PHPでのapps.comのアプリケーション-機能とレーキ

ある晴れた日（またはそうではない日）に、新しい仕事が飛び交いました。 「おめでとうございます。QuickBooksのアプリケーションが表示されます。」 クイックブック？ なんて...」と思ったが、断ることはできなかった。仕事は仕事だ。 「さて、QuickBooksとは何か、次にQuickboxアプリケーションとは何かをGoogleで検索してから、Haberに関するすべての記事を読んで、sdkを見つけて、それが帽子の中にある」と思い、Googleを開きました。 私はどのように間違っていました...







まず、Habrはこのすべてについて何も知りません。 いいえ、QuickBooksに言及している記事（以下、単にQBと呼びます）が3つ半ありますが、それらに役立つものは見つかりませんでした。 それはすぐに私を混乱させました-あるように、それは有名なもののようです-しかし、Habrrは沈黙しています。 変です。



第二に、「QuickBooksアプリケーション」とは何か、それが何で食べられるのかを理解するために、少し時間を割かなければなりませんでした。 よくわからないが、きついのは私だけかもしれませんが、「アプリケーション」が単なるウェブサイト、ウェブサービスであることはすぐにはわかりませんでした。 「アプリケーション」という言葉で、私はすぐに何か他のもの、QBからのある種のホスティング、トリッキーでyなアプリケーションについて考えました。 それはより簡単であることが判明しました。 ああ、ウェブのすべてを呼び出すこのmod-アプリケーション。



3番目はQuickBooks Onlineの公式PHP SDKです。 しかし、彼はそうではありません。 もっと正確に言うと、それはそうですが、それは非常に不完全で、不十分に文書化され、未完成であるため、使用することができませんでした。 APIの必要な部分が完全に欠けていました。 わからない、すでに完成しているかもしれないが、とても疑わしい。 記事を書いている時点で-彼は惨めなままです。



一般に、この投稿は、PHPで同じ方法でQBのアプリケーションを作成する必要がある人向けです。 私が踏んだ主なポイントとレーキをすぐに理解するのに役立ちます。 場所はドキュメントから明らかなものになりますが、もう一度明確にすることをお勧めします。

待ってください...どんな種類のQuickBooks、どんなapps.comについて話しているのですか？

順番にすべて。 QuickBooksは、アメリカのオンライン簿記サービスです。 2人の生徒の仕事ではなく、真剣なサービス。 そして、私たちの国ではほとんど誰もそれを知りませんが、海の向こう側で非常に有名な製品です。 アメリカへの移民と簿記を行うことの微妙さについて、誰かがハブラーに投稿したことさえ覚えています。 その人は、QBの助けを借りて、ほとんど何も理解せずに、独立して会計を行うことができたと書いています。



Apps.comは、大まかに言って、QB統合を備えたサイトのディレクトリです。 App StoreやPlay Marketなど、より高度に専門化されたもののみ。 彼らはどうやってそのようなドメインをつかんだのだろうか。

それで、QuickBooksアプリケーションとは正確に何であり、それは何を食べますか

上で言ったように、その中核には、QuickBooks Applicationはサイトです。 これは別のサイト（私の場合は判明しているように）でも、その一部でも構いません。 要約すると、サイトとQBの緊密な統合だけで、サイトを介してログインし、データを受信して​​操作を実行できます。 そして、すべてがIntuit Feng Shuiに従っている場合（intuitはQBの会社所有者です） -Apps.comにアプリケーションを投稿することが許可されます。

PHPの問題

もう一度上記で書いたように、PHPにはいくつかの問題があります。 実際、QuickBooks Onlineの公式PHP-SDK（以降-QBO）は使用できません。 わからない。多分それは誰かのニーズには十分かもしれないが、あまりにも不完全で不十分に文書化されているので、その目的性を疑う。



UPD。 2017年-彼らはこのすべてを少し終えたようですが、PHP SDKはまだ劣っているようです。 特定のニーズをより正確に確認する必要があります。



だから、PHPについて。 ConsoliByteの人たちがいなければ、すべてが本当に悪いでしょう（広告には数えません）。 彼らのサイトから判断すると、彼らはQBサービスを提供しているのか、それともコンサルタントだけなのか、まったくわかりませんが、事実、彼らはOpenSource QBOv3 PHP-SDKを作成しました。 さらに、QuickBook自体のドキュメントにも、「サードパーティが貢献した」というリンクが配置されました。 したがって、このSDKのコードは美しいものの例ではないという事実にもかかわらず、私たちはそれを使用しています。 タイツ 。 APIキーをスリップするだけの既製のミニサンプルもあります。

私のいスクリーンショット

アプリケーションの本質

アプリケーションの本質は次のとおりです。ユーザーはアプリケーションに接続し（データへのアクセスを許可して、データを簡単にする）、ユーザーと連携します。 すべてがシンプルです！



QBの専用ボタンを使用して接続するには。 おもしろいのは、それだけを使用できることです。 ユーザーは、apps.comからQBOインターフェースを介して、またはこのボタンを介してアプリケーションから直接接続できます。 外観、サイズ、ラベルを変更する権利はありません-QBを生成するもののみを使用してください（2色と4サイズで利用可能）。 それ以外の場合、アプリケーションへの接続を開始する権利はありません。 ドキュメントでは「C2QBウィジェット」と呼ばれる「QBに接続」ボタンのみを使用します。 これが最初です。 次に、後でわかるように、このボタンを使用してアプリケーションのユーザーを認証することはできません。 私たちのアプリケーションには認証システムがありませんでした-それは単にメインサイトと他のユーザーから分離されていません。 したがって、最初はすべてをこの方法で行いました。ユーザーが新しい場合はユーザーを接続します。データベースに書き込みます。 私のニーズにはこれで十分でした。 後で判明したように-それは不可能です。 認証には、「QBを使用してサインイン」ウィジェットのみを使用する必要があり、C2QBボタンはアプリケーション内にある必要があります。 これについて最後に知るのは不快でした。



Connect to QuickBooksは、OAuth（すべてがSDKの内部に隠されているため、非常に便利です）、OpenIdを介してサインインします。 LightOpenIdライブラリtytsを再び使用しました-OpenSource。



SDKのサンプルを使用していたとき、設定に深く入り込んでおらず、the_tenantパラメーターがありませんでした。 ドキュメントやreadmeには記載されていなかったため、これをあまり重視しませんでした。 多分これは普遍的に認識されている名前かもしれませんが、彼に会ったことはありません。 後で判明したように、これはアプリケーションに接続したユーザーの識別子です。 各ユーザーが提供する必要があります。 私はこれで面白い話をしました-テナントに設定で静的なものがあり、レビューのためにアプリケーションを送信しました。 QuickBookユーザーとしてログインしました。 「木」と思って忘れました。 そして、彼は私が誰かの下で絶えずログインしていることに気付き始めました。 ログアウトし、同僚に彼のコンピューターからログインするように頼み、それからページを更新しました-そして私はログインしています！ ああ、ハリネズミ...

apps.comでの公開のレビュー

apps.comでアプリケーションを起動するには、3種類のチェックに合格する必要があります。 マーケティング、セキュリティ、および機能のレビュー。 このようになります-申請書を提出します。 しばらくして、彼らはあなたに何が悪いのかについての3つのメール（3つのチェック）からあなたに手紙を書き始めます。



マーケティング検証では、アプリケーションの説明、スクリーンショット、サポートの利用可能性などを確認します。 大まかに言えば、それはあなたがそれを美しく想像するテストです。



セキュリティ監査は、外部企業であるcigital.comによって直観的に行われます。 彼らは監査を行い、どこが悪いのか、どのように販売し、それを修正するのかを報告します。 素晴らしい、実際のレポート。 テストはある種のスクリプトのようで、考えられるすべての脆弱性をチェックします。 アプリケーションにはオープンフォームがあります-フィードバック用です。 そのため、明らかに-彼らのスクリプトは、見つかったすべてのフォームを攻撃します。なぜなら、スタイルのテキストのみが変更されたメールでこのフォームから数千の手紙を受け取ったからです。 フォーム内の4つのフィールド-各フィールドの300以上の（おおよその）オプションの愚かな検索。 正直に言うと、私は彼らがこれで何を確認したのかまだ理解していません。 フォームはアプリケーションのどこにも表示されませんが、何かが機能するかどうかをどうやって知るのでしょうか？ ちなみに、フォーラムで私は彼らが何をしているのか、コードのレビューについて読んでいますが、おそらくそれは以前だったのです-コードを要求しなかったからです。 踏んだレーキ：



1）サーバー：Apache / 2.4.7（Ubuntu）

X-Powered-By：PHP / 5.5.9-1ubuntu4.12-これらはサーバーからの応答のヘッダーです。 これは、優先度は最小限ですが、「サーバーから提供される追加情報」などの脆弱性です。

2）Cookieはhttps経由ではありません。 これには別の話があります。 何らかの理由で、彼らはprodアプリケーションではなく、ステージングで監査を実施しました。 当然、ステージング用にSSLを購入する人はいないため、httpsはありませんでした。 彼らは5つまたは6つのエントリを受け取りました。 正直に言うと、これは問題ではなく、ステージングであり、製品にはすべてのルールがあると書いただけです-そして彼らはそれを私たちの言葉にしました。

3）Cookieを置き換える機能。 the_tenant（上で書いた）はcookieに保存されており、これを変更すると、アプリケーションはそれを正常に受け入れました。 実際、これは危険を表すものではなく、彼ら自身がこれが最も低い優先度であると書いていますが、それでもなおです。



機能レビュー。 ユーザーが（手動で）アプリケーションでできることとできることをすべてチェックしてクリックします。 何かがうまくいかない場合（レイアウトがフロートした、エラーが出た、まったく機能しなかった、など）-彼らはそう言うと言います。 時々、ビデオでさえ、それを再現した方法を添付します。 はい、もう1つ-QuickBooksの単語を確認してください。 規則では、略語は許可されておらず、QuickBooksはQuickBooksとして書かれるべきであり、それ以外は何も書かれていないと述べています。 いくつかの場所でQuickbooks（「b」と小さなもの）がありました。これは、想定される問題によってすぐに示されました。 気をつけて。



UPD。 2017-判明したように、そのようなレビューは発行されたときだけでなく毎年行われます。 かなり論理的です。

まとめ

1か月以上後、見つかったものをすべて記録し、レビューに合格しました。 これで、アプリケーションがapps.comで正常にホストされました。 残念ながら、私はそれを示すことができません-NDAにとって。 興味深いことに、投稿後はコード内で何でもできます;再レビューする必要はありません。 説明を変更するには、必要な機能と機能を変更して、好きなだけ変更します。 次のレビューは、発行後わずか1年です。



私の投稿が誰かにとって有用であり、彼のおかげで彼が彼の人生の数時間を救うことを願っています。 何かが間違っている場合-コメントに書いて、私が何かを間違って説明した可能性は十分にあります