Bonjour,
Je cherche à harmoniser mon système d'authentification, afin que mes utilisateurs puissent s'authentifier sur 1 site, puis avoir accès a tous les autres site du réseau.
En gros c'est du SSO.
Pour la partie service d'authentification, je vais reprendre ce que je connait déja :
- identification par user / pass via une connexion https.
- création d'un cookie sécurisé avec un identifiant de session.
Concernant la gestion de l'identifiant depuis un autre site, je pense faire de la façon suivante :
Mon site étant obligatoirement un sous domaine, je récupère l'id de session du cookie ( toujours en HTTPS )
Le site envoi à mon serveur d'authentification :
- le numéro de session
- l'identifiant du site qui demande la vérification
- le tout, signé avec une clef privée ( en PHP, via RSA )
Le serveur d'authentification connait obligatoirement le site, car préalablement, il a généré un identifiant de site, et il a stocké la clef publique.
Le serveur d'identification peut ainsi valider la signature, puis valider l'utilisateur,et donc envoyer la "fiche d'infos" au site.
Info : pour l'authentification je compte laisser ce role à un seul site, uniquement fait pour s'authentifier et gérer son compte. L'utilisateur sera ensuite redirigé vers le site demandant son authentification.
que pensez vous de ce concept ? pensez-vous a des failles possibles ?
Merci :-)
Partager