Access token must not be null банк открытие что это значит

Обновлено: 18.04.2024

Райффайзен Банк

Vler, По этому накопительному счету ставка - 4,5% годовых.
Вы можете посмотреть ставку в приложении в разделе Счета - проваливаетесь в накопительный счет - Инфо - Процентная ставка.

Алексей Корнеев

Райффайзен Банк

Алексей, Здравствуйте! Напишите нам в чат или позвоните по телефону call-центра 8 800 700 91 00. Коллеги помогут с перевыпуском карты.

Алексей Корнеев

Райффайзен Банк

Алексей, Напишите нам в чат или позвоните по телефону call-центра 8 800 700 91 00. Коллеги помогут с перевыпуском карты.

Владислав Лебедев

Райффайзен Банк

😊

Владислав, Добрый день!
Никак, невозможно технически. Это не переписка.

Андрей Зубаков

Здравствуйте, подскажите, пожалуйста, что делать: при входе в мобильное приложение, либо на сайт, сталкиваюсь с огромным количеством ошибок (не даёт сменить пароль при входе по карте на сайте "возникла ошибка", в мобильном приложении постоянно выскакивает "внутренняя ошибка сервера")
P.S. теперь ещё добавилось, что "по данной карте установлены ограничения"

Райффайзен Банк

Андрей, Здравствуйте, Андрей. Напишите, пожалуйста, в чат банка или позвоните нам в call-центр по телефону 8 800 700 91 00, коллеги детально проверят в чем проблема.

Иван Сливинский

Здравствуйте, не могу подтвердить устройство для того, чтобы делать переводы с карты на карту и по номеру телефона. В разделе Ещё - Подтверждение устройства выдаёт ошибку Security token must not be null. Пробовал удалять и вновь скачал приложение, проблема не решилась. Ответ от технической поддержки содержал рекомендации проверить "Сервисы Google Play", там все разрешения имеются

Райффайзен Банк

Виктория Михайлова

У меня такой вопрос : пыталась онлайн в личном кабинете ( мобильная версия) перевести деньги на карту клиента СБ по номеру телефона , но банк "не нашёл клиента в базе СБ" и перевод не прошёл. Что делать в таких случаях??

Райффайзен Банк

Виктория, Здравствуйте! Чтобы переводить деньги по номеру телефона без комиссии, сначала нужно подключить сервис в приложении Сбербанка. Сейчас расскажем, как это сделать:

Готово! Теперь вы можете переводить и получать переводы на карту Сбербанка по номеру телефона.

Виктория Михайлова

Райффайзенбанк Россия, Извините, я не совсем поняла. То есть мне, чтобы перевести деньги с карты Райффазенбанка на карту СБ, нужно зайти в приложение Сбербанка?

Райффайзен Банк

Виктория, Предполагаем, что в приложении Сбербанка не активирован сервис, поэтому при переводе система не смогла найти клиента в Сбербанке. Поэтому вначале подключаете сервис в приложении Сбербанка, затем делаете перевод в нашем приложении. После активации должно все получится!

Евгений Халецкий

Александр Lert

Выдаваемый контактом access_token привязан к IP-адресу. Поэтому вы не можете использовать один и тот же токен для доступа и с клиента, и с сервера.

Сергей Миколайтис

Как же тогда обновить в таком случае access token? Я пытался и почистить куки и прочее выдается все время один и тот же access token и выдает ошибку айпи адреса. Проблема очень актуальна. Если ответите, то сообщите пожалуйста в личку.

Александр Кобозев

Такая же проблема возникла :(

Возникает вопрос: нафига в iFrame передаётся access_token если потом с ним нельзя делать серверные запросы, т.к. айпишники не совпадают.

И можно ли всё-таки каким-то образом делать серверные запросы из iFrame приложений?

DELETED

Александр Кобозев

Nick Saukin

Александр Lert

UPDATE: я забыл про Authorization Code Flow. Вероятно, через него прикинуться пользователем можно.

Александр Lert

Николай, crossdomain-запрос можно делать через трюк с тегом script или iframe, благо VK API поддерживает JSONP. В запрос следует добавить параметр callback=myApiCallback, и в javascript сделать функцию myApiCallback(data)<. >, принимающую ответ от API.
Всё это уже умеет замечательно делать библиотека jquery, так что то, что написано выше, делать не надо. При вызове jQuery.ajax() указать dataType: 'jsonp', и всё.

Nick Saukin

DELETED

Александр Lert

Валентинъ, ну, по-идее в OAuth 2 для этого нужно использовать Authorization Code Flow (в контакте документация вот: http://vk.com/developers.php?oid=-1&p=Авторизация..). Не знаю, насколько хорошо оно работает в приложениях VK, так как в доке написано "для сайтов".

Артем Полторанин

Я также столкнулся с этой проблемой неожиданно, так как во время разработки приложения, IP сервера и клиента совпадали(так как это был мой локальный компьютер). До сих пор не укладывается в голове, что серверная часть iframe приложения не имеет никаких прав авторизованного юзера.

Вконтакте могли бы сделать механизм, по которому можно было с сервера запросить другой access_token, передавая в iframe параметр code (для последующего запроса с сервера через oauth api) или могли бы в настройках приложения дать возможность указать дополнительный IP для которого будет действителен access_token. Но ничего этого нет.

Я не нашел ни одного вменяемого способа загрузить картинку на стену вконтакте имея URL этой картинки в JavaScript, не прибегая к ajax запросам к своему же серверу. Подскажите, пожалуйста, если кто знает таковой.

Сегодня 23 мая 2022 наблюдаются перебои в работе приложений Открытие и веб-версии сайта банка Открытие.

Не работает банк Открытие

Почему не работает Открытие? Что за сбой 23 мая?

Нижегородская область (г. Нижний Новгород)Орловская область (г. Орёл)
Республика Коми (г. Сыктывкар)Новосибирская область (г. Новосибирск)
Республика Татарстан (г. Казань)Астраханская область (г. Астрахань)
Пензенская область (г. Пенза)Московская область (г. Москва)
Республика Марий Эл (г. Йошкар-Ола)Ханты-Мансийский автономный округ — Югра (г. Ханты-Мансийск)
Республика Адыгея (г. Майкоп)Архангельская область (г. Архангельск)
Волгоградская область (г. Волгоград)Амурская область (г. Благовещенск)
Кировская область (г. Киров)Республика Хакасия (г. Абакан)
Республика Мордовия (г. Саранск)Ямало-Ненецкий автономный округ (г. Салехард)
Воронежская область (г. Воронеж)Владимирская область (г. Владимир)
город МоскваКурганская область (г. Курган)
Республика Башкортостан (г. Уфа)Камчатский край (г. Петропавловск-Камчатский)
Краснодарский край (г. Краснодар)Республика Тыва (г. Кызыл)
Омская область (г. Омск)Вологодская область (г. Вологда)
Чукотский автономный округ (г. Анадырь)Белгородская область (г. Белгород)
Самарская область (г. Самара)Мурманская область (г. Мурманск)
город СевастопольУльяновская область (г. Ульяновск)
Смоленская область (г. Смоленск)Тюменская область (г. Тюмень)
Удмуртская республика (г. Ижевск)Саратовская область (г. Саратов)
Калужская область (г. Калуга)Карачаево-Черкесская Республика (г. Черкесск)
Томская область (г. Томск)Республика Саха — Якутия (г. Якутск)
Еврейская автономная область (г. Биробиджан)Иркутская область (г. Иркутск)
Республика Дагестан (г. Махачкала)Кабардино-Балкарская Республика (г. Нальчик)
Санкт-Петербург (г. Санкт-Петербург)Челябинская область (г. Челябинск)
Республика Северная Осетия — Алания (г. Владикавказ)Ярославская область (г. Ярославль)
Забайкальский край (г. Чита)Сахалинская область (г. Южно-Сахалинск)
Хабаровский край (г. Хабаровск)Магаданская область (г. Магадан)

Почему не работает Банк Открытие? Что за сбой 23 мая?

По вопросам сбоя в работе приложения на Android или iOS, а также мобильного банка вы можете обратиться по телефону горячей линии Открытие:

Вообщем, работал с vk api на локалке, все норм, все сделал и все работает, решил перенести скрипт на сервер. Перенес. vk возвращает ошибку
User authorization failed: access_token was given to another ip address
Понял, что нужно в настройках приложения поменять домен, поменял. Ошибка та же. Потом попробовал получить новый токен, получил и ошибка та же. Потом решил зарегистрировать новое приложение. Зарегестрировал, получил токен, но ошибка все та же. Что не так блин.

Для локалки создал новое приложение, новый токен и все работает. а на сервере нет

Вы издеваетесь? Вам же в ошибке написали в чём проблема, какой, млин, домен и с чего вы это поняли?
Засуньте в Google Translate и поймите что токен полученный с домашним IP не работает на сервере.

kowap

Слышишь, умник, я сразу понял что там написано, перепробовал все варианты и описал их здесь, что бы такие остряки как ты не писали "трудно загуглить?", "пробуй, прежде чем тему создавать ". Ты бы мне помогу лучше, чем понты гонять. Разные люди есть, ты не один такой самый смекалистый на свете

Илья Белобородов: Во-первых описанные вами варианты не имеют ничего общего с ошибкой, которую вы сами здесь привели. А во-вторых кроме очевидного негодования мой комментарий имеет вполне по-русски написанное объяснение вашей ошибки, которого достаточно для исправления проблемы.
И поумерьте свой тон, вам никто ничего не должен, а наоборот пытаются помочь. Мотайте на ус и задавайте конкретные уточняющие вопросы если вдруг всё еще что-то не ясно.

kowap

Назар Мокринский: вы что-то говорите про тон, но ваш ответ явно не дружелюбен. Да, что-то не ясно, вопрос: что мне делать?

kowap

если вы к тому, что нужно получить новый токен, то вы наверное не дочитали мой вопрос, и сразу кинулись писать ваш гневный ответ. Я получал новый токен для сайта на сервера, я создавал новое приложение (3 раза) для сайта, на котором хочу использовать api, и я 15 раз получал новый токен.

Илья Белобородов: ОК, уточняющий вопрос - каким именно образом вы получали access_token, и каким образом пытаетесь его использовать. Судя по всему вы получаете его через браузер, то есть нет разницы, на серверер код или нет, а использовать пытаетесь где-то в серверном коде. Вот такое у меня подозрение.

kowap

Вставляю это все дело в адресную строку, перехожу и получаю token, который вставляю себе в скрипт. Собственно так я это делаю.

Вы получили токен в браузере с IP вашего домашнего компьютера, а вставляете в скрипт, который выполняется на сервере с IP с серверным IP.
Естественно, IP для которого получен токен не совпадает с IP сервера с которого вы этот токен пытаетесь использовать.
И пересоздание приложения не может и не должно помочь. И новый токен тоже не может и не должен помочь.
Вы должны получить токен на сервере, для этого существует другой тип приложения, по-моему standalone он там называется или что-то вроде того. Там другой метод получения токена. Используйте его и всё будет работать.

kowap

kowap

Назар Мокринский: спасибо за помощь, все работает. но у меня теперь другая проблемка. я балуюсь с поиском аудиофайлов, вот на локолке работаею, получаю объект с найденной музыкой, с именем исполнителем и название песни, а так же с ссылкой на аудио файл. Но вот когда я это делаю на рабочем сервере, получаю все тоже самое, (исполнитель, песня, ссылка) но вот ссылка на аудиофайл не работает . ссылка вот такого вида cs9-11v6.vk.me/p11/b65693a0af5163.mp3?extra=zUFYlL.

Илья Белобородов: А здесь ответ тот же, ссылка привязана к IP, вы можете скачать файл по ссылке на сервере через wget или curl, но с домашнего IP она работать не будет.

kowap

Назар Мокринский: спасибо все понял, все получилось. и теперь контрольный вопрос: для прослушивания музыки онлайн нужно скачать песню себе на сервер, и только потом отдавать на прослушивание, и по другому никак, верно?

Илья Белобородов: Как альтернатива вы можете пытаться скачивать и отдавать файл на лету, но не уверен на сколько это рабочий способ в общем случае.


Недавно мы в Voximplant улучшали авторизацию в SDK. Посмотрев на результаты, я несколько опечалился, что вместо простого и понятного токена их стало две штуки: access token и refresh token. Которые мало того что надо регулярно обновлять, так еще документировать и объяснять в обучающих материалах. Помня, что в OAuth два токена нужны в основном из-за разных сервисов, на которых они используются (даже вопрос на stackoverflow есть), а у нас такой сервис один, я несколько офигел и пошел на второй этаж вытрясать души из разработчиков. Ответ получился неожиданным. Его нет на stackoverflow. Зато он есть под катом.

Зачем вообще нужны токены

    Приложение разрабатывает один разработчик, нет ни идентификации, ни аутентификации, ни авторизации (кстати, рекомендую замечательную хабрастатью на эту тему от DataArt), запросы напрямую ходят к эндпоинтам сервера, разработчик счастлив.

Зачем нужен первый токен


Есть много разных токенов. Обычные, криптографические, «access key», «session token», разные схемы получения, использования и revoke. При этом одна из ключевых идей заключается в том, что если кто нехороший получит чужой токен, то самое неприятное, что случится — это доступ похитителя к сервису, от которого токен похищен. Пароль, тот самый, который один на все сервисы, похититель не получит. А пользователь, если поймет, что кроме него к сервису получил доступ кто-то другой, может токен отозвать. После чего получить себе новый, имея логин и пароль.



Зачем нужен второй токен

В OAuth 2 и некоторых других схемах авторизации (например, у нас) есть не один, а целых два токена. Первый, access token, используется при запросах к серверу (например, при логине). У него есть два свойства: он многоразовый и короткоживущий. Наш, к примеру, живет 48 часов, а у кого-то 30 минут. Время выбирается на основании того, как используется сервис. Второй, refresh token, используется для обновления пары access и refresh токенов. У него тоже есть два свойства, обратные первому токену: он одноразовый и долгоживущий. Совсем долгоживуший, наш живет месяц.

  • Пользователь логинится в приложении, передавая логин и пароль на сервер. Они не сохраняются на устройстве, а сервер возвращает два токена и время их жизни
  • Приложение сохраняет токены и использует access token для последующих запросов
  • Когда время жизни access token подходит к концу (приложение может само проверять время жизни, или дождаться пока во время очередного использования сервер ответит «ой, всё»), приложение используетrefresh token, чтобы обновить оба токена и продолжить использовать новый access token

Зачем на самом деле нужен второй токен


Все оказалось и проще, и сложнее чем я думал. Следите за руками:

Случай 1: Боб узнал оба токена Алисы и не воспользовался refresh

В этом случае Боб получит доступ к сервису на время жизни access token. Как только оно истечет и приложение, которым пользуется Алиса, воспользуется refresh token, сервер вернет новую пару токенов, а те, что узнал Боб, превратятся в тыкву.

Случай 2: Боб узнал оба токена Алисы и воспользовался refresh

В этом случае оба токена Алисы превращаются в тыкву, приложение предлагает ей авторизоваться логином и паролем, сервер возвращает новую пару токенов, а те, что узнал Боб, снова превратятся в тыкву (тут есть нюанс с device id, может вернуть ту же пару что и у Боба. В таком случае следующее использование refresh токена превратит токены Боба в то, что изображено справа).


Таким образом, схема refresh + access токен ограничивает время, на которое атакующий может получить доступ к сервису. По сравнению с одним токеном, которым злоумышленник может пользоваться неделями и никто об этом не узнает.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: