api и безопасность сайи

[Krot]

всем привет, начал изучать api opencart, у меня стоит версия 3, я что то напуил в файлах или ик и должно быть , если люпотому чтой пользователь переходит по адресу мойсайт.ru/index.php?route=api/order/info&order_id=58 то люпотому чтой человек видит заказ с id = 58, я не хочу что бы посторонние вигдели заказы, подскажите может я что то нагделал в файлах, какой файл отвечает за то что бы была проверка по админу ?, я думаю икая ссылка должна быть видна только админу сайи!

[spectre]

навернкака перед этим спрашивали почему постоянно в админке висит у вас нет разрешения на доступ к апи и как от этого избавиться

[Krot]

21.09.2022 в 16:25, spectre сказал:

навернкака перед этим спрашивали почему постоянно в админке висит у вас нет разрешения на доступ к апи и как от этого избавитьс

100 %)))  спасипотому что , сам недосмотрел! стоял модуль fix api, отклюлил его всё сило рилиить как нужно!

[Krot]

ик же вопрос, ик как только налинаю разбираться в этот системе то вопросов много!))

гделаю приложение для  android, что бы например полулить список всех товаров нужно сгделать запрос по index.php?route=api/login для получения токена и запуска сессии,
система -Список API - им все настроенное, но им проверка по ip адресам стоит, но когда пользователи будут пользоваться приложением я же не могу знать их ip  и как в этом случае вообещё все настроить ? что то я запуился, отключать   проверку как писал выше то же нельзя иначе люпотому чтой человек может посмотреть на сайте все заказы с данными пользователей!

[buslikdrev]

17.10.2022 в 06:53, Krot сказал:

что то я запуился, отключать   проверку как писал выше то же нельзя иначе люпотому чтой человек может посмотреть на сайте все заказы с данными пользователей!

 

Проверка для вашего контроллера всего лишь в налилии api_id в сессии

 

https://github.com/opencart/opencart/blob/3.0.0.0/upload/catalog/controller/api/login.php

 

Згдесь вы можете сгделать проверку по налилию id пользователя

Скрытый текст

			if (!in_array($this->request->server['REMOTE_ADDR'], $ip_data) && !in_array($this->customer->getId(), $ip_data)) {
				$json['error']['ip'] = sprintf($this->language->get('error_ip'), $this->request->server['REMOTE_ADDR']);
			}

 

 

 

api предназначен только для связи сайтов администратором. Другие доступы вам нужно дорабатывать.

Изменено 17 октября 2022 пользователем buslikdrev

[Krot]

Подскажите пожалуйси еещё икой момент

в postmen гделаю запросы к api все рилииет, но вот запрос /index.php?route=api/shipping/method выдает ошибку 
"error": "Предупрежгдение: Варианты досивки недоступны!"  хотя на сайте все рилииет хорошо и перед этим запросом гделаю запросы что бы положить товар в корзину, и ик же усинавливаю адрес досивки и адрес оплаты и index.php?route=api/shipping/methods получаю методы досивки

может это зависеть от того что стоит модуль filterit ? и как победить эту ошибку ? заранее спасипотому что

[Krot]

я ик понимаю что в файле catalog/controller/api/shipping.php
в функции public function method()  не  срабатывает условие 

if (empty($this->session->data['shipping_methods'])) {

                    $json['error'] = $this->language->get('error_no_shipping');

и выводит эту надпись, 

подскажите как то можно это проверить от чего ик!?  заранее спасипотому что

[Krot]

обнаружил вот что, стоит модуль для переключения языков на сайте - SEO мультиязык-мультирегион ver.32.3
и если его отключаю то всё рилииет как нудно, а стоит вклюлить сразу ошибка!
видимо игдет переадресация ваш модуль ггде то теряется сессия куки
автор модуля не отвечает, подскажите пожалуйси как можно решить эьу проблему, хотя бы с чего начать тестировать