Update app.py

app.py

@@ -1022,6 +1022,47 @@ def get_order_monitop():
 
 
 
+
+# Функция для валидации подписи ВК приложения
+def is_valid(*, query: dict, secret: str) -> bool:
+    """Check VK Apps signature"""
+    # Отфильтровываем параметры, начинающиеся с "vk_"
+    vk_subset = OrderedDict(sorted((k, v) for k, v in query.items() if k.startswith("vk_")))
+    logging.debug(f"Filtered VK params: {vk_subset}")
+    
+    # Объединяем параметры в строку
+    encoded_params = urlencode(vk_subset, doseq=True)
+    logging.debug(f"Encoded params: {encoded_params}")
+    
+    # Вычисляем хеш-код с использованием HMAC и SHA256
+    hash_code = b64encode(HMAC(secret.encode(), encoded_params.encode(), sha256).digest())
+    decoded_hash_code = hash_code.decode('utf-8')[:-1].replace('+', '-').replace('/', '_')
+    logging.debug(f"Calculated signature: {decoded_hash_code}")
+    
+    # Сравниваем с переданной подписью
+    return query.get("sign") == decoded_hash_code
+
+# Функция для работы с базой данных
+def get_order_from_db(vkid):
+    conn = sqlite3.connect(DATABASE_NEW)
+    cursor = conn.cursor()
+
+    # Ищем запись по vk_id
+    cursor.execute("SELECT orders FROM contacts WHERE vk_id = ?", (vkid,))
+    result = cursor.fetchone()
+    logging.debug(f"Database result: {result}")
+
+    # Если запись по vk_id не найдена, возвращаем значение "not" для ордера
+    if not result:
+        logging.error(f"VK ID {vkid} not found")
+        return None
+
+    shop_st = result[0] if result[0] else '{}'
+    logging.debug(f"Shop_st: {shop_st}")
+    shop_st_data = json.loads(shop_st)
+    logging.debug(f"Existing record found. Loaded JSON: {shop_st_data}")
+
+    return shop_st_data
 
 # Чтение ордера по ключу и ВК ИД для приложения
 @app.route('/get_order', methods=['POST'])
@@ -1033,8 +1074,9 @@ def get_order():
         vkid = request.form.get('vk_id', '')
         order = request.form.get('order', '')
         apps_id = request.form.get('apps_id', '')  # Сюда придёт ИД ВК приложения
+        fullUrl = request.form.get('fullUrl', '')  # Полный URL, который выдаёт ВКонтакте
 
-        logging.debug(f"Received data: vk_id={vkid}, order={order}, apps_id={apps_id}")
+        logging.debug(f"Received data: vk_id={vkid}, order={order}, apps_id={apps_id}, fullUrl={fullUrl}")
 
         # Преобразуем строку в JSON
         try:
@@ -1043,17 +1085,35 @@ def get_order():
             logging.error(f"Error decoding JSON: {e}")
             return jsonify({"status": "invalid"}), 200
 
-        # Достаем секретный ключ по ключу apps_id
-        try:
-            secret = api_key_apps_vk_dict[apps_id]
-        except KeyError:
-            logging.error("Key not found")
-            return jsonify({"status": "invalid"}), 200
+        # Проверка подписи для приложения
+        if str(apps_id) not in api_key_apps_vk_dict:  # Приводим apps_id к строке
+            logging.error("Invalid apps_id")
+            return json.dumps({"error": "Invalid apps_id"}), 400
 
+        secret = api_key_apps_vk_dict[str(apps_id)]  # Приводим apps_id к строке
         logging.debug(f"Using secret: {secret}")
 
-        # Возвращаем успешный ответ
-        response = {"status": "valid", "secret": secret}
+        # Парсим полный URL для получения параметров запроса
+        query_params = dict(parse_qsl(urlparse(fullUrl).query, keep_blank_values=True))
+        logging.debug(f"Query params for signature check: {query_params}")
+
+        # Проверяем подпись
+        if not is_valid(query=query_params, secret=secret):
+            logging.error("Invalid signature")
+            return json.dumps({"error": "Invalid signature"}), 400
+
+        # Получаем данные из базы данных
+        shop_st_data = get_order_from_db(vkid)
+        if not shop_st_data:
+            response = {order: 'not'}
+            return jsonify(response), 200
+
+        # Ищем значение по ключу order
+        value = shop_st_data.get(order, 'not')
+        logging.debug(f"Value for order {order}: {value}")
+
+        # Возвращаем данные из столбца
+        response = {order: value}
         return jsonify(response), 200
 
     except Exception as e:
@@ -1078,7 +1138,6 @@ def get_order():
 
 
 
-