ненадежные приложения у которых есть доступ к аккаунту яндекс
Веб-приложение
Получение токена для веб-приложения:
Пользователь разрешает доступ приложению.
Яндекс.OAuth перенаправляет пользователя на адрес, указанный в поле Callback URL при регистрации. Данные о токене передаются в URL перенаправления после символа #.
Серверная среда может не передавать веб-приложению эту часть URL. В таком случае можно выделять данные из адреса с помощью JavaScript, или получать токены с помощью кода подтверждения.
Приложение получает адрес перенаправления и извлекает токен.
Полученный токен можно сохранить в приложении и использовать для запросов к API до истечения времени его жизни. Токен должен быть доступен только вашему приложению, поэтому не рекомендуется сохранять его в куках браузера, открытых конфигурационных файлах и т. п.
URL для запроса токена
Приложение должно направить пользователя на Яндекс.OAuth по следующему адресу:
Идентификатор приложения. Доступен в свойствах приложения (нажмите название приложения, чтобы открыть его свойства).
Уникальный идентификатор устройства, для которого запрашивается токен. Чтобы обеспечить уникальность, достаточно один раз сгенерировать UUID и использовать его при каждом запросе нового токена с данного устройства.
Идентификатор должен быть не короче 6 символов и не длиннее 50. Допускается использовать только печатаемые ASCII-символы (с кодами от 32 до 126).
Подробнее о токенах для отдельных устройств читайте на странице Токен для устройства.
Имя устройства, которое следует показывать пользователям. Не длиннее 100 символов.
Для мобильных устройств рекомендуется передавать имя устройства, заданное пользователем. Если такого имени нет, его можно собрать из модели устройства, названия и версии ОС и т. д.
URL, на который нужно перенаправить пользователя после того, как он разрешил или отказал приложению в доступе. По умолчанию используется первый Callback URI, указанный в настройках приложения ( Платформы → Веб-сервисы → Callback URI ).
В значении параметра допустимо указывать только те адреса, которые перечислены в настройках приложения. Если совпадение неточное, параметр игнорируется.
Явное указание аккаунта, для которого запрашивается токен. В значении параметра можно передавать логин аккаунта на Яндексе, а также адрес Яндекс.Почты или Яндекс.Почты для домена.
Параметр позволяет помочь пользователю авторизоваться на Яндексе с тем аккаунтом, к которому нужен доступ приложению. Получив параметр, Яндекс.OAuth проверяет авторизацию пользователя:
Если пользователь уже авторизован с нужным аккаунтом, Яндекс.OAuth просто запрашивает разрешение на доступ.
Если пользователь не авторизован с нужным аккаунтом, он увидит форму входа на Яндекс, в которой поле логина заполнено значением параметра. Помните, что токен не обязательно будет запрошен для указанного аккаунта: пользователь может стереть предзаполненный логин и войти с любым другим.
Если параметр указывает на несуществующий аккаунт, Яндекс.OAuth сможет только сообщить об этом пользователю. Приложению придется запрашивать токен заново.
Список необходимых приложению в данный момент прав доступа, разделенных пробелом. Права должны запрашиваться из перечня, определенного при регистрации приложения. Узнать допустимые права можно по ссылке https://oauth.yandex.ru/client/ /info, указав вместо идентификатор приложения.
Если параметры scope и optional_scope не переданы, то токен будет выдан с правами, указанными при регистрации приложения.
Параметр позволяет получить токен только с теми правами, которые нужны приложению в данный момент.
Если параметры scope и optional_scope не переданы, то токен будет выдан с правами, указанными при регистрации приложения.
Параметр можно использовать, например, если приложению нужна электронная почта для регистрации пользователя, а доступ к портрету желателен, но не обязателен.
Признак того, что у пользователя обязательно нужно запросить разрешение на доступ к аккаунту (даже если пользователь уже разрешил доступ данному приложению). Получив этот параметр, Яндекс.OAuth предложит пользователю разрешить доступ приложению и выбрать нужный аккаунт Яндекса.
Параметр полезен, например, если пользователь вошел на сайт с одним аккаунтом Яндекса и хочет переключиться на другой аккаунт. Если параметр не использовать, пользователю придется явно менять аккаунт на каком-нибудь сервисе Яндекса или отзывать токен, выданный сайту.
Строка состояния, которую Яндекс.OAuth возвращает без изменения. Максимальная допустимая длина строки — 1024 символа.
Можно использовать, например, для защиты от CSRF-атак или идентификации пользователя, для которого запрашивается токен.
Признак облегченной верстки (без стандартной навигации Яндекса) для страницы разрешения доступа.
Облегченную верстку стоит запрашивать, например, если страницу разрешения нужно отобразить в маленьком всплывающем окне.
Реализация OAuth в Яндексе
Сервисы Яндекса авторизуют приложения по токенам. Каждый токен — это цифро-буквенная последовательность, в которой зашифрована следующая информация:
идентификатор учетной записи, к которой разрешен доступ;
идентификатор приложения, которому разрешен доступ;
набор прав (действий, доступных приложению).
Ниже описаны общие правила использования OAuth-токенов Яндекса.
Процедура авторизации
Приложения запрашивают токены по следующей схеме:
Приложение направляет пользователя на OAuth-сервер. На открывшейся странице он может разрешить приложению доступ к запрошенным данным своей учетной записи. Приложение может запросить:
Пользователь разрешает доступ к своим данным, и OAuth-сервер перенаправляет его на выбранный разработчиком адрес.
Выданный токен (или код для его получения) включается в URL перенаправления. Если пользователь отказал в доступе, или произошла ошибка, в URL включается описание ошибки.
Приложение включает полученный токен в запрос к сервису Яндекса, который поддерживает OAuth.
Полученный токен можно сохранить в приложении и использовать для запросов до истечения времени его жизни.
Время жизни токена
Время жизни токена — это срок, в течение которого токен можно использовать для авторизации. Максимальное время жизни зависит от прав, выбранных при регистрации приложения:
Никогда не устаревает и может быть отозван только пользователем.
При регистрации приложения отображается время жизни «бесконечно».
Устаревает после нескольких месяцев, но продлевается при каждой авторизации с этим токеном.
Устаревает по истечении времени, установленного для соответствующих прав доступа.
Если при регистрации приложения было выбрано несколько таких прав, для токена выбирается наименьшее ограничение времени жизни. Допустим, права для доступа к Яндекс.Метрике выдаются на 1 год, а права на использование Яндекс.Почтового офиса — на 180 дней. Значит, токен с правами и для Метрики, и для Почтового офиса, будет работать не дольше 180 дней.
Отзыв токена
Пользователь может отзывать любые OAuth-токены, выданные для его аккаунта:
Приложение может отозвать собственный токен, если он был выдан для определенного устройства.
Все случаи отзыва токенов перечислены на странице Отзыв токенов.
Пользовательский интерфейс
Страница, на которой пользователь может разрешить доступ приложению (первый шаг авторизации), содержит название приложения и список запрашиваемых прав:
Когда пользователь нажимает одну из кнопок, OAuth-сервер перенаправляет его на адрес, указанный в качестве Callback URI.
Проблемы со входом на Яндекс
Не могу войти под своим логином
Если вы не можете войти в свой аккаунт, посмотрите наши рекомендации. Ниже мы подготовили инструкции для каждой ошибки.
Неправильная пара логин-пароль! Авторизоваться не удалось.
Если вы используете или раньше использовали двухфакторную аутентификацию, для входа понадобится одноразовый пароль, сгенерированный приложением Яндекс.Ключ.
Попробуйте ввести логин и пароль непосредственно на странице Управление аккаунтом. Убедитесь, что у вас не нажата клавиша Caps Lock и установлена английская раскладка клавиатуры.
Как на компьютерах, так и на мобильных телефонах некоторые программы (например, Punto Switcher) могут автоматически изменять введенные вами символы: менять раскладку, менять заглавные буквы на строчные, ставить пробел после точек и т. п. Перед тем, как вводить пароль, убедитесь, что автоматическое исправление опечаток и автоматическая смена раскладки не сработают.
Пользователя с таким логином не существует
Аккаунта с введенным логином не существует, или он был удален.
Прежде чем связываться со службой поддержки, еще раз проверьте написание своего логина:
Логин может состоять только из латинских букв, цифр, точек и дефисов.
Авторизоваться можно только с помощью адреса Яндекс.Почты — адреса Gmail или Mail.ru точно не подойдут.
Убедитесь, что вы указали логин правильно. Если вы уверены, что логин верный, обратитесь в службу поддержки по ссылке, предложенной в сообщении об ошибке.
Авторизация на Яндексе невозможна, если в вашем браузере отключена обработка файлов cookie. Подробно эта настройка описана в разделе Настроить прием файлов cookie.
Если ничего не помогает
Попробуйте восстановить доступ, чтобы сбросить пароль.
Сбросить пароль автоматически всегда проще и быстрее, чем обращаться в службу поддержки, поэтому попробуйте все доступные варианты. Если восстановление доступа через SMS или адрес почты для вас недоступно, постарайтесь вспомнить ответ на контрольный вопрос. Отвечая на контрольный вопрос, убедитесь, что вводите ответ правильно и в нужной раскладке клавиатуры.
Если самостоятельно восстановить доступ не получается, заполните анкету для восстановления доступа.
Некоторые приложения внезапно потеряли доступ к вашему аккаунту
Яндекс просит ввести символы с картинки
Если Яндекс просит ввести символы с картинки при входе в аккаунт, это значит, что с вашего IP-адреса в последнее время слишком часто вводили неправильный пароль.
Это может произойти потому что:
Вы несколько раз подряд неправильно ввели логин или пароль на Яндексе.
Другие пользователи вашей локальной сети (рабочей или домашней) несколько раз подряд неправильно набрали логин и пароль. Чтобы решить эту проблему, обратитесь к вашему сетевому администратору.
Вы указали неверный логин или пароль в почтовой программе (Outlook, Thunderbird, Mail, почтовый клиент в Opera и т. п.).
Ваш компьютер заражен вирусом, который пытается подобрать пароль к вашему аккаунту на Яндексе. Рекомендуем вам проверить свой компьютер на наличие вирусов бесплатными онлайн-антивирусами. Многие производители антивирусов предлагают бесплатные версии своих программ.
Получаю ошибку «OCSP-ответ ещё не действителен» в Firefox
На вашем компьютере неверно выставлено системное время. Убедитесь, что часовой пояс в настройках ОС соответствует вашему положению, и сверьте время с Яндекс.Временем.
О том, как выставлять время в разных ОС, читайте в разделе Настроить часовой пояс, дату и время.
Ненадежные приложения у которых есть доступ к аккаунту яндекс
Яндекс предоставляет доступ к своим сервисам по протоколу OAuth. Доступ к защищенным данным предоставляется только зарегистрированным приложениям.
OAuth — открытый протокол авторизации, который позволяет предоставить третьей стороне ограниченный доступ к защищённым ресурсам пользователя без необходимости передавать ей (третьей стороне) логин и пароль.
Получение доступа можно разделить на 2 этапа:
OAuth Сервер Яндекса доступен по адресу oauth.yandex.ru. Управление доступом к ресурсам пользователя настраивается именно на нем. В этой статье будет рассмотрен процесс регистрации приложения, которому разрешен доступ к Яндекс Диску с помощью REST API.
Регистрация приложения
Для регистрации приложения необходимо пройти по ссылке https://oauth.yandex.ru и нажать на кнопку «Зарегистрировать новое приложение»: 
В открывшейся форме заполнить:
После этого нажать на кнопку «Сохранить«:
Cервер зарегистрирует приложение и отобразит присвоенные ему идентификационные данные:
На этом регистрация приложения закончена.
Получение разрешения на доступ к диску
Для отправки запроса на доступ требуется сформировать url следующего вида:
После чего перейти по получившейся ссылке и нажать на кнопку «Разрешить».
В ответ сервер сгенерирует токен, с помощью которого можно получить доступ к диску.
Данный токен действителен в течении года. Через год необходимо будет получить его заного.
Немного подробнее о использовании Yandex.Disk REST API
Сохранение файлов происходит в два этапа:
Давайте рассмотрим их немного подробнее.
Формат запроса URL для загрузки файла
Запрос URL для загрузки следует отправлять с помощью метода GET.
Путь в значении параметра следует кодировать в URL-формате.
Допустимые значения: «false» — не перезаписывать файл, отменить загрузку (используется по умолчанию); «true» — удалить файл с совпадающим именем и записать загруженный файл.
Формат ответа
Если запрос был обработан без ошибок, API отвечает кодом 200 OK. В теле ответа, в объекте Link, возвращается сгенерированный URL для загрузки файла. Если в течение 30 минут этот URL не будет запрошен, он перестанет работать, и нужно будет запросить новую ссылку.
Если запрос вызвал ошибку, возвращается подходящий код ответа, а тело ответа содержит описание ошибки.
Загрузка файла на полученный URL
Файл следует отправить с помощью метода PUT на URL для загрузки, в течение 30 минут после получения этого URL (через 30 минут ссылка перестанет работать и ее нужно будет запросить заново). OAuth-токен для загрузки в хранилище не нужен.
Пример URL для загрузки:
Формат ответа
Если запрос был обработан без ошибок, API отвечает кодом 201 Created.
Проблемы со входом на Яндекс
Не могу войти под своим логином
Если вы не можете войти в свой аккаунт, посмотрите наши рекомендации. Ниже мы подготовили инструкции для каждой ошибки.
Неправильная пара логин-пароль! Авторизоваться не удалось.
Если вы используете или раньше использовали двухфакторную аутентификацию, для входа понадобится одноразовый пароль, сгенерированный приложением Яндекс.Ключ.
Попробуйте ввести логин и пароль непосредственно на странице Управление аккаунтом. Убедитесь, что у вас не нажата клавиша Caps Lock и установлена английская раскладка клавиатуры.
Как на компьютерах, так и на мобильных телефонах некоторые программы (например, Punto Switcher) могут автоматически изменять введенные вами символы: менять раскладку, менять заглавные буквы на строчные, ставить пробел после точек и т. п. Перед тем, как вводить пароль, убедитесь, что автоматическое исправление опечаток и автоматическая смена раскладки не сработают.
Пользователя с таким логином не существует
Аккаунта с введенным логином не существует, или он был удален.
Прежде чем связываться со службой поддержки, еще раз проверьте написание своего логина:
Логин может состоять только из латинских букв, цифр, точек и дефисов.
Авторизоваться можно только с помощью адреса Яндекс.Почты — адреса Gmail или Mail.ru точно не подойдут.
Убедитесь, что вы указали логин правильно. Если вы уверены, что логин верный, обратитесь в службу поддержки по ссылке, предложенной в сообщении об ошибке.
Авторизация на Яндексе невозможна, если в вашем браузере отключена обработка файлов cookie. Подробно эта настройка описана в разделе Настроить прием файлов cookie.
Если ничего не помогает
Попробуйте восстановить доступ, чтобы сбросить пароль.
Сбросить пароль автоматически всегда проще и быстрее, чем обращаться в службу поддержки, поэтому попробуйте все доступные варианты. Если восстановление доступа через SMS или адрес почты для вас недоступно, постарайтесь вспомнить ответ на контрольный вопрос. Отвечая на контрольный вопрос, убедитесь, что вводите ответ правильно и в нужной раскладке клавиатуры.
Если самостоятельно восстановить доступ не получается, заполните анкету для восстановления доступа.
Некоторые приложения внезапно потеряли доступ к вашему аккаунту
Яндекс просит ввести символы с картинки
Если Яндекс просит ввести символы с картинки при входе в аккаунт, это значит, что с вашего IP-адреса в последнее время слишком часто вводили неправильный пароль.
Это может произойти потому что:
Вы несколько раз подряд неправильно ввели логин или пароль на Яндексе.
Другие пользователи вашей локальной сети (рабочей или домашней) несколько раз подряд неправильно набрали логин и пароль. Чтобы решить эту проблему, обратитесь к вашему сетевому администратору.
Вы указали неверный логин или пароль в почтовой программе (Outlook, Thunderbird, Mail, почтовый клиент в Opera и т. п.).
Ваш компьютер заражен вирусом, который пытается подобрать пароль к вашему аккаунту на Яндексе. Рекомендуем вам проверить свой компьютер на наличие вирусов бесплатными онлайн-антивирусами. Многие производители антивирусов предлагают бесплатные версии своих программ.
Получаю ошибку «OCSP-ответ ещё не действителен» в Firefox
На вашем компьютере неверно выставлено системное время. Убедитесь, что часовой пояс в настройках ОС соответствует вашему положению, и сверьте время с Яндекс.Временем.
О том, как выставлять время в разных ОС, читайте в разделе Настроить часовой пояс, дату и время.