В честь одиннадцатилетия Telegram представил крупное обновление BotAPI 7.9, направленное на поддержку авторов контента.

В этом посте разберём те части обновления, которые касаются разработчиков. Полностью прочитать о представленных нововведениях можно по ссылке.

Звёздные реакции

Появилась возможность отправлять "Звёздные реакции" к постам в каналах - это способ отблагодарить автора контента используя Telegram Stars. Также, в меню звёздной реакции отображается "Список лидеров", подписчиков отправивших больше всего звёзд к конкретному посту.

Включить звёздные реакции на сообщения в канале можно в меню Настройки канала > Реакции > Включить платные реакции.

В API бота добавлена поддержка платных реакций и новый класс ReactionTypePaid, определяющий "звёздную реакцию".

Подписка на канал за Telegram Stars

С сегодняшнего дня, можно создавать пригласительные ссылки на канал с указанием ежемесячной платы в звёздах. Это позволяет авторам контента создать закрытый канал и предоставлять к нему доступ по подписке.

Чтобы сгенерировать ссылку для платной подписки на канал, перейдите в Настройки канала > Тип канала > Управление приглашениями > Создать ссылку и включите опцию Ежемесячная плата.

Также, такие ссылки может создавать и бот. Для этого были добавлены следующие API-методы и поля:

• Метод createChatSubscriptionInviteLink - Позволяющий ботам создавать пригласительные ссылки с подпиской.

• Метод editChatSubscriptionInviteLink - Позволяет ботам редактировать название уже имеющейся пригласительной ссылки.

• Поле until_date в класс ChatMemberMember - Необязательное поле для объекта класса, указывающее на то, имеется ли у подписчика канала платная подписка.

Публикация платного медиаконтента ботами

Изначально, платный контент за "Звёзды", можно было публиковать только в каналах, однако, теперь их могут отправлять и боты. Это позволит многим авторам контента продавать эксклюзивные фото и видео, а также предлагает новый способ монетизации сервиса.

Также, помимо классических ботов, отправлять платные медиа может и бот, подключенный к бизнес аккаунту.

В API бота добавили:

• Возможность отправки платного медиа в любой чат

• В метод sendPaidMedia добавлено поле business_connection_id для отправки платного контента в чат, используя бизнес аккаунт.

• В класс TransactionPartnerUser добавлено поле paid_media для платежей связанных с платным контентом.

Суперканалы

Сообщения в канале публикуются от имени канала, максимум, что можно было сделать раньше - это добавить подпись с именем автора сообщения. Теперь можно включить отправку сообщений непосредственно от своего имени или имени другого своего канала.

Чтобы превратить канал в суперканал, перейдите в Настройки канала > Администраторы и включите «Подписывать сообщения» и «Показывать профили авторов».

В API бота добавили поддержку Суперканалов, позволяющую получать сообщения из канала отправленные от лица пользователя или другого канала.

Telegram-канал "Код на салфетке" - https://t.me/press_any_button

Сайт "Код на салфетке" - https://pressanybutton.ru/

Settings -> ReVanced -> Misc -> Import/Export

Оптимальные настройки приложения:

"announcement_last_id": 13,

"copy_video_url_timestamp": false,

"disable_zoom_haptics": false,

"hdr_auto_brightness": false,

"hide_autoplay_button": false,

"hide_download_button": true,

"swipe_brightness": false,

"swipe_volume": false,

"switch_create_with_notifications_button": false,

"video_quality_default_wifi": 1080,

"sb_local_time_saved_milliseconds": 15753,

"sb_local_time_saved_number_segments": 1

Также в нашем канале есть инструкция по исправлению Win версии и искусственный интеллект на уровне всеми известного ChatGPT - Переходи и получай полезную информацию: https://t.me/OZ_ITPQ

Если в общем, то мой стек используемых инструментов выглядит следующим образом:

• Telegram App ( Библиотека )

• Strapi ( Админ панель + REST API )

• PostgreSQL ( База данных )

• Next.js ( Само приложение )

Решение с защитой что я предлагаю подойдет каждому. Главное понять его принцип.

Как я защищал REST API? Валидация данных

Когда пользователь открывает веб-приложение через Telegram, ваше приложение получает начальные данные от самого Telegram, такие как идентификатор пользователя и его имя. Чтобы убедиться, что эти данные подлинные и не были изменены, используется специальный процесс проверки.

1. Преобразование данных: Приложение преобразует начальные данные в удобный формат.

2. Создание строки для проверки: Из всех параметров (кроме специального hash) создается отсортированная строка.

3. Создание секретного ключа: С помощью токена вашего бота создается секретный ключ.

4. Создание цифровой подписи: Используя секретный ключ и строку параметров, создается цифровая подпись.

5. Сравнение подписей: Приложение сравнивает созданную подпись с полученной от Telegram. Если они совпадают, данные подлинные.

Этот процесс помогает убедиться, что данные, полученные от Telegram, не были изменены, обеспечивая безопасность вашего приложения и его пользователей.

После успешной валидации я генерировал JWT токен для пользователя и он становился полноценным пользователем в моей системе.

Далее можно с ним делать что угодно 😏 - ну допустим заблокировать его, дать права админа и т.д.

А сам пользователь имеет полный доступ к возможностям приложения. Но вне телеграма он ничего не сделает.

Какие дыры есть в приложениях и почему?

Не буду показывать на конкретном примере, но большинство разработчиков не умеют или не хотят защищать свои приложения, а чисто привязывают все к Telegram ID ( ID вашего аккаунта ) и так и живут.

Telegram ID состоит из цифр и перебрать его методом подбора не составит труда и получить доступ к аккаунту в Mini App.

Зачастую этим грешат новые приложения или не опытные разработчики, например в Telegram Apps Store ваше приложение проверяют на наличие этой защиты.

Кроме того нужно учесть что само приложение не должно никоем образом отображаться в поисковиках, если все взаимодействие выстроено на основе телегерама. Приложения же имеют свой адрес и могут индексироваться, не забывайте выключать!

Кроме всего этого можно запретить вне телеграма заходить в ваше приложение тем же способом что описан выше.

Как же защитить приложение и пользователей?

Не важно на каком языке вы пишите, телеграм уже сделал для вас подсказку, осталось ей воспользоваться.

Оставлю ссылку здесь на данный раздел - Документация Telegram

Итого

Я надеюсь эта статья поможет тем кто хочет или уже занимается разработкой WebApp на Telegram. Если все еще осталось что-то не понятно, то пишите смело - будем вместе разбираться:)

Если у вас так же останутся вопросы или предложения или вы просто захотите поделиться своим приложением, то пишите! Всегда рад пообщаться с читателями 😁

Ну и мой телеграм, если вдруг вам интересно 😜

🚀 JobsinNetwork: https://lnkd.in/ek_3wRfY.

Предоставляет доступ к сети сайтов вакансий по всей Европе.

🚀 EURES: https://eures.europa.eu/.

Европейский портал мобильности трудоустройства: Инициатива государственной службы, предоставляющая доступ к вакансиям к вакансиям по всему Европейскому союзу.

🚀 Europelanguagejobs: https://lnkd.in/ePTMqgGy

Предлагает объявления о работе для людей со знанием языка.

🚀 StepStone: https://www.stepstone.de.

Один из самых распространенных сайтов по трудоустройству в Европе и в Германии.

🚀 Jobs IE: https://www.jobs.ie

Популярный портал вакансий в Ирландии для различных отраслей.

🚀 The Local Jobs: https://jobs.thelocal.com/.

Предоставляет местные объявления о вакансиях в различных странах Европы.

А вообще крутые вакансии с релокацией или на улалёнке собираю в телеграм ПОРА РЕЛОЦИРОВАТЬСЯ