C# קבלת Token של ימות המשיח

OdedDvir

@WWW אמר בC# קבלת Token של ימות המשיח:

@OdedDvir לא צריך טוקן.
תרשום טוקן כך: "0773137770:1234", כש-1234 זה הסיסמה.

אני יודע שאפשר כך, אבל רציתי לא לשלוח בכל פעם את השם והסיסמה...

אמנם גישה עם טוקן כאילו יותר מאובטח.

רק כאילו?
אשמח אם תוכל להרחיב, אני די בור בנושא

WWW

@OdedDvir אמר בC# קבלת Token של ימות המשיח:

אמנם גישה עם טוקן כאילו יותר מאובטח.

רק כאילו?
אשמח אם תוכל להרחיב, אני די בור בנושא

ענית בעצמך את התשובה:

אני יודע שאפשר כך, אבל רציתי לא לשלוח בכל פעם את השם והסיסמה...

אני לא הייתי חושש מסיסמה של מערכת טלפונית... יותר קל לנחש את זה או להריץ לופ, בד"כ זה או 4-5 ספרות או 10 עם קידומת של מספרי טלפון...

nigun

@WWW אמר בC# קבלת Token של ימות המשיח:

אני לא הייתי חושש מסיסמה של מערכת טלפונית... יותר קל לנחש את זה או להריץ לופ, בד"כ זה או 4-5 ספרות או 10 עם קידומת של מספרי טלפון...

לא הבנתי למה בכלל לחשוש לדליפה של הסיסמה
מה ההבדל בין אם אתה שולח את זה פעם אחת או מאה?
בכל אופן המערכות של ימות נחסמים אחרי כמה נסיונות כושלים

OdedDvir

@nigun אמר בC# קבלת Token של ימות המשיח:

לא הבנתי למה בכלל לחשוש לדליפה של הסיסמה
מה ההבדל בין אם אתה שולח את זה פעם אחת או מאה?

אני עכשיו לומד את הנושא של API, וקיבלתי את הרושם שמשתמשים בטוקן על מנת לאפשר גישה מאובטחת יותר.
אחרת למה צריך אותו אם אפשר לשלוח כפרמטר את השם והסיסמה בכל פעם?

dovid

@nigun אמר בC# קבלת Token של ימות המשיח:

מה ההבדל בין אם אתה שולח את זה פעם אחת או מאה?

אני לא מדבר על ימות כי אני לא מכיר בכלל, אבל המושג טוקן נפוץ מאוד באבטחה, ולמעשה הדרך בה אתה מחובר לכל שירות ע"י עוגיה זה אותו פרנציפ של טוקן.
למשל כשאתה מרענן את המייל, ג'מייל מזהים אותך בזכות העוגיה (שנשלחת שוב ושוב בכל בקשה) שלמעשה מהווה טוקן שתוכנו מזוהה כמשוייך אליך מאז הפעם הראשונה השתמשת בסיסמה.
כעת לפי השאלה שלך לא צריך טוקן אלא העוגיה יכולה להכיל את הסיסמה עצמה.
אבל התשובה היא ראשית כל שבטח שיש הבדל בין פעם אחת למאה, אם יש לבית שלך מאה דלתות הסיכוי לפרוץ אליו גודל בהרבה, אם יש לבית שלך מאה חלונות יש לך מאה חלונות לאבטח. אם מישהו מנסה לצוטט בתקשורת והוא הצליח אחרי הרבה ניסיונות לדוג בקשה אחת, הוא לא יידע את הסיסמה אלא רק את הטוקן.
כמו"כ אם מישהו פיזית מצליח לגשת למחשב שלך הוא גם יידע רק את הטוקן.
מה ההבדל בין הטוקן לסיסמה? אכן עם הטוקן ברוב המקרים (כולל ג'מייל) הוא יוכל להתחבר עם זה וכל מה שאפשר לעשות עם סיסמה בשגרה, אבל ברגע שתשים לב או ג'מייל ישימו לב לפעילות חשודה, הטוקן יפוג והוא יידרש לסיסמה.
כמו"כ כל פעילות "רצינית" בחשבון מחייבת "ריענון" של הטוקן ע"י הזנה חוזרת של הסיסמה.
יש גם מעלה בטוקן לביצועים של צד השרת (במידה ונוהגים לפי כללי האבטחה המקובלים כיום) אבל פה ימות מאפשרים שני דרכים אז זה לא רלוונטי (מסגנון הסיסמה של ימות זה נראה שהמצב של האבטחה שמה לא בשמיים וממילא ההסברים המלומדים שלי נועדו יותר לג'מייל).

OdedDvir

בכל מקרה, אני אשמח לתשובה על השאלה המקורית...
אגב, כל זה כהמשך להדרכה הנפלאה של @dovid בנושא כאן, מה שעודד אותי לקפוץ למים ולנסות לכתוב ספריה ב-C# לעניין...

nigun

@OdedDvir
צריך לדעת לכתוב C# + להכיר את הAPI של ימות בשביל לעזור לך
אני מכיר רק את הAPI של ימות
אולי אם אני יפרט כאן איך הAPI עובד מישהו יוכל להשלים בC#
בקשה לטוקן מתבצעת עם:

https://www.call2all.co.il/ym/api/Login?username=077313777&password=1234

בתגובה אתה מקבל JSON כזה:

{"responseStatus":"OK","token":"elKktjXXXXXXXXXX","yemotAPIVersion":6}

אז מה נשאר לך למצוא
א. איך שולחים בקשת HTTP לימות בC#
ב. איך מפרקים JSON בC#

אני משער שעכשיו מומחי הC# יוכלו להפנות אותך למדריך המתאים

by6199

@OdedDvir אמר בC# קבלת Token של ימות המשיח:

אני עכשיו לומד את הנושא של API, וקיבלתי את הרושם שמשתמשים בטוקן על מנת לאפשר גישה מאובטחת יותר.
אחרת למה צריך אותו אם אפשר לשלוח כפרמטר את השם והסיסמה בכל פעם?

פעם לא היה אפשרי מספר וסיסמה זה די חדש למיטב ידיעתי

שואף

שימו לב רק שהעוגיה נאפית אחרי פסח
הזכרתם לי שאני רעב

חוקר

@dovid אמר בC# קבלת Token של ימות המשיח:

יש גם מעלה בטוקן לביצועים של צד השרת (במידה ונוהגים לפי כללי האבטחה המקובלים כיום) אבל פה ימות מאפשרים שני דרכים אז זה לא רלוונטי (מסגנון הסיסמה של ימות זה נראה שהמצב של האבטחה שמה לא בשמיים וממילא ההסברים המלומדים שלי נועדו יותר לג'מייל).

המתכנת של הAPI בימות המשיח בהתייחסות לאפשרות שהם הוסיפו לאפשר כתב לי כך:
זה עובד אותו דבר רק שומר את הטוקן אצלינו
אולי לזה אתה מתכוין