что такое Auth_key.
AUTH, аутх, auth_key – это ключ, необходимый для авторизации пользователя на стороннем сервере приложения. Грубо говоря это «логин: пароль» от конкретного приложения. Для каждого приложения у пользователя различный Auth.
Вычисляется по формуле:
auth_key = md5(api_id + ‘_’ + viewer_id + ‘_’ + api_secret)
Сейчас многие боты и программы не требуют Вашего пароля от ВКонтакте. Необходимо лишь указать Auth от приложения и Ваш ID.
Как отыскать Auth-key?
Существует несколько способов. Вот самый простой:
На примере браузера GoogleCrome.
Запускаем необходимое приложение и жмем в любом пустом месте страницы Правую кнопку мыши и выбираем пункт Просмотр кода страницы.
PS: Для других браузеров ищем нечто похожее на «исходный код страницы»
PPS: Так же в некоторых браузерах достаточно войти на страницу с приложением и нажать Ctrl+U.
После проделанного выше появитс страница с исходным кодом. теперь в ней необходимо найти Auth.
Нажимаем Ctrl+F что бы упростить поиск.
Вконтакте
Ищем auth_key.
Среди множества непонятных символов найдется волшебная строчка вида «auth_key»:»e6b84623c311f08f15e8263dd2f3a48a» где e6b84623c311f08f15e8263dd2f3a48a и есть Ваш Auth-key.
MailRu
Ищем authentication_key.
Среди множества непонятных символов найдется волшебная строчка вида «authentication_key»:»e6b84623c311f08f15e8263dd2f3a48a» где e6b84623c311f08f15e8263dd2f3a48a и есть Ваш Auth-key.
Мы используем сервисы в интернете, чаще всего даже не зная, каким образом они устроены и функционируют. Не задумываясь, как передается информация о нас между тем или иным сервисом, мы просто делаем переходы с сайта на сайт, с одного приложения в другое. При этом, конечно же, между тем или иным сервером проходит моментальный обмен информацией. Чтобы дать вам знать немного больше о том, как устроена передача информации в интернете, мы пишем эту статью. В ней мы расскажем, что такое auth key, где это применяется и какова его роль в повседневной работе каждого из нас.
Итак, как можно понять из самого сокращения, полной формой этого термина является словосочетание «authorization key», что с английского переводится как «ключ авторизации». Такое название в полной мере отображает роль этого механизма и его сущность. Ключ сам по себе является генерированным из 32 случайных символов кодом, который используется для авторизации пользователя на сторонних сервисах.
Где применяется передача auth key?
После того как разобрались, что такое auth key, следует уточнить сферу его применения. На примере вы сможете разобраться в этой категории подробнее и яснее, чем просто прочитав определение.
Идентификационный номер (id) auth key применяется в наиболее распространенном виде в случае работы социальных сетей и приложений, которые работают на их платформе.
Не секрет, что все игры и приложения, доступные нам в сети «ВК» созданы не администраторами «Вконтакте», а сторонними разработчиками. Это значит, что какая-нибудь игра размещена физически не на серверах социальной сети, а где-нибудь отдельно.
Как узнать мой auth key?
Примерно вы разобрались в том, что из себя представляет auth key. Как посмотреть его, и можно ли это сделать, рассмотрим в этом пункте нашей статьи.
Итак, поскольку авторизационный ключ передается между сетью и приложением при помощи вашего браузера, вы, конечно же, можете его найти и увидеть собственными глазами. Тем более, что эта характеристика не меняется и является вашим уникальным ключом при работе с социальными сетями (и не только).
Почему не стоит публиковать свой auth key где попало?
Манипуляции с auth key
Auth Key. Что такое auth key?
Auth Key. Что такое auth key?
Auth key, как правило, используется для авторизации пользователя на сторонних серверах. К примеру, социальная сеть «Вконтакте» запустила игру «Тюряга». Эта игрушка работает на ресурсе, который не имеет отношение к сайту «Вконтакте». Однако ресурс предоставил свои услуги и место для размещения приложения «Тюряга». В итоге получается, что Вы, войдя в социальную сеть с помощью своих данных, при переходе в игру остаётесь неизвестным гостем для сервера этого приложения. Поэтому, чтобы начать играть, необходимо также авторизоваться на сайте, где расположена сама игра.
В силу этого и был создан auth key. Простыми словами, можно сказать, что данный ключ – это логин и пароль стороннего приложения. Следовательно, для разных приложений конкретному пользователю присваиваются персональные ключи auth key. При этом во время авторизации на стороннем ресурсе, как правило, требуется указать не только персональный ключ, но и ID номер. Это и является главным отличием auth key от привычных для нас логина и пароля.
С назначением ключа разобрались. Оказывается не такой уж он загадочный. Теперь неплохо было бы понять: «А где, вообще, хранится этот auth key? И можно ли его найти?» Найти можно. Всё очень просто. Также как и все элементы сайта, ключ авторизации спрятан непосредственно в коде страницы ресурса, на котором размещено стороннее приложение. Чтобы понять, как его найти, обратимся к популярному браузеру «Chrome». С помощью этого WEB-обозревателя запускаем интересующее нас приложение и однократным кликом правой кнопки мыши в любом месте страницы вызываем всплывающее меню. В нём следует выбрать пункт под названием «Просмотр кода страницы». Нашему вниманию будет представлена страница с множеством непонятных символов. Естественно, во всём этом разбираться не надо. Достаточно нажать клавиши Ctrl+F, и ввести в появившемся поле начальные буквы интересующего элемента. В нашем случае вводим «auth». После этого на странице кода выделится ярким цветом слово, введённое в поле. Примерный вид нужной строки будет таким: «auth_key»: «e6b84623c311f08f15e8263dd2f3a48a». Здесь e6b84623c311f08f15e8263dd2f3a48a и есть тот самый Auth-key.
Во всех браузерах, отличных от Chrome, процедура поиска auth key почти одинаковая. Основное отличие в том, что при нажатии правой кнопки мыши во всплывающем меню вместо пункта «Просмотр кода страницы» может быть, что-то другое, но по смыслу похожее. В некоторых WEB-обозревателях код страницы можно просмотреть, нажав одновременно клавиши Ctrl+U. В остальном, последовательность действий та же, что описана в приведённом выше примере.
Каким образом можно узнать auth key для Тюряги
Во-первых, Вы должны понимать, что сообщать свой auth key можно только людям, которым Вы доверяете. Есть различные боты и программы, в которых требуется его ввести, поэтому будьте предельно осторожны, т.к. могут, например, пропасть нычки.
Auth key является Вашим идентификатором (проще говоря личный номер) в приложении.
О безопасности мы поговорили, теперь давайте посмотрим, как можно его узнать:
1. Заходим в игру
2. Смотрим код страницы. Например, в Хроме нужно нажать правой кнопкой мышки на странице (нажимать не на саму игру) и нажать на «Просмотр кода страницы» (в Опере – «Исходный код», в Mozilla Firefox – «Исходный код страницы»)
3. Ищем следующий текст:
4. У Вас будет примерно такая строка:
5. Этот набор символов (всего 32):
и будет Вашим личным auth key.
Создание ключа авторизации (примеры)
В примерах ниже опущены заголовки TCP-транспорта.
При необходимости отправки полезной нагрузки (пакета) от сервера к клиенту или от клиента к серверу она инкапсулируется следующим образом: спереди дописывается 4 байта длины (включая длину, порядковый номер и CRC32; всегда делится на четыре) и 4 байта с порядковым номером пакета внутри данного tcp-соединения (первый отправленный пакет помечается 0, следующий — 1 и т.д.), а в конце — 4 байта CRC32 (длины, порядкового номера и полезной нагрузки вместе).
Подробная документация по созданию ключей авторизации здесь: создание ключа авторизации.
Создание ключа авторизации
Запрос (p,q)-авторизации
| Параметр | Сдвиг, длина | Значение | Описание |
|---|---|---|---|
| auth_key_id | 0, 8 | 0 | Поскольку сообщение незашифрованное |
| message_id | 8, 8 | 51e57ac42770964a | Точный unixtime * 2^32 |
| message_length | 16, 4 | 20 | Длина тела сообщения |
| %(req_pq) | 20, 4 | 60469778 | Номер конструктора req_pq из TL-схемы |
| nonce | 24, 16 | 3E0549828CCA27E966B301A48FECE2FC | Случайное число |
Длина заголовка — 20 байтов, длина тела сообщения — 20 байтов, полная длина отправляемого сообщения — 40 байтов.
Ответ от сервера получен со следующим контентом:
Разбор ответа по следующей формуле:
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| auth_key_id | 0, 8 | 0 | Поскольку сообщение незашифрованное |
| message_id | 8, 8 | 51E57AC91E83C801 | Идентификатор сообщения от сервера |
| message_length | 16, 4 | 64 | Длина тела сообщения |
| %(resPQ) | 20, 4 | 05162463 | Номер конструктора resPQ из TL-схемы |
| nonce | 24, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 40, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Рандомное число, генерируемое сервером |
| pq | 56, 12 | 17ED48941A08F981 | Однобайтовый префикс, обозначающим длину, строка длиной 8 байтов и три байта выравнивания |
| %(Vector long) | 68, 4 | 1cb5c415 | Номер конструктора Vector long из TL-схемы |
| count | 72, 4 | 1 | Количество элементов в списке отпечатков ключей |
| fingerprints[] | 76, 8 | c3b42b026ce86b21 | Младшие 64 бита SHA1 ( server_public_key ) |
Разложение на простые множители
Pq = 17ED48941A08F981 разложено на 2 простых сомножителя:
Генерация encrypted_data
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| %(p_q_inner_data) | 0, 4 | 83c95aec | Номер конструктора p_q_inner_data из TL-схемы |
| pq | 4, 12 | 17ED48941A08F981 | Однобайтовый префикс, обозначающим длину, строка длиной 8 байтов и три байта выравнивания |
| p | 16, 8 | 494C553B | Первый простой сомножитель: однобайтовый префикс, обозначающим длину, строка длиной 4 байта и три байта выравнивания |
| q | 24, 8 | 53911073 | Второй простой сомножитель: однобайтовый префикс, обозначающим длину, строка длиной 4 байта и три байта выравнивания |
| nonce | 32, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 48, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| new_nonce | 64, 32 | 311C85DB234AA2640AFC4A76A735CF5B 1F0FD68BD17FA181E1229AD867CC024D | Рандомное число, генерируемое клиентом |
Сериализация P_Q_inner_data дает некую строку data. Далее находится encrypted_data :
Длина итоговой строки составила 256 байтов.
Запрос начала обмена ключей по Диффи-Хеллману
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| auth_key_id | 0, 8 | 0 | Поскольку сообщение незашифрованное |
| message_id | 8, 8 | 51e57ac917717a27 | Точное UNIX-время unixtime * 2^32 |
| message_length | 16, 4 | 320 | Длина тела сообщения |
| %(req_DH_params) | 20, 4 | d712e4be | Номер конструктора req_DH_params из TL-схемы |
| nonce | 24, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 40, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| p | 56, 8 | 494C553B | Первый простой сомножитель: однобайтовый префикс, обозначающим длину, строка длиной 4 байта и три байта выравнивания |
| q | 64, 8 | 53911073 | Второй простой сомножитель: однобайтовый префикс, обозначающим длину, строка длиной 4 байта и три байта выравнивания |
| public_key_fingerprint | 72, 8 | c3b42b026ce86b21 | Использованный отпечаток публичного ключа |
| encrypted_data | 80, 260 | См. выше | См. «Генерация encrypted_data» |
Ответ от сервера был получен со следующим контентом:
Для разложения ответа используется следующая формула:
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| auth_key_id | 0, 8 | 0 | Поскольку сообщение незашифрованное |
| message_id | 8, 8 | 51E57ACB36435401 | Точное UNIX-время unixtime * 2^32 |
| message_length | 16, 4 | 632 | Длина тела сообщения |
| %(server_DH_params_ok) | 20, 4 | d0e8075c | Номер конструктора server_DH_params_ok из TL-схемы |
| nonce | 24, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 40, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| encrypted_answer | 56, 596 | См. ниже |
Конверсия encrypted_answer в ответ
Для разложения Server_DH_inner_data используется следующая формула:
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| %(server_DH_inner_data) | 0, 4 | b5890dba | server_DH_inner_data constructor number from TL schema |
| nonce | 4, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 20, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| g | 36, 4 | 2 | Значение, полученное от сервера в шаге 2 |
| dh_prime | 40, 260 | C71CAEB9C6B1C9048E6C522F70F13F73 980D40238E3E21C14934D037563D930F 48198A0AA7C14058229493D22530F4DB FA336F6E0AC925139543AED44CCE7C37 20FD51F69458705AC68CD4FE6B6B13AB DC9746512969328454F18FAF8C595F64 2477FE96BB2A941D5BCD1D4AC8CC4988 0708FA9B378E3C4F3A9060BEE67CF9A4 A4A695811051907E162753B56B0F6B41 0DBA74D8A84B2A14B3144E0EF1284754 FD17ED950D5965B4B9DD46582DB1178D 169C6BC465B0D6FF9CA3928FEF5B9AE4 E418FC15E83EBEA0F87FA9FF5EED7005 0DED2849F47BF959D956850CE929851F 0D8115F635B105EE2E4E15D04B2454BF 6F4FADF034B10403119CD8E3B92FCC5B | |
| g_a | 300, 260 |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| |
| server_time | 560, 4 | 1373993675 | Серверное время |
Вычисление случайного числа b
Генерация encrypted_data
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| %(client_DH_inner_data) | 0, 4 | 6643b654 | Номер конструктора client_DH_inner_data из TL-схемы |
| nonce | 4, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 20, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| retry_id | 36, 8 | 0 | Поскольку первая попытка |
| g_b | 44, 260 |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| g^b mod dh_prime |
Сериализация Client_DH_Inner_Data производит некоторую строку данных (data). За этим следует encrypted_data :
Длина финальной строки равна 336 байтам.
Запрос
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| auth_key_id | 0, 8 | 0 | Поскольку сообщение незашифрованное |
| message_id | 8, 8 | 51e57acd2aa32c6d | Точное UNIX-время unixtime * 2^32 |
| message_length | 16, 4 | 20 | Длина тела сообщения |
| %(set_client_DH_params) | 20, 4 | f5045f1f | Номер конструктора set_client_DH_params из TL-схемы |
| nonce | 24, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 40, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| encrypted_data | 56, 340 | См. выше |
Вычисление auth_key
Для вычисления auth_key используется формула g^
Проверка auth_key_hash
Сервер проверяет, что auth_key_hash является уникальным: Ключ является уникальным.
Ответ от сервера получен со следующим контентом:
Для разложения Set_client_DH_params_answer используется следующая формула:
| Параметр | Сдвиг, длина в байтах | Значение | Описание |
|---|---|---|---|
| %(dh_gen_ok) | 0, 4 | 3bcbf734 | Номер конструктора dh_gen_ok из TL-схемы |
| nonce | 4, 16 | 3E0549828CCA27E966B301A48FECE2FC | Значение, генерируемое клиентом в шаге 1 |
| server_nonce | 20, 16 | A5CF4D33F4A11EA877BA4AA573907330 | Значение, полученное от сервера в шаге 2 |
| new_nonce_hash1 | 36, 4 | CCEBC0217266E1EDEC7FB0A0EED6C220 | См. «Генерация encrypted_data» |
Сайт про Telegram на русском (неофициальный).
Здесь собраны приложения на базе MTProto, переведена некоторая документация с официального сайта, а также работает Webogram.
