(არა)ოფიციალური Habr აპლიკაცია - HabrApp 2.0: წვდომის მოპოვება

ერთ დაღლილ და უკვე საკმაოდ მოსაწყენ საღამოს, მე ვფურცლავ ოფიციალური Habr-ის აპლიკაცია, კიდევ ერთხელ მოვიხარე თითები, თითო ყოველი არასამუშაო ფუნქციისთვის. აი, მაგალითად, კომენტარს ვერ აკეთებთ, აქ ხმის მიცემის უფლებას გეკრძალებათ და საერთოდ, რატომ არ ჩანს ფორმულები ეკრანზე?

გადაწყდა: გვჭირდებოდა რაღაც კომფორტული, სასიამოვნო, რაღაც ჩვენი. რაც შეეხება თქვენს საკუთარ აპლიკაციას Habr-ისთვის?
ნება მომეცით მოგცეთ რამდენიმე სკრინშოტი სიტუაციის გასაგებად.

რაღაც ასე გამოიყურება ამ - დან. habr.com აპლიკაცია

"უხერხულობის" სია

• თქვენ არ შეგიძლიათ შეაფასოთ პუბლიკაცია, რომლის რეიტინგი განსხვავდება 0-დან
• ყოველთვის არ არის შესაძლებელი კომენტარის დაწერა
• გამოკითხვები არ მუშაობს
• ფორმულები არ ჩანს მუქ თემაში (შავი შავზე)
• ყველა სანიშნე არ არის ხელმისაწვდომი

დიახ, აპლიკაცია არ განახლებულა გასული წლის აგვისტოს შემდეგ, მაგრამ მაინც ცუდია. ზოგადად, ეს უნდა გამოსწორდეს.

ნაწილი პირველი. ეძებს წვდომას.

სწრაფი Google შეკითხვა "habrahabr API" ამბობს, რომ უკვე საკმაოდ მოძველებულია საცავი Github-ზე, მას შემდეგ არ განახლებულა ნოემბერი 21 2016და ეს, ერთი წუთით, ორწელიწადნახევარი.

უგულებელყოფთ იმ ფაქტს, რომ ეს არის PHP, გადადით ქვემოთ და წაიკითხეთ:

განაცხადის ID-ის მიღება

უპირატესობის მიღება ამ ფორმას Habrahabr-ზე, თქვენ უნდა მოკლედ აღწეროთ ახალი აპლიკაციის არსი და მიზანი, რისთვისაც მას სჭირდება API.

კითხვა არ არის, თუ თქვენ გჭირდებათ წვდომა, მაშინ ეს გჭირდებათ. ჩვენ ვწერთ წერილს (შემოკლებით):

წერა

არსებობს სურვილი, რომ განხორციელდეს განაცხადი Habr-ზე PWA-ზე დაყრდნობით. ამის რამდენიმე მიზეზი არსებობს. 

პირველი და ყველაზე აშკარა: Android აპლიკაცია არ აკმაყოფილებს ჩემს პირად მოთხოვნებს.

მეორე: არ არის საკმარისი მშობლიური შეტყობინებები ყველა სახის ნივთის შესახებ, რომელიც ჩვეულებრივ მოდის ელექტრონული ფოსტით (მაგალითად, კომენტარები).

მესამე: პირადი შეჯამება (როგორც პერსპექტივა) ადამიანებზე/ცენტრებზე, რომლებიც მაინტერესებს, ჩემი ინტერესების გათვალისწინებით.

პასუხი, რა თქმა უნდა, არ იყო ძალიან სასიამოვნო, მაგრამ მაინც გულწრფელი:

სამწუხაროდ, ჩვენს API-ზე წვდომა ამჟამად მიუწვდომელია. ჩვენ ვაპირებთ განაახლონ წვდომის მიწოდება API-ს დასრულებამდე, მაგრამ ზუსტი თარიღები ჯერ არ გვაქვს, რადგან ამჟამად სხვა პრიორიტეტული ამოცანების გადაჭრით ვართ დაკავებული.

"Კარგი, პრობლემა არაა! რამეს მოვიფიქრებთ!" - ვუთხარი ჩემს თავს და ყურება დავიწყე.

Მეორე ნაწილი. ღრმა გათხრები.

ლოგიკის მიხედვით, თუ აპლიკაცია გაშვებულია, მაშინ მას აქვს წვდომა API-ზე და ის ჩართულია აპლიკაციაში. გავაანალიზოთ.

ვინაიდან საქმე გვაქვს ტრაფიკთან, Wireshark ჩვენი არჩევანია. გარკვეული ტკივილების გარეშე, როდესაც ტელეფონს დავუკავშირებთ ინტერნეტს დესკტოპის კომპიუტერის საშუალებით, ჩვენ ვხსნით აპლიკაციას და ვუყურებთ მოთხოვნებს:

გასაგებია, რომ არაფერია გასაგები

დიახ, ყველაფერი დაშიფრულია, მაგრამ მე არ მინდა კრიპტოგრაფიის არევა. შემდეგ თქვენ უნდა შეხედოთ თავად აპლიკაციას.

დეკომპილირებული .apk, დავიწყოთ ძებნა. რა სჭირდება ნებისმიერ API-ს? უფლება, საბოლოო, ადგილი, სადაც ყველა მოთხოვნა მიდის. ეს არის ალბათ http(s), მოდით ვცადოთ ვიპოვოთ "https://":

ფაილში AuthLinkManager.smali ჩვენ ვიპოვეთ

.field OAUTH:Ljava/lang/String; = "https://habrahabr.ru/auth/o/%s/"
.field OAUTH_PARAMS:Ljava/lang/String; = "?client_id=%s&response_type=token&redirect_uri=%s"
.field OAUTH_REDIRECT_URL:Ljava/lang/String; = "http://cleverpumpkin.ru"

ეს არის Android ვირტუალური მანქანის კოდი (დალვიკ ვ.მ.), არ არის ძალიან გასაგები ადამიანებისთვის, მაგრამ მაინც საკმაოდ ინფორმატიული. ეს სამი მუდმივი, მათი შინაარსისა და სახელის მიხედვით ვიმსჯელებთ, ისევე როგორც GitHub საცავი, გამოიყენება წვდომის ნიშნის მოთხოვნით მეთოდის გამოყენებით. GET.

მოდით უფრო შორს გადავხედოთ. ფაილი, რომელიც ჩნდება შემდეგ ძიებაში არის NetworkModule.smali:

const-string v0, "https://habr.com/api/v1/"

და აქ არის ადგილი, სადაც უნდა წახვიდეთ თქვენი მოთხოვნებით!

იმისთვის, რომ დაწერილმა კლიენტმა სწორად იმუშაოს, მხოლოდ ერთი რამ რჩება გასარკვევი - client_id, რომელიც, სავარაუდოდ, აპლიკაციის უნიკალური იდენტიფიკატორია.

თუმცა, ამ ტექსტის საწყის კოდში ძიებამ არ გამოიწვია შესაბამისი ინფორმაციის მოძიება...

მაგრამ უცებ ერთ-ერთ ფაილში ჩემმა თვალებმა რამდენიმე საინტერესო სტრიქონი დაინახა:

const-string p8, "log-tag"
invoke-static {p8, p2}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I

ეს, როგორც გესმით, არის ჟურნალის ჩანაწერი. მაგრამ რისი ჩაწერა?

ნაწილი მესამე. ეს არის ჟურნალები!

Ჩვენ ვიყენებთ adb logcat აპლიკაციის ჟურნალების სანახავად.

მოულოდნელად, ჟურნალები კიდევ უფრო დეტალური აღმოჩნდა, ვიდრე მოსალოდნელი იყო.

აქ ჩვენ გვაქვს არა მხოლოდ ის, რაც გვჭირდება client_idმაგრამ ტოკენ მომხმარებელი/აპლიკაცია და შესვლაზე и დაგავიწყდათ უბრალო ტექსტში!

ზოგიერთი შეთქმულების თეორიაჟურნალებში მხოლოდ შესვლისა და პაროლის არსებობა არაფერს ავნებს, რადგან ამ ჟურნალის წაკითხვა შესაძლებელია მხოლოდ root უფლებებით ან კავშირის საშუალებით. adb. მაგრამ იმის გამო, რომ Habr-ს კითხულთა შორის არიან Android-ის დეველოპერები, რომლებსაც შესაძლოა ჩართული ჰქონდეთ გამართვა, ეს პრობლემად იქცევა.

ამ შემთხვევაში, აეროპორტში „უფასო დარიცხვამ“ შესაძლოა ანგარიშის მოპარვა გამოიწვიოს, მაგრამ ვის სჭირდება ეს?
ამ ჟურნალებიდან შეგვიძლია ამოვიღოთ:

• client_id и apikeyსაჭიროა წვდომა api;
• მომხმარებლის ავტორიზაციის URL (უცნაურია, მაგრამ ამ მეთოდის შესახებ საცავში არაფერია, იქნებ არ არის მოწოდებული?)

ასეც მოხდა. ამ პაწაწინა კვლევის საფუძველზე უკვე მიმდინარეობს მუშაობა მცირე პროექტზე - ჩვენივე მობილური აპლიკაციის დანერგვა. დახმარების მსურველებს ვთხოვ მესიჯის დაწერაში, დანარჩენებს კი - ხმა მისცენ (რადგან მინდა გავიგო ეს ვინმეს სჭირდება თუ არა).

დიდი მადლობა!

გამოკითხვაში მონაწილეობა შეუძლიათ მხოლოდ დარეგისტრირებულ მომხმარებლებს. Შებრძანდითგთხოვთ

იყენებთ Habr-ის მობილურ აპლიკაციას?

• კი, ვიყენებ, კმაყოფილი ვარ

• დიახ, მე ვიყენებ, აპლიკაცია იწვევს უხერხულობას

• არა, მე ვიყენებ ვებ ვერსიას ჩემს ტელეფონზე

• არა, მე ვიყენებ Habr-ს ჩემი კომპიუტერიდან

მისცა ხმა 357 მომხმარებელმა. 30-მა მომხმარებელმა თავი შეიკავა.

წყარო: www.habr.com