Theorie sur une identification entre 2 sites

[pixman]

Bonjour,

Je cherche à harmoniser mon système d'authentification, afin que mes utilisateurs puissent s'authentifier sur 1 site, puis avoir accès a tous les autres site du réseau.

En gros c'est du SSO.

Pour la partie service d'authentification, je vais reprendre ce que je connait déja :
- identification par user / pass via une connexion https.
- création d'un cookie sécurisé avec un identifiant de session.


Concernant la gestion de l'identifiant depuis un autre site, je pense faire de la façon suivante :

Mon site étant obligatoirement un sous domaine, je récupère l'id de session du cookie ( toujours en HTTPS )

Le site envoi à mon serveur d'authentification :
- le numéro de session
- l'identifiant du site qui demande la vérification
- le tout, signé avec une clef privée ( en PHP, via RSA )


Le serveur d'authentification connait obligatoirement le site, car préalablement, il a généré un identifiant de site, et il a stocké la clef publique.

Le serveur d'identification peut ainsi valider la signature, puis valider l'utilisateur,et donc envoyer la "fiche d'infos" au site.


Info : pour l'authentification je compte laisser ce role à un seul site, uniquement fait pour s'authentifier et gérer son compte. L'utilisateur sera ensuite redirigé vers le site demandant son authentification.

que pensez vous de ce concept ? pensez-vous a des failles possibles ?

Merci :-)

[Lcf.vs]

Bah, un bête touch() suffirait, tu sais, ou travailler sur les sessions, elles-mêmes...

Sinon, tout idée d'identification partagée ne doit s'appliquer que si tes sites ont une identité commune ou sur demande de l'utilisateur (checkbox).

Le cas échéant, ton utilisateur n'aura pas forcément envie, lui non-plus, d'y avoir cette même identité, du coup, ton système remplace une contrainte par une autre.