[Sécurité] connexion sur son compte par un lien [Résolu]

[Zen_Fou]

bonjour,

je suis actuellement en stage et je suis chargé de faire un site B to C, rien de spécial.

mon boss veut que les utilisateurs se connectent au site sans login et sans mot de passe mais plutot par un lien crypté.
s'il n'a plus ce lien, il saisit son mail et le système lui renverra un mail avec un lien crypté qui lui donnera accès à son compte.

ce sait pas comment faire mais j'ai pensé à utiliser la méthode md5(). cependant je vois pas comment ensuite faire le controle pour donner à l'utilisateur accès à son compte.

merci pour votre aide

[spilliaert]

tu peux faire ceci (je me trompe peut-être):

1)md5($passwd) dans le get d'un lien;
2)requête dans une bdd pour voir si md5($passwd)==md5($pass_dans_bdd)

3)si ça correspond, l'user est autorisé

,j'espère t'avoir été utile...

[Zen_Fou]

le soucis avec cette méthode, c'est qu'il faudrait que je récupère tout les pass par une requete et que je les compare tous par une boucle en PHP, je me trompe ??
si c'est pas le cas, je pense que cette méthode risque d'être lourde si le site est destiné au grand public.

mais merci quand meme

[rfufu]

Cette méthode ne soulève t-elle pas des problèmes liés à la sécurité ? (robot, historique, cookie...)
Et ce que tes utilisateurs travaillent toujours à partir des mêmes postes, ou sont-ils sensés pouvoir se connecter de n'importe où ?
Si un intru accède aux pages sécurisées, est ce que c'est grave ou sans conséquence ?
As tu des contraintes pour mettre en place ce projet ?

Si non, pourquoi n'adopte tu pas un système de certificat ou clé public/privée.

[Zen_Fou]

Citation:

Cette méthode ne soulève t-elle pas des problèmes liés à la sécurité ? (robot, historique, cookie...)

je sais pas du tout

Citation:

Et ce que tes utilisateurs travaillent toujours à partir des mêmes postes, ou sont-ils sensés pouvoir se connecter de n'importe où ?

n'importe ou

Citation:

Si un intru accède aux pages sécurisées, est ce que c'est grave ou sans conséquence ?

c'est pas trop grave pour le site en lui meme mais ca peut être génant. quoi que cette action de vouloir nuire ne sert pas à grand chose sur mon site.

Citation:

As tu des contraintes pour mettre en place ce projet ?

mon boss veut que les utilisateur accède à leur compte par un lien qui serait crypté.
j'aurai bien fait quelque chose de classique pour se loguer mais il trouve qu'un login /mdp c'est trop contraignant dans le sens ou faut s'en souvenir et veut faciliter le plus possible l'accès au site.

[gremar]

Pour la sécurité, tu peux faire des liens à usage unique : tu les regénères à chaque login, chaque lien n'est valable qu'une seule fois. L'inconvénient c'est qu'il faut recevoir par mail le nouveau lien à chaque fois que tu veux te logguer.

Dans les faits, tu lies une chaine aléatoire à chaque utilisateur, tu leur envoies cette chaine dans un lien par mail quand ils la demandent, et tu la changes en base de données quand ils se logguent...

[Zen_Fou]

ok merci merci pour votre aide