• 0
Sign in to follow this  
MARCIO TENREIRO

Nova autenticação ao alterar a senha do usuário

Question

Só um desabafo, mas esse mercado livre só está nos fud***do..

Agora os bonitões inventaram nova autenticação de contas com nossos sistemas toda vez que a senha do usuário for mudada.

A pergunta é PRA QUE ESSA PORCARIA??

Tenho clientes com várias contas e só vamos perceber depois que começar a não baixar os pedidos. Vai virar uma zona isso!!!

image.png.52e56cd0f3240561ff0236cf666d7761.png

Share this post


Link to post
Share on other sites

14 answers to this question

Recommended Posts

  • 0

Como sempre a maior parte das mudanças causam mais dor de cabeça do que realmente ajudam, o jeito vai ser criar uma rotina para que sempre que houver algum problema de comunicação com a API e não for possível fazer a reautenticação de token, notificar o seller com um e-mail para que ele forneça uma nova autorização ao app.

Share this post


Link to post
Share on other sites
  • 0

Que merda, eles mandam esse email, mas quando você clica la não tem nada falando sobre o assunto.

sera q vai parar de enviar notificações pra conta do cliente?
queria saber mais a respeito disso e o que devo fazer.

alguem ai tem mais informações?

Share this post


Link to post
Share on other sites
  • 0
8 minutes ago, ronaldoguedess said:

Que merda, eles mandam esse email, mas quando você clica la não tem nada falando sobre o assunto.

sera q vai parar de enviar notificações pra conta do cliente?
queria saber mais a respeito disso e o que devo fazer.

alguem ai tem mais informações?

o que mudou é que se o cliente mudar a senha automaticamente seu token deixará de valer, então o cliente terá que fazer a autenticação de novo (isso já acontecia algumas vezes, onde por algum motivo que ninguém sabe, o token perdia a validade e passava a ser necessário realizar a autenticação novamente)

basicamente isso não muda em nada sua integração, o que você terá que fazer é criar mecanismos para identificar quando isso ocorre; aqui já temos esse tipo de controle desde o início, como sempre digo, não dá para confiar 100% em uma API (de qualquer lugar que seja), planejar todos esses detalhes evita muita dor de cabeça futura

Share this post


Link to post
Share on other sites
  • 0

Eu entendi mais que apenas revalidar o token. Quem que reautorizar as aplicações.
Acho que me empolguei.
Mas tem sentido, se por algum acaso o cara trocou a senha é porque entende que sua conta está insegura. Claro que o usuário pode ter esquecido a senha, eu faço isso direto!
Se for só refazer o token é moleza, você nem vai perceber se fez o seu script de renovação bonitinho ?
Agora se tiver que reautorizar... vai aparecer janelinha para ele tantas vezes que ele vai pensar que há algum tipo de invasão acontecendo

Share this post


Link to post
Share on other sites
  • 0
56 minutes ago, rodrigojob said:

Eu entendi mais que apenas revalidar o token. Quem que reautorizar as aplicações.
Acho que me empolguei.
Mas tem sentido, se por algum acaso o cara trocou a senha é porque entende que sua conta está insegura. Claro que o usuário pode ter esquecido a senha, eu faço isso direto!
Se for só refazer o token é moleza, você nem vai perceber se fez o seu script de renovação bonitinho ?
Agora se tiver que reautorizar... vai aparecer janelinha para ele tantas vezes que ele vai pensar que há algum tipo de invasão acontecendo

no texto eles não são muito claros, vamos ver na prática... kkk

Share this post


Link to post
Share on other sites
  • 0
9 hours ago, rodrigojob said:

Eu entendi mais que apenas revalidar o token. Quem que reautorizar as aplicações.
Acho que me empolguei.
Mas tem sentido, se por algum acaso o cara trocou a senha é porque entende que sua conta está insegura. Claro que o usuário pode ter esquecido a senha, eu faço isso direto!
Se for só refazer o token é moleza, você nem vai perceber se fez o seu script de renovação bonitinho ?
Agora se tiver que reautorizar... vai aparecer janelinha para ele tantas vezes que ele vai pensar que há algum tipo de invasão acontecendo

Também tive essa lógica de entendimento, mas se for apenas reautenticação de token então não vai mudar muita coisa.

Share this post


Link to post
Share on other sites
  • 0

Eu acho que o email veio somente formalizar um comportamento já existente, por que por aqui isso já acontecia, inclusive abri uma chamado a um tempo atrás com a equipe deles sobre isso. Quando o usuário troca a senha, o token perde a validade. OK, é um ponto de segurança importante. O problema é que o sistema do ML dá erro no token e não informa o motivo e, pelo menos aqui, não deixa fazer refresh. O usuário precisa logar no sistema novamente para que possamos receber um novo token válido. Infelizmente temos vários casos onde o token perde a validade às vezes total e às vezes parcialmente (permite consultar algumas coisas, mas em outras dá erro) e os motivos são variados. Fica complicado direcionar o cliente para o procedimento correto.

Share this post


Link to post
Share on other sites
  • 0

Estou com um problema aqui com 3 usuários.

Resolvi fazer uma limpa nos clientes que nao estao usando mais, e me deparei por 3 que não consigo de forma alguma atualizar o refresh token deles pra poder remover.

Consultei os IDs na minha lista de clientes na aplicação e eles estão la.. mas não consigo fazer o refresh do token de forma alguma...

 

E meu sistema não esta apto pelo menos pra trabalhar com casos assim... alguem ai tem alguma dica pra eu dar uma olhada nisso?

 

O meu sistema identifica que o token esta vencido, e chama o refreshtoken... e dai surge esse erro ai. eu posso interceptar esse erro e fazer uma ação pra ele, mas o que fazer? oq devo fazer pra voltar a atualizar o acesstoken desse cliente pra poder remove-lo?

{\"body\":{\"message\":\"Error validating grant. Your authorization code or refresh token may be expired or it was already used.\",\"error\":\"invalid_grant\",\"status\":400,\"cause\":[]},\"httpCode\":400}

 

Tentei fazer o update manual dessa forma, mas da um erro estranho:

anexei uma imagem com o erro.

https://api.mercadolibre.com/oauth/token?grant_type=refresh_token&client_id=APP_ID&client_secret=SECRET_KEY&refresh_token=REFRESH_TOKEN

 

Screenshot_2.jpg

Edited by ronaldoguedess

Share this post


Link to post
Share on other sites
  • 0

Na verdade só preciso saber o que fazer quando um cliente tiver com esse problema...

1 - Devo levar o cliente pra fazer login novamente desde o inicio? como se fosse a primeira vez?
2 - Ou tem uma solução melhor pra eu mesmo manipular esse erro e conseguir gerar o novo refresh token.

se alguém puder me ajudar ficarei grato!

Share this post


Link to post
Share on other sites
  • 0
8 hours ago, ronaldoguedess said:

Na verdade só preciso saber o que fazer quando um cliente tiver com esse problema...

1 - Devo levar o cliente pra fazer login novamente desde o inicio? como se fosse a primeira vez?
2 - Ou tem uma solução melhor pra eu mesmo manipular esse erro e conseguir gerar o novo refresh token.

se alguém puder me ajudar ficarei grato!

faça na mão os passos a partir do "code"

Share this post


Link to post
Share on other sites
  • 0

Eu acho que não salvei o 'CODE' no DB. ?

Só salvei esses:
- access_token,
- expires_in,
- refresh_token...

 

O COD é necessário para isso? pra quando acontecer isso? se sim vou começar a salvar.

 

2 - E assim q eu tiver o code? a partir de qual passo eu vou? desse?

$user = $meli->authorize($code, "https://dominio.com.br/auth/login/index.php"); 

abraços.

Edited by ronaldoguedess

Share this post


Link to post
Share on other sites
  • 0

Sim, eu sou.

A duvida é, Se eu guardar o CODE, e por algum acaso a conta perder a conexão igual aconteceu, com aquele codigo que guardei, o qual já foi usado, poderei trocar ele por outro token? e reautorizar a conta do cliente? 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this