MAX MiniApp — SSO Login

Окружение проверка

Клиентская проверка по алгоритму MAX WebAppData (HMAC-SHA256)

1

Извлечение WebAppData

—

2

Проверка параметров

—

3

Проверка hash (ровно 1)

—

4

URL-декодирование значений

—

5

Сортировка a → z

—

6

Формирование launch_params

—

7

Вычисление secret_key

HMAC-SHA256("WebAppData", BOT_TOKEN)

8

Вычисление подписи

hex(HMAC-SHA256(secret_key, launch_params))

9

Сравнение с оригинальным hash

—

POST /auth/max — серверная валидация initData и создание сессии

—

Если аккаунт не привязан — запускаем OAuth2 Authorization Code + PKCE

POST /sso/complete — валидация initData + ticket, получение app-сессии