Update app.py

app.py

@@ -1025,32 +1025,35 @@ def get_order_monitop():
 
 
 # Функция для валидации подписи ВКонтакте
-def is_valid(*, query: dict, secret: str) -> bool:
+# Функция для валидации подписи ВКонтакте
+def is_valid(*, full_url: str, secret: str) -> bool:
     """Проверка подписи ВКонтакте"""
-    # Извлекаем параметры из строки запроса
-    parsed_url = urlparse(query.get('fullUrl', ''))
+    # Разбираем URL
+    parsed_url = urlparse(full_url)
     query_params = parse_qs(parsed_url.query)
 
-    # Фильтруем только параметры, начинающиеся с 'vk_'
-    vk_subset = OrderedDict(sorted(
-        (k, v[0]) for k, v in query_params.items() if k.startswith("vk_") and k != "sign"
-    ))
-
-    # Строка для подписи
-    data_to_sign = urlencode(vk_subset, doseq=True)
+    # Извлекаем параметры, начинающиеся с "vk_" и исключаем "sign"
+    vk_subset = {k: v[0] for k, v in query_params.items() if k.startswith("vk_") and k != "sign"}
     
-    # Вычисление подписи
-    hash_code = b64encode(HMAC(secret.encode(), data_to_sign.encode(), sha256).digest()).decode('utf-8')
+    # Сортируем параметры по алфавиту
+    vk_subset_sorted = sorted(vk_subset.items())
     
-    # Кодируем подпись в нужном формате
+    # Формируем строку для подписи
+    data_to_sign = urlencode(vk_subset_sorted, doseq=True)
+    
+    # Создаем подпись
+    hash_code = b64encode(HMAC(secret.encode(), data_to_sign.encode(), sha256).digest()).decode('utf-8')
     decoded_hash_code = hash_code[:-1].replace('+', '-').replace('/', '_')
 
+    # Получаем подпись из параметра "sign"
+    received_sign = query_params.get('sign', [None])[0]
+
+    # Логирование для отладки
     logging.debug(f"Строка для подписи: {data_to_sign}")
     logging.debug(f"Вычисленная подпись (Base64): {decoded_hash_code}")
-    logging.debug(f"Полученная подпись из запроса: {query.get('sign')}")
+    logging.debug(f"Полученная подпись из запроса: {received_sign}")
 
-    # Сравниваем подписи
-    return query.get("sign") == decoded_hash_code
+    return received_sign == decoded_hash_code
 
 # Чтение ордера по ключу и ВК ИД для приложения
 @app.route('/get_order', methods=['POST'])
@@ -1059,13 +1062,13 @@ def get_order():
         logging.debug("Начало обработки запроса get_order")
 
         # Чтение параметров из POST-запроса
+        fullUrl = request.form.get('fullUrl', '')  # Получаем полный URL из запроса
         vkid = request.form.get('vk_id', '')
         order = request.form.get('order', '')
-        apps_id = request.form.get('apps_id', '')  
-        fullUrl = request.form.get('fullUrl', '')
+        apps_id = request.form.get('apps_id', '')
 
         # Логирование параметров запроса
-        logging.debug(f"Полученные параметры: vk_id: {vkid}, order: {order}, apps_id: {apps_id}, sign: {sign}")
+        logging.debug(f"Полученные параметры: vk_id: {vkid}, order: {order}, apps_id: {apps_id}")
 
         # Получение ключей приложения
         api_key_apps_vk_dict = json.loads(api_key_apps_vk)
@@ -1077,8 +1080,8 @@ def get_order():
             return jsonify({"error": "Secret key not found for app ID"}), 400
 
         # Проверка подписи
-        if not is_valid(query=request.form, secret=secret_key):
-            logging.error(f"Неверная подпись для запроса: {request.form}")
+        if not is_valid(full_url=fullUrl, secret=secret_key):
+            logging.error(f"Неверная подпись для запроса: {fullUrl}")
             return jsonify({"error": "Invalid signature"}), 400
 
         # Проверка наличия vk_id и order
@@ -1123,6 +1126,34 @@ def get_order():
 
 
 
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+