Autoriser un affichage selon la page précende (serveur différent)

Horanche · 18/05/2011, 12h06

Bonjour,
Je travail depuis quelque temps sur un projet de script PHP de gestion de profs absents (pour mon collège). Problème :
Je voudrais que les élèves aient à passer par l'ENT du collège (site en aspx) pour pouvoir accéder à la page en PHP.
Je souhaiterais donc (de manière sécurisé et sûr) pouvoir savoir de quelle page vient l'élève, mon but n'étant pas de savoir son ID et son mots de passe d'ent mais juste de savoir s'il est passer par l'ent. Je pense que récupérer l'url précédente ne marcherais pas bien donc mon idée était de tenter de faire un petit bout de code en ASPX (même si je connais pas le langage je vais essayer de débrouiller), et ce petit bout de code irait écrire sur une bdd MySQL l'ip de l'élève ainsi qu'une date et après mon site irait vérifier sur la même base que l'élève soit inscrit

Sinon, autre idée mais incomplète (mais qui est mieux pour l’intégration aux ENT), j'aurais vraiment voulu que toute l'identification ce fasse par l'url, du genre une url qui contient l'ip, le nom du collège et le date, le tout crypté ! Pour sa j'avais penser à Javascript mais aller comment crypthé en javascript sans que personne n'aie chercher dans le code source comment la variable a était crypté et puis reproduit des url :/
Vous en pensez quoi ?
Merci de votre aide !!

tho.feron · 24/05/2011, 11h05

Bonjour,

Effectivement, l'usage du Referer n'est pas du tout une bonne pratique. L'usage de l'IP ne l'est pas non plus (IP changeante, plusieurs PCs derrière une même IP, ...).

Vous pouvez envisager une "identification" avec des tokens. Je m'explique : l'utilisateur passe par le premier site où se trouve un lien vers votre application PHP et dans l'URL se trouve un token généré aléatoirement et valable pour un temps restreint. Il suffit donc après de vérifier dans l'app PHP que le token est valide. L'utilisateur est donc obligé de passer par le premier site pour récupérer un token valide. Bien sûr, c'est transparent.

Est-ce que les deux applications sont sur le même domaine ? Sinon, c'est encore mieux de faire passer ce token dans un cookie.

Cordialement,
Thomas Feron de Backsmash.

18/05/2011, 12h06	#1
Horanche Invité de passage Pierre Kramer Collégien Inscription : mai 2011 Messages : 7 Détails du profil Informations personnelles : Nom : Pierre Kramer Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur) Informations professionnelles : Activité : Collégien Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : mai 2011 Messages : 7 Points : 3 Points : 3	Autoriser un affichage selon la page précende (serveur différent) Bonjour, Je travail depuis quelque temps sur un projet de script PHP de gestion de profs absents (pour mon collège). Problème : Je voudrais que les élèves aient à passer par l'ENT du collège (site en aspx) pour pouvoir accéder à la page en PHP. Je souhaiterais donc (de manière sécurisé et sûr) pouvoir savoir de quelle page vient l'élève, mon but n'étant pas de savoir son ID et son mots de passe d'ent mais juste de savoir s'il est passer par l'ent. Je pense que récupérer l'url précédente ne marcherais pas bien donc mon idée était de tenter de faire un petit bout de code en ASPX (même si je connais pas le langage je vais essayer de débrouiller), et ce petit bout de code irait écrire sur une bdd MySQL l'ip de l'élève ainsi qu'une date et après mon site irait vérifier sur la même base que l'élève soit inscrit Sinon, autre idée mais incomplète (mais qui est mieux pour l’intégration aux ENT), j'aurais vraiment voulu que toute l'identification ce fasse par l'url, du genre une url qui contient l'ip, le nom du collège et le date, le tout crypté ! Pour sa j'avais penser à Javascript mais aller comment crypthé en javascript sans que personne n'aie chercher dans le code source comment la variable a était crypté et puis reproduit des url :/ Vous en pensez quoi ? Merci de votre aide !!
	00

24/05/2011, 11h05	#2
tho.feron Membre actif Thomas Feron Chef d'entreprise Inscription : novembre 2010 Messages : 94 Détails du profil Informations personnelles : Nom : Thomas Feron Localisation : Belgique Informations professionnelles : Activité : Chef d'entreprise Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2010 Messages : 94 Points : 164 Points : 164	Bonjour, Effectivement, l'usage du Referer n'est pas du tout une bonne pratique. L'usage de l'IP ne l'est pas non plus (IP changeante, plusieurs PCs derrière une même IP, ...). Vous pouvez envisager une "identification" avec des tokens. Je m'explique : l'utilisateur passe par le premier site où se trouve un lien vers votre application PHP et dans l'URL se trouve un token généré aléatoirement et valable pour un temps restreint. Il suffit donc après de vérifier dans l'app PHP que le token est valide. L'utilisateur est donc obligé de passer par le premier site pour récupérer un token valide. Bien sûr, c'est transparent. Est-ce que les deux applications sont sur le même domaine ? Sinon, c'est encore mieux de faire passer ce token dans un cookie. Cordialement, Thomas Feron de Backsmash.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email