было бы очень удобно админу. А сейчас получается просто список с одним и тем-же именем приложения (а оно действительно одно) и уровнем доступа (а он тоже один).