Авторизация для Kingdom of Lor

Никто не будет делать этого для твоей игры. А апи всё пилят, да никак не запилят.

Поднимется скор у игрока и всё. (или опустится как у илитной части ЛОРа). Опять бежать за токеном?

Тебе уже предлагали достаточно неплохую схему — запихнуть сгенерированный ключ в профиль игрока. Захотел игрок залогиниться — пусть правит свой профиль, а игра спарсит страничку.

Тебе уже предлагали достаточно неплохую схему — запихнуть сгенерированный ключ в профиль игрока. Захотел игрок залогиниться — пусть правит свой профиль, а игра спарсит страничку.

Еще раз - профиль общедоступен. Это значит, если игра может спарсить страничку, то и любой другой человек сможет скопировать этот ключ с чужой странички и зайти под чужим логином.

Захочешь ты зайти в игру, а не сможешь, потому что кто-то под твоим ником уже зашел.

Поднимется скор у игрока и всё. (или опустится как у илитной части ЛОРа). Опять бежать за токеном?

$token = sha512(nick + sha512(password_hash))

Так лучше? Дело не в формуле расчета токена, а в том, чтобы найти того, кто сможет это запилить.

Еще раз - профиль общедоступен.

И что? Придумываешь себе пароль, на страницу лепишь sha512 этого пароля, в игру вводишь сам пароль, игра сравнивает, и вперед.

И что? Придумываешь себе пароль, на страницу лепишь sha512 этого пароля, в игру вводишь сам пароль, игра сравнивает, и вперед.

Как вариант, да.

Он предполагает на тот момент, что клиент может обмануть сервер, дав публичный хеш, и зайти под чужим ником.

Поэтому я и хотел дополнить про приватные и публичные «ключи». Нужна схема, которая будет такой: легко проверить, но сложно подделать. Например, мастер-сервер. Ему скармливаешь логин и игровой пароль — ключ, он проверяет и говорит не дурак ли клиент. Можно конечно сделать, чтобы каждый игровой сервер делал так для самого себя, т.е. в профиле придётся вводить свой хеш для каждого сервера. Ну и заодно конечно проверку, нужно ли вообще такое требовать от игроков.

Тут ведь технически подкованная аудитория. Т.ч. у игрока есть secret key, а в профиль идёт public key. Кто смог сделать правильную подпись — тот и игрок.

Так например это реализовано в let's encrypt. См. также https://godoc.org/github.com/square/go-jose

Т.е. вся коммуникация шифрованная и подписанная. Игровой сервер проверяет подписи по профилям.

В принципе, тогда самой простой выглядит такая схема:

• юзер в игре на скрине «создания токена» вводит логин, желаемый пароль и жмет «сгенерить токен»
• игра генерит токен

  token = sha256(nick + password)

• юзер вставляет токен на страницу профиля
• потом юзер на скрине «авторизации» вводит свой ник, пароль и сервер проверяет его корректность, парся страницу профиля.

Эпичные костыли.

Сделай лучше. Или ты только кукарекать?

Поддерживаю этот вариант

Ну ты конечно же знаешь идею получше?

В любом случае, сервер должен знать о пароле игрока.

В любом случае, сервер должен знать о пароле игрока.

Да, игрок введет пароль на клиенте - он там будет запомнен, больше вводить не придется. А на сервер будет автоматически слаться клиентом при нажатии «Авторизоваться».

Нужно большими красными буквами писать, чтобы не вводили туда пароль от ЛОР аккаунта. %)

Нужно большими красными буквами писать, чтобы не вводили туда пароль от ЛОР аккаунта. %)

beastie
Тут ведь технически подкованная аудитория.

Ага :D

Да. Запилить на лоре апи на авторизацию, которое отдаёт токен.

Зачем МНЕ это делать?

Открытый ключ положи на страничку профиля. Найди как передать при авторизации подписанное закрытым сообщение.

То есть ты чисто покукарекать пришёл. Ок.