QIWIウォレットを合法的に「開き」、それを完全にポンピングする方法

最近、Visa QIWI Walletユーザーは新しいAPIメソッドにアクセスできます。 カットの下：このAPIとは何ですか、なぜそれを開いたのか、なぜ今すぐ使用を開始する必要があるのか​​。

APIの歴史

正式には、APIの歴史は今年4月に始まりましたが、APIに含まれるメソッドの一部はそれよりずっと前に利用可能でした。



マスユーザーサービスQIWIウォレットはマイクロサービスのアーキテクチャに徐々に移行しているため、システム内のコンポーネントは何らかのAPIを介して相互に作用します。 すべてのユーザーは、サイトにアクセスしてデバッガーを開き、ブラウザーがサーバーに送信する要求を確認できます。 プログラマーの最低限のスキルは、送信された要求を引き出し、サイトをバイパスして独自のソリューションで使用するのに十分です。



そんなカンニングをしたい人はかなりいました。 これらは、ウォレットの詳細を掘り下げることに興味がある熱心な学生であり、QIWIウォレットWebサイトの個々の機能を意思決定に統合したいプロの開発者です。 その結果、サイトの開発と並行して、サードパーティソリューションのエコシステム全体が「グレー」モードで開発を開始しましたが、ユーザー契約で合法化されておらず、サポートも提供していません。



以下は、ユーザーにとって不安定なサイトの独立した調査の結果に基づいたスクリプトです。 開発者はさまざまな方法で情報を抽出しますが、これには率直に言って時代遅れの方法が含まれ、サーバーに追加の負荷がかかります。



サイトからのデータのダウンロードを効率化するために、シティバンク、Wargaming、Vkontakteで行っていたように、それを合法化することにしました。 ユーザーAPIの最初のバージョンを形成する、情報を取得する既存の方法の中で最も現代的で安定した方法を説明しました。



開発者向けドキュメントの登場により、ユーザーはサイトをバラバラにする必要がなくなり、古いプロトコルにつまずく危険があります。 ドキュメントセクションの出席者によると、APIの需要を追跡しました。 また、フィードバックや質問用のメールアドレスを投稿し、ソーシャルネットワークやフォーラムの関連トピックを監視しました。 当時は、なんらかの形でAPIを宣伝するタスクがありませんでした。物事を整理し、サードパーティの開発者に無料で安全で実績のあるアクセス方法を提供したかったのです。



APIドキュメントの公開自体は、ウォレット機能にアクセスするためのサードパーティツールの動作に影響を与えませんでした。 私たちは「自己構築」を規制するつもりはありませんでしたが、決定は開発者自身の危険と文書化されていないサービスの機能に基づくリスクによって決定されたため、状況を見ました。 また、ユーザーのデータには影響しませんが、ユーザーとの戦いは一切行いませんが、作成者と連絡を取り、文書化されたAPIの使用に切り替えることをお勧めします。



リクエストがサイト解析を通過すると、対応するスキームがサイトで機能する限り、APIのスコープ外のメソッドを使用するソリューションが機能することは明らかです。 しかし、より良い方法の出現後、文書化されていないソリューションが徐々に消滅し始めることを願っています。

最初のバージョンの問題

残念ながら、APIの最初のバージョンの作成時点では、別個の認証システムはまだありませんでした。 したがって、その段階では、サイト（CAS）からの認証スキームを使用し、別のチームに分解してdeveloper.qiwi.comに公開しました 。



認証は最初のAPIの重要な問題になりました。 サイトの観点からメカニズムが正しかった場合（これは、ライフタイムが異なる2つのトークンの原則に従って、ほとんどのWebページで認証が編成される方法です）、ユーザーが手順を実行することは非常に困難であることが判明しました。 このメソッドは、当初はユーザー指向ではありませんでしたが、サイトの内部タスクを処理しました。 その結果、さまざまな問題が発生しました。たとえば、「ロボットではないことを証明する」キャプチャがポップアップしました。これは、APIが自動システムを使用したアクセスを想定しているため、ユーザーにとって驚きでした。



オープンAPIの公開を宣伝しませんでしたが、否定的なレビューを含む記事を含むいくつかの記事がネットワークに掲載されました。 api_help@qiwi.comのフィードバックアドレス宛てに100文字以上の手紙を受け取りました。その意味は、API自体は優れているが、認証は価値がないということでした。 すべてのユーザーが金融サービスに接続する理由を理解しているわけではありませんが、InstagramやVkontakteを使用すると、すべてがはるかに簡単になります。 使用した方法（サイト認証とAPIの両方で）が顧客アカウントを危険にさらすべきではないため、困難は金融コンポーネントによって正確に引き起こされたと説明しました。



フィードバックを分析すると、APIが需要にあり、批判は主に認証システムに向けられていることがわかり、APIをさらに開発することにしました。

更新されたAPI

API内での新しいメソッドの開発は、サイトとQIWIウォレットモバイルアプリケーションのバックエンドを作成する専門家チームに委ねられました。 APIはコアコンピテンシーであり、メインサイトをマイクロサービスのアーキテクチャに移行するのはこのチームです。 また、ここでのAPIは、ユーザーに渡すリクエストを介して、メインサイトと個々のエンティティの相互作用に役立ちます。



既存のAPIを改良し、新しいメソッドを追加するために、ユーザーからのフィードバックを慎重に分析しました。



何か新しいことに挑戦したいという熱心なファンはかなりいますが、APIユーザーの大半はQIWIウォレットをビジネスプロセスに統合するプロの開発者です（そしてこれらはオンラインストアではありません-法人向けの個別のAPIがあります） ） 基本的に、ウォレット自体のニーズに合わせてウォレットの動作を最適化することについて話します：通知の設定、サービスの支払いの自動化、ユーザー間のデジタル商品の交換、および通常の電子商取引に関連しない他のタスク。



フィードバックに基づいて、APIを介した新しいユーザー認証を提案し、ウォレットとやり取りするための新しい機能を追加しました。 最初のバージョンでは、残高要求、支払い履歴、および送金の送信について説明しました。 現在では、ユーザープロファイルのリクエスト、セルラー通信の支払い、カードごとの銀行やカードへの振替、口座番号および契約番号が完全な詳細ではなく補足されています。

新しい認証

API指向の認証システムを構築するために、OAuth 2.0オープンプロトコル経由でRFC 6749標準を使用しました。 認証が金融サービスの要件を満たしていることを確認するために、ウォレットへのパスワードとSMSコードによる2要素アクセスを提供しました。 手順を完了するには、ユーザーは1か月 180日間有効なトークンを発行する必要があります（問題はSMSによって確認されます）。 OAuth 2.0の新しいバージョンのユーザーの要求に応じて、トークンのアクセス権を選択する可能性も開きました。 たとえば、残高をリクエストしたり、支払い履歴を取得したりする場合、トークンには読み取り専用権限が付与されます。 使用可能なアクセス権には4つのグループがあります。

• ユーザープロファイル情報へのアクセス。
  
  
• ウォレットの残高へのアクセス。
  
  
• 支払い履歴へのアクセス。
  
  
• 支払いへのフルアクセス。
  
  

この機能は非常に人気があり、トークンの半分未満が完全な権利（支払いを行う）で発行され、多くは情報を受け取るだけで済みます。

ユーザープロファイル

ユーザーの要望からではなく、チーム内で生まれた新機能の1つは、ユーザープロフィールのリクエストです。 ウォレットに関するさまざまな情報を受け取ることができます：登録日、添付されたメールアドレス、ウォレットの識別レベル。 識別のレベルがウォレットの操作の制限を決定するため、後者は金融サービスにとって特に重要です。 以前は、この情報はqiwi.comのウォレット設定で確認できましたが、現在はAPIからも利用できます。



ユーザーの個人データは、プロファイルリクエストでは利用できないことに注意してください-これはセキュリティ要件です。

手数料率

ユーザーの要望に応じて、利用可能なサービスプロバイダーのいずれかで操作を行う際に、手数料のサイズをリクエストする機能をAPIに追加しました。 この方法はオープンであり、認証を必要としません。

携帯電話決済

ユーザーが始めたもう1つの革新は、宅配便電話などのモバイル決済自動化ツールです。



実際、このメソッドは2つの段階で構成されています。

• 電話番号とシステム内のサービスプロバイダーのIDによるオペレーターの自動識別（1つのオペレーターから別のオペレーター（MNP）に転送された番号でも機能します。
• オペレーターの口座への送金。

銀行や銀行カードへの送金

セルラー通信の支払いと同様に、このAPIメソッドのグループを使用すると、ロシアおよびCISのVISA、MasterCard、およびMIR全国支払いシステムの銀行カードへの送金を自動化できます。 振替はカード番号によって実行され、支払いシステムはそれによって決定されます。



銀行振込は、オンラインの即時振替プロトコルを実装したいくつかの銀行に送金するために使用される別の方法です。 銀行の詳細による通常の送金とは異なり、これらの銀行では、より多くの顧客ID（カード番号、契約、口座など）を使用できます。

問題の法的側面

最近まで、APIアクセスは正式に禁止されていました。 APIを使用して行われたすべては、あなた自身の危険とリスクで行われました。 ユーザーがサイトを解析し、そこからいくつかのコマンドを取り出し、ウォレットで操作を行い、お金を失った場合、彼は自分の行動の結果に対して完全に責任を負いました。 テクニカルサポートは、このような問題の解決には参加しませんでした。



このような状況が発生しないようにするために、ユーザー契約に適切な変更を加えました。 これで、APIはWebサイトおよびモバイルアプリケーションとともに公式ステータスになりました。

次に何が起こりますか？

上記のデータアクセス方法は既に機能しており、ドキュメントはdeveloper.qiwi.comで公開されています。



内部テストが完了し、APIを公開した後、第2段階に進みました-「ユーザー+ドキュメント+ API」接続の操作性を確認します。 この段階では、ドキュメントがどの程度明確であるか、追加の説明が必要かどうかなどに関する質問に答える必要があります。したがって、ユーザーはapi_help@qiwi.comにフィードバックを送信することをお勧めします。



近い将来、システムに新規ユーザーを登録し、既存のユーザーを認証する方法をサードパーティサービスに提供することにより、APIの機能を拡張し、彼らに代わって金融業務を行う予定です。 これは、当社、ユーザー、およびサードパーティ-サードパーティサービスの間の相互作用のわずかに異なるモデルです。



APIの新しいバージョンの開発の詳細に関心がある場合は、コメントに質問を書いて質問してください。次の出版物でそれらに答えようとします。

注目コンペ

開発者に新しいAPIの使用に興味を持たせるために、全ロシアQIWI APIコンテストを実施しています。 これは、会社のAPIの普及を目的とした、QIWIオープンプラットフォーム内での最初の競争です。



コンテストに参加するには、QIWI Wallet APIを使用して、チャットボット、モバイルアプリケーション、およびWeb製品であるMobile Firstソリューションを作成する必要があります。 専門家が最も精巧なソリューションを選択し、9月23日にモスクワで開催されるコンテストの決勝に最大15人の参加者を招待します。



他の都市の出場者はリモートで参加できます。 プロジェクトの登録は公開されており、9月15日まで続きます。 参加の申し込みは、 QIWI APIコンテスト WebサイトでTimepad経由で行うか、 apimarket @ qiwi.comに送信できます。 すべての質問に対して、 Telegramで特別なチャットを作成しました。



2017年8月25日更新：

• 現在、トークンの有効期間は30日ではなく180日です。
• QIWI APIコンテストコンテストウェブサイトを立ち上げました。