Общие сведения

Авторизация на Яндекс.Фотках необходима для выполнения следующих действий: создание, удаление и редактирование ресурсов, а также для получения доступа к защищенным ресурсам.

Для выполнения действий, требующих авторизации, клиент API должен вместе с запросом передавать авторизационный токен (обычно -- в стандартном заголовке Authorization). Подробнее о способах передачи токена в рабочих запросах к API рассказывается в разделе Использование токена.

API Фоток поддерживает два протокола получения авторизационных токенов:

• OAuth 2.0 (рекомендуется);
• FimpToken.

Авторизация, использующая протокол FimpToken, является устаревшей, поэтому рекомендуется использовать OAuth-авторизацию. В будущем API будет поддерживать только авторизацию по OAuth.

Токен достаточно получить один раз. Время его действия не ограничено.

OAuth-авторизация

OAuth-авторизация использует стандартный протокол OAuth 2.0. При использовании OAuth-авторизации у клиента есть возможность не запрашивать логин и пароль пользователя, т.е. пользователь вводит свои логин и пароль только на Яндексе.

Чтобы использовать Oauth-авторизацию, разработчик должен зарегистрировать клиента на oauth-сервере Яндекса (см. Регистрация приложения). При регистрации разработчик указывает набор прав, необходимых клиенту для выполнения действий с данными пользователей. Возможные права для сервиса Яндекс.Фотки:

• загрузка новых альбомов и фотографий;
• изменение данных об альбомах, фотографиях и тегах;
• просмотр открытых и приватных альбомов и фотографий;
• удаление альбомов, фотографий и тегов.

В результате регистрации клиенту присваивается уникальный идентификатор, который должен быть использован этим клиентом при авторизации пользователя.

В последствии клиент запрашивает у пользователя разрешение на использование выбранных прав. Пользователь либо разрешает клиенту производить соответствующие действия с данными, либо запрещает. У пользователя нет возможности выбирать конкретные действия из списка предложенных.

Получив разрешение пользователя, OAuth-сервер Яндекса генерирует авторизационный токен и возвращает его клиенту. В дальнейшем при авторизации клиент пользуется только токеном (см. Использование токена).

Токен, полученный по протоколу OAuth, может быть использован для авторизации и в других сервисах Яндекс.

См. также

• Документация к OAuth на api.yandex.ru
• Получение OAuth-токена
• Официальный сайт OAuth
• Спецификация протокола OAuth 2.0 (черновик)

FimpToken

FimpToken-авторизация использует собственный протокол Яндекса.

При авторизации по FimpToken клиенту необходимо знать логин и пароль пользователя на Яндексе.

Приложение запрашивает у пользователя логин и пароль на Яндексе, обменивает их в зашифрованном виде на токен и в дальнейшем пользуется только токеном (см. Получение Fimp-токена).

При FimpToken-авторизации регистрация приложения не нужна.

Разработчик не может выбирать набор действий, которые приложение сможет выполнять над ресурсами пользователей. FimpToken автоматически дает клиенту право на все действия с пользовательскими данными на Яндекс.Фотках (см. выше).

FimpToken авторизует клиента только на сервисе Яндекс.Фотки.

См. также

• Получение Fimp-токена
• RFC2617: HTTP Authentication: Basic and Digest Access Authentication