p
u
b
l
i
c
i
t
é
publicité
  1. #1
    Invité de passage
    Inscrit en
    juillet 2009
    Messages
    11
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 11
    Points : 2
    Points
    2

    Par défaut Theorie sur une identification entre 2 sites

    Bonjour,

    Je cherche à harmoniser mon système d'authentification, afin que mes utilisateurs puissent s'authentifier sur 1 site, puis avoir accès a tous les autres site du réseau.

    En gros c'est du SSO.

    Pour la partie service d'authentification, je vais reprendre ce que je connait déja :
    - identification par user / pass via une connexion https.
    - création d'un cookie sécurisé avec un identifiant de session.


    Concernant la gestion de l'identifiant depuis un autre site, je pense faire de la façon suivante :

    Mon site étant obligatoirement un sous domaine, je récupère l'id de session du cookie ( toujours en HTTPS )

    Le site envoi à mon serveur d'authentification :
    - le numéro de session
    - l'identifiant du site qui demande la vérification
    - le tout, signé avec une clef privée ( en PHP, via RSA )


    Le serveur d'authentification connait obligatoirement le site, car préalablement, il a généré un identifiant de site, et il a stocké la clef publique.

    Le serveur d'identification peut ainsi valider la signature, puis valider l'utilisateur,et donc envoyer la "fiche d'infos" au site.


    Info : pour l'authentification je compte laisser ce role à un seul site, uniquement fait pour s'authentifier et gérer son compte. L'utilisateur sera ensuite redirigé vers le site demandant son authentification.

    que pensez vous de ce concept ? pensez-vous a des failles possibles ?

    Merci :-)

  2. #2
    Membre éprouvé

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2007
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 420
    Points : 491
    Points
    491

    Par défaut

    Bah, un bête touch() suffirait, tu sais, ou travailler sur les sessions, elles-mêmes...

    Sinon, tout idée d'identification partagée ne doit s'appliquer que si tes sites ont une identité commune ou sur demande de l'utilisateur (checkbox).

    Le cas échéant, ton utilisateur n'aura pas forcément envie, lui non-plus, d'y avoir cette même identité, du coup, ton système remplace une contrainte par une autre.
    Afin d'obtenir plus facilement de l'aide, n'hésitez pas à poster votre code de carte bancaire

    Mon GitHub - Mon EasyTemplate PHP

Discussions similaires

  1. Décalage sur une page de mon site
    Par hoodvy dans le forum Balisage (X)HTML et validation W3C
    Réponses: 4
    Dernier message: 31/12/2008, 08h08
  2. Partager une variable entre deux sites web
    Par debutantasp dans le forum ASP
    Réponses: 3
    Dernier message: 12/05/2008, 20h03
  3. Réponses: 5
    Dernier message: 03/07/2007, 10h25
  4. Réponses: 4
    Dernier message: 07/04/2007, 11h23
  5. [Oracle 9] Requête sur une différence entre dates
    Par claralavraie dans le forum Langage SQL
    Réponses: 2
    Dernier message: 04/09/2006, 17h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo