Mail.ruПочтаМой МирОдноклассникиВКонтактеИгрыЗнакомстваНовостиКалендарьОблакоЗаметкиВсе проекты

Какие существуют способы контроля доступа к telegram-боту?

Дормидонт Евлампиевич Знаток (294), на голосовании 10 месяцев назад
Я хочу, чтобы команда в telegram-боте выполнялась, только если её запускает определённый пользователь.
Я знаю, что для этого можно делать проверку по ID. Но у меня вопрос - является ли это достаточной защитой, или хакеры могут эту проверку легко обойти? И существуют ли другие способы контроля доступа?
Голосование за лучший ответ
Ilya Hämäläinen Мастер (1276) 11 месяцев назад
другие способы: включать авторизацию по паролю или использование токенов доступа, еще можно использовать базу данных для хранения информации о пользователях, которые имеют доступ к боту
твой интимный гусь Мыслитель (8595) 11 месяцев назад
Я твой бот лама и d твой id бибу пихал мамы-утки хацкер бойся меня

Можешь еще секретную фразу к id прилепить для подтверждения ориентации пользователя #яsupergay
user49913 Просветленный (38634) 11 месяцев назад
волков бояться - в лес не ходить
другие способы, очевидно, существуют - например, криптографические, - но я бы сказал, что твою реализацию этих способов хакеры обойдут с большей вероятностью, чем изобретут спуфинг telegram id

в конце концов, речь идёт о долбаном телеграм боте, а не о системе "периметр"... если кто-то научится подделывать айдишники, у него наверняка найдётся мишень повкуснее
Dlazder Мудрец (11127) 11 месяцев назад
Хакеры всегда все могут обойти, вопрос с какой стороны и нужно ли им это. А вообще если у тебя своя база данных где хранятся пользователи то не взломать. А если взломают хостинг-компанию на которой лежит твоя база данных? Или взломают админа этой хостинг-компании ещё откуда-то? В конце концов уязвимость телеграмма и снова по кругу. Ну ты понял...
Ptitsa Ptitsa Мастер (1679) 11 месяцев назад
ничего другого, кроме проверки ID пользователя придумывать не нужно. Этого вполне достаточно. Никакие хакеры и хацкеры обойти эту проверку не смогут от слова совсем.
Кроме одного случая - ты сам "просрешь" свой телеграм - аккаунт.
e404 Гуру (2882) 11 месяцев назад
Какого бота ты хочешь сделать, что даже боишься, что хакеры могут воспользоваться командой, которая им недоступна? =)
А так, я делал 2-мя способами:
  1. При нажатии на кнопку просил юзера ввести уникальный ключ, который генерировал.(20-50 символов) и проверял с помощью if.
  2. С помощью базы данных, вносишь туда все ID, потом вытаскиваешь только те ID, у которых в столбце "Admin_panel" стоит статус "Yes". Можно это совместить, тогда система еще сложнее будет получить доступ :)
 admin_panel = sql.execute("SELECT user_id FROM users WHERE adm_panel = ?", ("Yes", )
if message.chat.id == admin_panel:
#код кнопки
Похожие вопросы