NOT: Konu Fivem Tarafından forum.cfx.re'de Paylaşılmıştır.
Sunucu Sahiplerinin Dikkatine - İşlem Gerekli: Discord tanımlayıcı belirteci artık kullanılamıyor:
Yakın zamanda bu e-postayı, bir Discord çalışanından son kullanıcı belirteçlerinin 'sessiz' kimlik doğrulamasından bahsettiğimizden şikayet ettik, ancak arka ucumuza herhangi bir kullanıcı belirteci göndermememize rağmen (ancak yalnızca açık kapsamlara sahip bir OAuth belirteci), görünüşe göre bunu sessizce yaptığımız için üzüldük ve sessizce vermesi gereken OAuth uygulamasını devre dışı bıraktık.
Alternatif (tarayıcıda oturum açmaya dayalı açık hesap bağlantısı) FiveM için uygun değildir ve Discord tarafından yayınlanan oyunlar (artık bir şey değil) ve belirli iş ortağı uygulamaları (RPC kullanarak 'istemci içi') onay istemi kullanılamaz. Logitech G HUB gibi) - bunu bize vermeleri pek olası değildir.
OAuth token yöntemini yalnızca daha kötüsünü yapmak zorunda kalmamak, yani FiveM istemcisinde 'token vapurunun' pratik eşdeğerini uygulamak ve doğrudan elde edilen auth tokenine göre kimlik doğrulama sunucu tarafı yapmak için kullandığımız not edilmelidir: bunu son kullanıcı olarak istememelisiniz, Discord bunu istememelidir ve bu yolu seçersek (taşıma sırasında kötüye kullanmazsak) bir jetonu kaydetmemize rağmen, son derece güvensiz olarak kabul edilir, ancak ileriye giden tek yol olabilir Discord, ortak uygulamaları gibi normal OAuth hibeleri gerçekleştirmemize izin vermezse.
Tekrar ediyorum: Bu OAuth jetonu verme yöntemi, görünüşte algılanabilir ve Discord tarafından engellenirken, bu tanımlayıcıyı garanti edebileceğimiz tek güvenli yoldur; alternatif daha riskli olacaktır ve sessiz bir tanımlayıcı sağlamaya devam etmek istiyorsak, kesinlikle bu şekilde yapmayı tercih edebiliriz: bu, ilgili tüm taraflar için bir kaybet-kaybet-kaybettir.
SON GUNCELLEMELER YORUMLARDA !!
02.04.2020
18:52
02.04.2020
18:52
Sunucu Sahiplerinin Dikkatine - İşlem Gerekli: Discord tanımlayıcı belirteci artık kullanılamıyor:
Linkleri,görmek için
Giriş yap veya üye ol.
Yakın zamanda bu e-postayı, bir Discord çalışanından son kullanıcı belirteçlerinin 'sessiz' kimlik doğrulamasından bahsettiğimizden şikayet ettik, ancak arka ucumuza herhangi bir kullanıcı belirteci göndermememize rağmen (ancak yalnızca açık kapsamlara sahip bir OAuth belirteci), görünüşe göre bunu sessizce yaptığımız için üzüldük ve sessizce vermesi gereken OAuth uygulamasını devre dışı bıraktık.
We recently received this email from a Discord employee complaining about the fact we do ‘silent’ authentication of end user tokens, even though we do not send any user tokens to our backend (but only an OAuth token with explicit scopes), they still seemingly got upset by the fact that we do this silently and disabled the OAuth application that was required to do silent granting.
Alternatif (tarayıcıda oturum açmaya dayalı açık hesap bağlantısı) FiveM için uygun değildir ve Discord tarafından yayınlanan oyunlar (artık bir şey değil) ve belirli iş ortağı uygulamaları (RPC kullanarak 'istemci içi') onay istemi kullanılamaz. Logitech G HUB gibi) - bunu bize vermeleri pek olası değildir.
The alternative (explicit account linking based on browser sign-in) is not suitable for FiveM, and the ‘in-client’ consent prompt using RPC is not available except for Discord-published games (no longer a thing) and specific partner applications (such as Logitech G HUB) - it’s unlikely they will grant this to us.
OAuth token yöntemini yalnızca daha kötüsünü yapmak zorunda kalmamak, yani FiveM istemcisinde 'token vapurunun' pratik eşdeğerini uygulamak ve doğrudan elde edilen auth tokenine göre kimlik doğrulama sunucu tarafı yapmak için kullandığımız not edilmelidir: bunu son kullanıcı olarak istememelisiniz, Discord bunu istememelidir ve bu yolu seçersek (taşıma sırasında kötüye kullanmazsak) bir jetonu kaydetmemize rağmen, son derece güvensiz olarak kabul edilir, ancak ileriye giden tek yol olabilir Discord, ortak uygulamaları gibi normal OAuth hibeleri gerçekleştirmemize izin vermezse.
It should be noted that we only used the OAuth token method to prevent having to do worse, namely implement the practical equivalent of a ‘token stealer’ in the FiveM client, and doing identity verification server-side based on the auth token obtained directly: you should not want this as end user, Discord should not want this and even though we won’t save a token if we do choose this path (nor abuse it during transit) it is considered highly unsafe but it might be the only path forward if Discord does not choose to let us perform normal OAuth grants like their partner applications do.
Tekrar ediyorum: Bu OAuth jetonu verme yöntemi, görünüşte algılanabilir ve Discord tarafından engellenirken, bu tanımlayıcıyı garanti edebileceğimiz tek güvenli yoldur; alternatif daha riskli olacaktır ve sessiz bir tanımlayıcı sağlamaya devam etmek istiyorsak, kesinlikle bu şekilde yapmayı tercih edebiliriz: bu, ilgili tüm taraflar için bir kaybet-kaybet-kaybettir.
Again, I repeat: this OAuth token granting method, while apparently detectable and blocked by Discord, is the only safe way we can guarantee this identifier; the alternative would be way riskier and if we want to continue providing a silent identifier we can definitely opt to do so this way: it’s a lose-lose-lose for all parties involved.
Son düzenleme:
