api и безопасность сайта

[Krot]

всем привет, начал изучать api opencart, у меня стоит версия 3, я что то напутал в файлах или так и должно быть , если любой пользователь переходит по адресу мойсайт.ru/index.php?route=api/order/info&order_id=58 то любой человек видит заказ с id = 58, я не хочу что бы посторонние видели заказы, подскажите может я что то наделал в файлах, какой файл отвечает за то что бы была проверка по админу ?, я думаю такая ссылка должна быть видна только админу сайта!

[spectre]

наверняка перед этим спрашивали почему постоянно в админке висит у вас нет разрешения на доступ к апи и как от этого избавиться

[Krot]

21.09.2022 в 16:25, spectre сказал:

наверняка перед этим спрашивали почему постоянно в админке висит у вас нет разрешения на доступ к апи и как от этого избавитьс

100 %)))  спасибо , сам недосмотрел! стоял модуль fix api, отключил его всё стало работать как нужно!

[Krot]

так же вопрос, так как только начинаю разбираться в этой системе то вопросов много!))

делаю приложение для  android, что бы например получить список всех товаров нужно сделать запрос по index.php?route=api/login для получения токена и запуска сессии,
система -Список API - там все настроенное, но там проверка по ip адресам стоит, но когда пользователи будут пользоваться приложением я же не могу знать их ip  и как в этом случае вообще все настроить ? что то я запутался, отключать   проверку как писал выше то же нельзя иначе любой человек может посмотреть на сайте все заказы с данными пользователей!

[buslikdrev]

17.10.2022 в 06:53, Krot сказал:

что то я запутался, отключать   проверку как писал выше то же нельзя иначе любой человек может посмотреть на сайте все заказы с данными пользователей!

 

Проверка для вашего контроллера всего лишь в наличии api_id в сессии

 

https://github.com/opencart/opencart/blob/3.0.0.0/upload/catalog/controller/api/login.php

 

Здесь вы можете сделать проверку по наличию id пользователя

Скрытый текст

			if (!in_array($this->request->server['REMOTE_ADDR'], $ip_data) && !in_array($this->customer->getId(), $ip_data)) {
				$json['error']['ip'] = sprintf($this->language->get('error_ip'), $this->request->server['REMOTE_ADDR']);
			}

 

 

 

api предназначен только для связи сайтов администратором. Другие доступы вам нужно дорабатывать.

Змінено 17 жовтня 2022 користувачем buslikdrev

[Krot]

Подскажите пожалуйста еще такой момент

в postmen делаю запросы к api все работает, но вот запрос /index.php?route=api/shipping/method выдает ошибку 
"error": "Предупреждение: Варианты доставки недоступны!"  хотя на сайте все работает хорошо и перед этим запросом делаю запросы что бы положить товар в корзину, и так же устанавливаю адрес доставки и адрес оплаты и index.php?route=api/shipping/methods получаю методы доставки

может это зависеть от того что стоит модуль filterit ? и как победить эту ошибку ? заранее спасибо

[Krot]

я так понимаю что в файле catalog/controller/api/shipping.php
в функции public function method()  не  срабатывает условие 

if (empty($this->session->data['shipping_methods'])) {

                    $json['error'] = $this->language->get('error_no_shipping');

и выводит эту надпись, 

подскажите как то можно это проверить от чего так!?  заранее спасибо

[Krot]

обнаружил вот что, стоит модуль для переключения языков на сайте - SEO мультиязык-мультирегион ver.32.3
и если его отключаю то всё работает как нудно, а стоит включить сразу ошибка!
видимо идет переадресация ваш модуль где то теряется сессия куки
автор модуля не отвечает, подскажите пожалуйста как можно решить эьу проблему, хотя бы с чего начать тестировать