Реалізація авторизації через Telegram на сайті

Наша компанія займається розробкою, підтримкою та обслуговуванням сайтів будь-якої складності. Від простих односторінкових сайтів до масштабних кластерних систем, побудованих на мікро сервісах. Досвід розробників підтверджено сертифікатами від вендорів.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів
Розробка та обслуговування будь-яких видів сайтів:
Інформаційні сайти або веб-програми
Сайти візитки, landing page, корпоративні сайти, онлайн каталоги, квіз, промо-сайти, блоги, ресурси новин, інформаційні портали, форуми, агрегатори
Сайти або веб-програми електронної комерції
Інтернет-магазини, B2B-портали, маркетплейси, онлайн-обмінники, кешбек-сайти, біржі, дропшиппінг-платформи, парсери товарів
Веб-програми для управління бізнес-процесами
CRM-системи, ERP-системи, корпоративні портали, системи управління виробництвом, парсери інформації
Сайти або веб-програми електронних послуг
Дошки оголошень, онлайн-школи, онлайн-кінотеатри, конструктори сайтів, портали надання електронних послуг, відеохостинги, тематичні портали

Це лише деякі з технічних типів сайтів, з якими ми працюємо, і кожен із них може мати свої специфічні особливості та функціональність, а також бути адаптованим під конкретні потреби та цілі клієнта.

Пропоновані послуги
Показано 1 з 1 послугУсі 2065 послуг
Реалізація авторизації через Telegram на сайті
Середня
від 1 робочого дня до 3 робочих днів
Часті питання
Наші компетенції:
Етапи розробки
Останні роботи
  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_web-applications_feedme_466_0.webp
    Розробка веб-додатків для компанії FEEDME
    1171
  • image_websites_belfingroup_462_0.webp
    Розробка веб-сайту для компанії БЕЛФІНГРУП
    874
  • image_ecommerce_furnoro_435_0.webp
    Розробка інтернет магазину для компанії FURNORO
    1094
  • image_crm_enviok_479_0.webp
    Розробка веб-додатків для компанії Enviok
    831
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
Показати більше робіт

Впровадження Telegram аутентифікації для веб-сайтів

Telegram Login Widget дозволяє користувачам входити на сайт через Telegram-аккаунт без OAuth2-редиректів. Користувач натискає кнопку, Telegram відкриває діалог підтвердження, сайт отримує підписані дані. Ніякого пароля, ніякого email — тільки Telegram ID.

На відміну від класичного OAuth2, Telegram не перенаправляє користувача на свій сайт. Авторизація відбувається через:

  1. Widget-режим — JavaScript віджет, вбудований на сторінку
  2. Redirect-режим — посилання на t.me/BotName?start=auth

Підписані дані передаються клієнту, який відправляє їх на сервер для верифікації.

Створення бота

  1. Відкрити @BotFather у Telegram
  2. /newbot → указати ім'я й username
  3. Зберегти Bot Token (формату: 123456:ABCdef...)
  4. Встановити домен: /setdomain → вибрати бота → указати домен (наприклад, example.com)

Встановлення віджета

<script
  async
  src="https://telegram.org/js/telegram-widget.js?22"
  data-telegram-login="YourBotName"
  data-size="large"
  data-auth-url="https://example.com/auth/telegram/callback"
  data-request-access="write">
</script>

Параметр data-auth-url — URL, на який Telegram зробить GET-редирект з параметрами авторизації. Параметр data-request-access="write" запитує дозвіл на відправку повідомлень користувачу через бота.

Верифікація підпису на сервері

Критичний крок. Дані від Telegram підписані HMAC-SHA256. Без верифікації зловмисник може відправити довільні дані:

class TelegramAuthController extends Controller
{
    public function callback(Request $request): RedirectResponse
    {
        $data = $request->only(['id','first_name','last_name','username','photo_url','auth_date','hash']);

        if (!$this->verifyTelegramHash($data)) {
            abort(422, 'Неверна підпис Telegram');
        }

        // Перевірити свіжість: auth_date не старше 5 хвилин
        if (abs(time() - $data['auth_date']) > 300) {
            abort(422, 'Застарілі дані авторизації');
        }

        $user = $this->findOrCreateUser($data);
        Auth::login($user, remember: true);

        return redirect()->intended('/dashboard');
    }

    private function verifyTelegramHash(array $data): bool
    {
        $receivedHash = $data['hash'];
        unset($data['hash']);

        ksort($data);
        $dataCheckString = implode("\n", array_map(
            fn($k, $v) => "{$k}={$v}",
            array_keys($data),
            array_values($data)
        ));

        // Ключ — SHA256 від Bot Token
        $secretKey = hash('sha256', config('services.telegram.bot_token'), true);
        $calculatedHash = hash_hmac('sha256', $dataCheckString, $secretKey);

        return hash_equals($calculatedHash, $receivedHash);
    }
}

Терміни

Етап Час
Створення бота, налаштування домену 0.5 дня
Верифікація підпису + API еndpoint 1 день
Віджет на frontend 0.5 дня
Міграції, тести 0.5 дня

Разом: 2.5–3.5 дня.