Проверка безопасности в событиях

Разработчик приложения в обработчиках событий должен убедиться в том, что обработчик вызывается именно Битрикс24, а не злоумышленниками. Для этого Битрикс24 при вызове обработчиков передает дополнительный параметр application_token.

В первый раз параметр передаётся в обработчик события OnAppInstall вместе с данными авторизации пользователя, установившего приложение. При помощи этих данных авторизации обработчик события OnAppInstall может удостовериться в актуальности полученного access_token и затем запомнить application_token, чтобы в дальнейшем, в своих обработчиках других событий сверять получаемый application_token с сохраненным.

Особенно это актуально в обработчике события OnAppUninstall, поскольку в него не передаются данные авторизации (приложение уже удалено на Битрикс24). Поэтому в случае с OnAppUninstall сверка application_token с сохраненным значением становится единственным способом удостовериться, что обработчик события вызван именно Битрикс24.