Авторизация паролем к Телеграм боту

@censured · Регистрация: 27.06.2019

Студворк — интернет-сервис помощи студентам

Делаю бота для телеграмма, использую node-telegram-bot-api

Бота создал, в консоли здоровается, написать боту могу, чтобы он мне что-то ответил. Сейчас стоит вопрос, как защитить это паролем.

Подскажите, направьте, как это сделать? Пока что просто вопрос о создании функции пароля

P.S. К сожалению код не могу предоставить, ввиду малого опыта. Встречал решения на Python и других языках но JS выбрал, т.к. с ним хоть как-то уже работал и решил развиваться дальше.

@DrType · 08.07.2021, 22:33

А доступ к чему именно должен быть защищено паролем? И где пароль надо будет вводить — в чате?

@censured · 09.07.2021, 18:06 **[ТС]**

Я представляю себе это так: пользователь знает имя бота, заходит к нему, бот предлагает ввести пароль, да это все в чате происходит(а где еще может быть?). Ввел пароль - добро пожаловать со веми запроектированными функциями, неправильно, попробуйте еще раз, как-то так.

@DrType · 11.07.2021, 02:22

Да, ясно.
censured, я это представляю себе следующим образом. В базе данных у нас должна быть таблица, в которой будут храниться пары логин / пароль. Можно взять модель, которая используется для обычной аутентификации на сайте. Только, как я думаю, в поле логин (или email) можно хранить id пользователя в Телеграме. Пусть этот идентификатор и выступает в качестве логина.
Далее, бот реагирует на сообщение, парсит его, выделяя пароль — а дальше осуществляется сценарий аутентификации через сравнение полученного пароля с тем, который хранится в базе.
Затем нужно как-то запомнить, что в данном чате пользователь авторизован. Оказывается, при разработке на основе telegraf.js мы можем использовать сессии. Но в принципе можно завести ещё одну таблицу, в которой хранить идентификаторы чатов и помечать их как проверенные (в соответствующем поле); наши защищённые функции вызывать всякий раз только после обращения к этой таблице.

@censured · 12.07.2021, 11:52 **[ТС]**

А просто паролем нельзя обойтись? хранится 1-2 пароля для условно разных групп доступа, а логин неважен. Или я слишком просто мыслю?

@DrType · 12.07.2021, 12:21

Зависит от того, с какой целью вы хотите защитить часть функций, от задумки в целом...

@kidASM · 12.07.2021, 14:24

censured, Вы можете это сделать, вот только зачем? Пользователь общается с ботом в отдельном (не общем) чате. У каждого чата есть свой уникальный chatId (или chat_id, как правильно пишется не помню, давно писал бота). По этому chatId можно идентифицировать пользователя, хранить о нём данные в БД (если надо), и при запросе определять что ему можно, а что нельзя.

@censured · 13.07.2021, 15:09 **[ТС]**

Заранее chatid неизвестен и одна из удобных форм мне показалась, когда человек пишет боту, после этого бот спрашивает пароль и разрешает дальше пользоваться функцоналом.

Конечно дальше мысль развивается а как с паролем поступать, он должен протухать или в базе данных чатайди копить тех, кто правильно ввел пароль. Но я пока на первом шаге споткнулся.

@kidASM · 13.07.2021, 22:46

censured, Прочитайте документацию, причём именно Telegram Bot API, а не telegraf.js. В Telegram, chatId - это обязательный параметр, без которого Telegram не будет знать куда пересылать сообщение (данные). И когда пользователь отправляет первое (и послудующие) сообщение боту, в сообщении уже указан chatId.

@censured · 15.07.2021, 15:35 **[ТС]**

Я понимаю, что это обязательный параметр.

Вот пример кода:

JavaScript
1
2
3
4
5
6
7
8
9
// Команда эхо "/echo [что-нибудь]" 
bot.onText(/\/echo (.+)/, (msg, match) => {
  // 'msg' это полученное сообщение из телеграмма
  // 'match' это результат выполнения приведенного выше регулярного выражения для текстового содержимого
  // этого сообщения 
  const chatId = msg.chat.id;
  const resp = match[1]; // захватываем "что-нибудь"  
  bot.sendMessage(chatId, resp);//отправляем обратно в чат "что-нибудь" 
});

Это позволяет любому человеку написать боту, если человек имя бота знает. И бот будет отвечать только тому, кто его спросил. То есть, бот узнает как-то чат айди, но я нигде сам не прописываю его жестко в какую-то базу.

Поэтому исходя из таких данных я хотел добавить функцию пароля(или может есть другие удобные способы авторизации) - или для этого все же нужна некая база?

@kidASM · 15.07.2021, 22:53

Сообщение от censured

или для этого все же нужна некая база?

Да. ChatId надо где-то хранить. ChatId есть в каждом сообщении. ChatId является идентификатором чата между ботом и человеком. ChatId можно использовать как идентификатор пользователя (исключение, если пользователь сменил номер телефона).
Пример. Бот предоставляет платные и бесплатные функции. При оплате ChatId заносится в БД и срок действия отплаченного периода. Если пользователь обращается к платной функции, тогда бот ищет в БД ChatId с не истекшим оплаченным периодом. Если есть такой ChatId и у него оплаченный период не завершён, тогда разрешаем использование платного функционала. В противном случае, просит оплату. Для бесплатного функционала хранить в БД ChatId не имеет смысла, разве что для сбора какой-то статистики.
P.S. Я так "прикрутил" к боты PayPal.

@censured · 26.07.2021, 16:36 **[ТС]**

Вообщем сейчас тогда задача сводится к тому, что нужно хранить чат айди. Только до сих пор не пойму вот каких моментов?

1) Изначально бот не знает о существовании человека, поэтому предполагался пароль, т.е. это будет маячком для заноса айди в базу? Тогда надо будет один раз ввести пароль для сохранения чат айди?

2) Как контролировать список чат айди? Баны пользователей, протухание пароля и прочее.

3) Почему не работоспособен алгоритм, как я сейчас общаюсь? То есть написал, и если правильный пароль - то можно дальше командовать. Спрашиваю, чтобы понять что плохого, чтобы уже убрать эту мысль "простого пути")

@kidASM · 26.07.2021, 18:07

Сообщение от censured

Тогда надо будет один раз ввести пароль для сохранения чат айди?

Нет. ChatID это и есть пароль/id/token ...

Сообщение от censured

Как контролировать список чат айди

Пришло сообщение. Ищем в БД ChatID. Далее бот проверяет, даты, статусы, баны, ... И формирует соответствующий ответ.

Сообщение от censured

Почему не работоспособен алгоритм

Работоспособный, есть telegraf-session, но это "надстройка" над ChatID. Если хотите можете использовать, но можно написать свой код, который будет работать именно так, как Вам нужно.

Добавлено через 10 минут
И ещё. Пароль не имеет смысла, так как пароль вводит человек, в начале использования бота. Что если введёт пароль и передаст телефон другому человек или просто скажет/напишет пароль другому человеку. А ChatID (по дефолту человеку неизвестен (но узнать можно (но не вставить в клиент

))).

@censured · 26.07.2021, 18:14 **[ТС]**

Если изначально бот никого не знает, и конечному пользователю нужно уметь добавляться к нему, как это сделать, если чат айди не будет в базе заранее?

@kidASM · 26.07.2021, 21:19

Добавлено через 15 секунд
censured, Есть в БД есть ChatID с действительным оплаченным периодом (к примеру), тогда этому ChatID разрешено использовать платный и бесплатный функционал.
Если в БД есть ChatID но с не действительным оплаченным периодом или в БД нет такого ChatID, тогда разрешается только бесплатный функционал.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@censured 6 / 6 / 2 Регистрация: 27.06.2019 Сообщений: 138

	Авторизация паролем к Телеграм боту 08.07.2021, 19:06. Показов 10519. Ответов 14 Метки нет (Все метки) Делаю бота для телеграмма, использую node-telegram-bot-api Бота создал, в консоли здоровается, написать боту могу, чтобы он мне что-то ответил. Сейчас стоит вопрос, как защитить это паролем. Подскажите, направьте, как это сделать? Пока что просто вопрос о создании функции пароля P.S. К сожалению код не могу предоставить, ввиду малого опыта. Встречал решения на Python и других языках но JS выбрал, т.к. с ним хоть как-то уже работал и решил развиваться дальше. 0

@DrType 6553 / 3624 / 1075 Регистрация: 07.09.2019 Сообщений: 5,877 Записей в блоге: 1
	08.07.2021, 22:33
	А доступ к чему именно должен быть защищено паролем? И где пароль надо будет вводить — в чате? 0

@censured 6 / 6 / 2 Регистрация: 27.06.2019 Сообщений: 138
	09.07.2021, 18:06 [ТС]
	Я представляю себе это так: пользователь знает имя бота, заходит к нему, бот предлагает ввести пароль, да это все в чате происходит(а где еще может быть?). Ввел пароль - добро пожаловать со веми запроектированными функциями, неправильно, попробуйте еще раз, как-то так. 0

@DrType 6553 / 3624 / 1075 Регистрация: 07.09.2019 Сообщений: 5,877 Записей в блоге: 1
	11.07.2021, 02:22
	Да, ясно. censured, я это представляю себе следующим образом. В базе данных у нас должна быть таблица, в которой будут храниться пары логин / пароль. Можно взять модель, которая используется для обычной аутентификации на сайте. Только, как я думаю, в поле логин (или email) можно хранить id пользователя в Телеграме. Пусть этот идентификатор и выступает в качестве логина. Далее, бот реагирует на сообщение, парсит его, выделяя пароль — а дальше осуществляется сценарий аутентификации через сравнение полученного пароля с тем, который хранится в базе. Затем нужно как-то запомнить, что в данном чате пользователь авторизован. Оказывается, при разработке на основе telegraf.js мы можем использовать сессии. Но в принципе можно завести ещё одну таблицу, в которой хранить идентификаторы чатов и помечать их как проверенные (в соответствующем поле); наши защищённые функции вызывать всякий раз только после обращения к этой таблице. 0

@censured 6 / 6 / 2 Регистрация: 27.06.2019 Сообщений: 138
	12.07.2021, 11:52 [ТС]
	А просто паролем нельзя обойтись? хранится 1-2 пароля для условно разных групп доступа, а логин неважен. Или я слишком просто мыслю? 0

@DrType 6553 / 3624 / 1075 Регистрация: 07.09.2019 Сообщений: 5,877 Записей в блоге: 1
	12.07.2021, 12:21
	Зависит от того, с какой целью вы хотите защитить часть функций, от задумки в целом... 0

@kidASM 420 / 311 / 113 Регистрация: 28.08.2013 Сообщений: 848
	12.07.2021, 14:24
	censured, Вы можете это сделать, вот только зачем? Пользователь общается с ботом в отдельном (не общем) чате. У каждого чата есть свой уникальный chatId (или chat_id, как правильно пишется не помню, давно писал бота). По этому chatId можно идентифицировать пользователя, хранить о нём данные в БД (если надо), и при запросе определять что ему можно, а что нельзя. 1

@censured 6 / 6 / 2 Регистрация: 27.06.2019 Сообщений: 138
	13.07.2021, 15:09 [ТС]
	Заранее chatid неизвестен и одна из удобных форм мне показалась, когда человек пишет боту, после этого бот спрашивает пароль и разрешает дальше пользоваться функцоналом. Конечно дальше мысль развивается а как с паролем поступать, он должен протухать или в базе данных чатайди копить тех, кто правильно ввел пароль. Но я пока на первом шаге споткнулся. 0

@kidASM 420 / 311 / 113 Регистрация: 28.08.2013 Сообщений: 848
	13.07.2021, 22:46
	censured, Прочитайте документацию, причём именно Telegram Bot API, а не telegraf.js. В Telegram, chatId - это обязательный параметр, без которого Telegram не будет знать куда пересылать сообщение (данные). И когда пользователь отправляет первое (и послудующие) сообщение боту, в сообщении уже указан chatId. 0

@censured 6 / 6 / 2 Регистрация: 27.06.2019 Сообщений: 138
	26.07.2021, 16:36 [ТС]
	Вообщем сейчас тогда задача сводится к тому, что нужно хранить чат айди. Только до сих пор не пойму вот каких моментов? 1) Изначально бот не знает о существовании человека, поэтому предполагался пароль, т.е. это будет маячком для заноса айди в базу? Тогда надо будет один раз ввести пароль для сохранения чат айди? 2) Как контролировать список чат айди? Баны пользователей, протухание пароля и прочее. 3) Почему не работоспособен алгоритм, как я сейчас общаюсь? То есть написал, и если правильный пароль - то можно дальше командовать. Спрашиваю, чтобы понять что плохого, чтобы уже убрать эту мысль "простого пути") 0

Опции темы

@censured 6 / 6 / 2 Регистрация: 27.06.2019 Сообщений: 138
	26.07.2021, 18:14 [ТС]
	Если изначально бот никого не знает, и конечному пользователю нужно уметь добавляться к нему, как это сделать, если чат айди не будет в базе заранее? 0

@kidASM 420 / 311 / 113 Регистрация: 28.08.2013 Сообщений: 848
	26.07.2021, 21:19
	Добавлено через 15 секунд censured, Есть в БД есть ChatID с действительным оплаченным периодом (к примеру), тогда этому ChatID разрешено использовать платный и бесплатный функционал. Если в БД есть ChatID но с не действительным оплаченным периодом или в БД нет такого ChatID, тогда разрешается только бесплатный функционал. 0