Update app.py

app.py

@@ -1022,24 +1022,15 @@ def get_order_monitop():
 
 
 
-# Функция для валидации подписи ВКонтакте
+# Функция для валидации подписи ВК приложения
 def is_valid(*, query: dict, secret: str) -> bool:
     """Check VK Apps signature"""
-    # Сортируем параметры, начинающиеся с "vk_"
-    vk_subset = OrderedDict(sorted((k, v) for k, v in query.items() if k.startswith("vk_")))
-    
-    # Формируем строку для подписи и вычисляем подпись HMAC
-    data_to_sign = urlencode(vk_subset, doseq=True)
-    hash_code = b64encode(HMAC(secret.encode(), data_to_sign.encode(), sha256).digest())
-    
-    # Декодируем и преобразуем подпись
+    vk_subset = OrderedDict(sorted(x for x in query.items() if x[0][:3] == "vk_"))
+    hash_code = b64encode(HMAC(secret.encode(), urlencode(vk_subset, doseq=True).encode(), sha256).digest())
     decoded_hash_code = hash_code.decode('utf-8')[:-1].replace('+', '-').replace('/', '_')
-    
-    # Сравниваем полученную подпись с подписью из запроса
     return query["sign"] == decoded_hash_code
 
-# Маршрут для получения заказа
-# Функция для для Чтение ордера для приложения 
+# Чтение ордера по ключу и ВК ИД для приложения
 @app.route('/get_order', methods=['POST'])
 def get_order():
     try:
@@ -1048,15 +1039,34 @@ def get_order():
         # Читаем параметры из POST-запроса
         vkid = request.form.get('vk_id', '')
         order = request.form.get('order', '')
-        apps_id = request.form.get('apps_id', '') # Сюда придёт ИД ВК приложения, значение будет ключем для поиска Защищённого ключа в переменной 'api_key_apps_vk'
-        sign = request.form.get('sign', '') # Значение sign полученное при запуске приложения
+        apps_id = request.form.get('apps_id', '')  # Сюда придёт ИД ВК приложения
+        fullUrl = request.form.get('fullUrl', '')  # Полный URL, который выдаёт ВКонтакте
 
-        # надо проверку подленности добавить, находим в переменной 'api_key_apps_vk' Защищённый ключ по значению apps_id и проверяем подпись  sign
-        # Если подленная продолжаем действие, если нет сразу возвращаем в ответе not
-        if not vkid or not order:
-            logging.error("VK ID and order are required")
-            return json.dumps({"error": "VK ID and order are required"}), 400
+        logging.debug(f"Received data: vk_id={vkid}, order={order}, apps_id={apps_id}, fullUrl={fullUrl}")
 
+        # Проверяем наличие обязательных параметров
+        if not vkid or not order or not fullUrl:
+            logging.error("VK ID, order, and fullUrl are required")
+            return json.dumps({"error": "VK ID, order, and fullUrl are required"}), 400
+
+        # Проверка подписи для приложения
+        if str(apps_id) not in api_key_apps_vk:  # Приводим apps_id к строке
+            logging.error("Invalid apps_id")
+            return json.dumps({"error": "Invalid apps_id"}), 400
+
+        secret = api_key_apps_vk[str(apps_id)]  # Приводим apps_id к строке
+        logging.debug(f"Using secret: {secret}")
+
+        # Парсим полный URL для получения параметров запроса
+        query_params = dict(parse_qsl(urlparse(fullUrl).query, keep_blank_values=True))
+        logging.debug(f"Query params for signature check: {query_params}")
+
+        # Проверяем подпись
+        if not is_valid(query=query_params, secret=secret):
+            logging.error("Invalid signature")
+            return json.dumps({"error": "Invalid signature"}), 400
+
+        # Подключаемся к базе данных
         conn = sqlite3.connect(DATABASE_NEW)
         cursor = conn.cursor()
 
@@ -1118,7 +1128,6 @@ def get_order():
 
 
 
-