Partage de session entre deux applications

**eluus** · 25/08/2014, 15h45

Bonjour,

Pour le besoin d'un projet, je souhaiterais partager une session entre deux applications.
Ces deux applications vont partager quelques données en base et le switch de l'une vers l'autre devrait se faire de manière transparente, c'est-à-dire sans reconnexion.
Faire une seule application serait très (trop) lourd, certains n'ayant accès qu'à une des deux (avec des droits limités à l'intérieur), certains objets étant relativement différents. La première application n'étant pas documentée (elle n'est pas de moi), le risque est très grand.

Savez-vous comment faire pour partager une session de manière transparente ?

Merci de votre aide

**garniture** · 25/08/2014, 22h13

C'est pas possible directement en PHP pure, je m'explique:
Tes objets ne vivent que la durée de l'execution d'un script, après ils sont détruits, et construits si besoin.
En revanche ce qui est possible c'est de mettre en place une communication ( je te conseille vivement un webservice REST ) entre les deux applications.

Certains bundles vont t'aider FosRestBundle, JSMserializer.

C'est pas mal de boulot, mais je ne vois pas comment faire sinon.

Une solution simple, c'est de connecter les deux applis à la meme base de donnés...

**eluus** · 26/08/2014, 08h56

Ah non, je me suis mal exprimé.
Je voulais parler d'une session utilisateur, c'est-à-dire passer d'une application à l'autre sans avoir à se (re)connecter.
Avoir comme Google par exemple : on peut passer de GMail à Drive sans avoir à se reconnecter.

La base sera bien partagée oui. Pour le reste (les objets etc.), cela n'est pas utile.

**garniture** · 26/08/2014, 09h21

C'est une mauvaise pratique de partager une session, tu crée du couplage, tes applications ne sont plus indépendantes, tu dois vérifier les donnés issues de la session avant de les utiliser, le risque de conflit est important, tu vas vite bourrer tes session, mais si tu y tiens vraiment c'est possible, tes sesssions sont stockés au niveau serveur, c'est "indépentant" de PHP, toutes les applications sur le meme serveur ont accès aux sessions sur le serveur.

Google/Gmail/autre services google te demandes tous de te connecter la premiere fois, et stockent un cookie encrypté qui sert à la connexion.

**eluus** · 26/08/2014, 09h46

Je n'y tiens pas vraiment personnellement mais on m'a demandé de ne surtout pas avoir à se reconnecter...
Je pourrais tout faire dans la même application mais j'ai peur des impacts, l'application de base est lourde et mal codée (du genre à être passée par deux frameworks différents)...

Bon, je vais voir.
Mais au cas où, pour le cookie, il me suffit de spécifier à mes applications symfony d'utiliser tel cookie (le même) ?

**garniture** · 26/08/2014, 10h13

Oui c'est le concept, mais niveau sécurité, c'est tendu...
Je te relance sur la BDD pourquoi si les deux appli partagent la meme bdd, ne pas juste permettre aux users de se conncter la premiere fois, et un "remember me" assez large derriere ?

**goabonga** · 27/08/2014, 03h04

Un peu de lecture :
http://symfony.com/fr/doc/current/co...iguration.html
puis :
http://www.elao.com/blog/symfony-2/s...ntication.html

**arnooo999** · 27/08/2014, 09h40

Bonjour,

ça devrait t'interesser également :

"Parfois, il peut être nécessaire d'intégrer Symfony dans une vieille application ("legacy") où vous n'avez pas le niveau de contrôle dont vous avez besoin."
http://symfony.com/fr/doc/current/co...hp_bridge.html

**jejeman** · 27/08/2014, 18h49

Et pourquoi ne pas jouer avec les bundles ?
Genre un bundle de base de donnée, un bundle pour l'appliA et un autre pour l'appliB et ca reste la même appli...

**eluus** · 02/09/2014, 10h23

Au final, nous allons rester sur une seule et même application (le cahier des charges à évolué).
Mais merci de votre aide, cette lecture me sera utile dans le futur j'imagine.

**pmithrandir** · 02/09/2014, 10h48

Pour le futur, on a ici affaire a un typique cas de mise en place de SSO. (single sign on).*

Il existe plusieurs façon de le mettre en place.

Par kerberos, par CAS / SAML, oauth, NTLM je crois aussi, etc...

En général, tu as une application vers laquelle tu redirige toutes les demandes de connexion. Cette appli te renvoie un cookies qui te garantie que l'auth s'est bien passé.

Avantages de cette solution :
- on écrit moins son mot de passe
- si on parle d'un mot de passe réseau, on ne l'entre pas sur toutes les applications du SSO. On réduit donc les possibilité de récupération du mot de passe depuis l'application. (quand on soumet le formulaire, on fait forcement passé la donnée par le serveur, elle peut donc être capturée) Si on a pas toute confiance dans les développeurs ca peut être bien.
- on sécurisé vraiment 1 serveur, les autres n'étant pas si important.(les audit de sécu sont plus simple)

Si quelqu'un a ce besoin, c'est un peu chiant a mettre en place, mais pas impossible.

Partage de session entre deux applications [2.x]

Symfony PHP

Discussions similaires

Partager

Partager