|
|
|
Publicité ' | |||||||||||||||||||||||
08/06/2006, 19h30
|
#1 |
|
Invité de passage
 Inscription : juin 2006 Messages : 2  |
[Sécurité] Pb authentification PHP
Bonjour,
je développe une application en PHP pour authentifier les utilisateurs : un centre d'authentification. Le problème est que j'utilise des sites différents : www.truc.fr (pour un site 1) machin.truc.fr (pour un site 2) bidul.truc.fr (pour un site 2) auth.truc.fr (pour le site d'authentification)Mon script vérifie bien dans une base mysql et tt fonctionne correctement depuis le site auth.truc.fr mais comment vérifier l'identité du visiteur depuis les autres sites ? Créer un ID dans un cookie ou une session ne fonctionne pas car les sites sont différents (la session est valable depuis auth.truc.fr et inacessible depuis les autres sites *.truc.fr). Comment puis-je faire ? Avez vous déjà dévellopé ce genre d'application ? Avez -vous des liens ou conseil à me transmettre ? Merci beaucoup. 
|
|
00
|
|
08/06/2006, 19h44
|
#2 |
|
Expert Confirmé
  
Inscription : avril 2003 Messages : 3 286 |
je suppose qu'il faut utiliser un système de jetons d'accès.
Comment je ferais si j'avais à faire ça.... Une fois qu'il est authentifié, je redirige l'utilisateur vers le site en question, en passant une variable par GET ou POST, qui pointe vers une entrée dans la base de données, valable pour une courte durée uniquement. Ainsi, du point de vue du site, on a un client qui arrive avec un pointeur vers des informations dans la base de données. NB c'est sans garantie que ça soit la méthode la plus simple, la plus sûre et la plus efficace !
__________________
Tous mes tutoriels Pas de questions techniques par MP ni par e-mail, merci ! Prolog rules! |
|
|
00
|
|
08/06/2006, 19h56
|
#3 |
|
Invité de passage
Inscription : juin 2006 Messages : 2 |
Ok merci pour ta réponse, cela me semble être effectivement une bonne solution. Peux tu m'expliquer d'avantage le système à jetons ?
Lorsque je suis redirrigé sur un site (machin.truc.fr par ex.) avec un jeton, dois-je utiliser une session pour ce site par la suite pour me souvenir de l'identité de l'utilisateur ? Merci |
|
|
00
|
|
08/06/2006, 20h26
|
#4 | ||
|
Expert Confirmé
Inscription : avril 2003 Messages : 3 286 |
Citation:
Quand un utilisateur veut accéder à une ressource (site web, machine, application...), on lui demande de passer par un serveur d'authentification. Celui-ci vérifie que l'utilisateur a bien le droit de faire ce qu'il veut faire, et si oui il lui donne un jeton (qui peut prendre plusieurs forme, un nombre par exemple). L'utilisateur présente ensuite ce jeton à la ressource pour pouvoir y accéder, et la ressource vérifie l'authenticité du jeton auprès du serveur d'authentification. C'est, en très gros, le principe de fonctionnement d'un protocole comme Kerberos. En encore plus gros, c'est le genre de truc que j'ai essayé de décrire pour ton cas précis. Citation:
Les sessions, c'est bien
__________________
Tous mes tutoriels Pas de questions techniques par MP ni par e-mail, merci ! Prolog rules! |
||
|
|
00
|
|
09/06/2006, 09h28
|
#5 |
|
Membre chevronné
 
 Olivier BonvaletInscription : septembre 2004 Messages : 550  |
Sinon, pour les sessions, tu peux les rendre communes à tous tes sous domaines en modifiant "session.cookie_domain". Dans ton exemple il suffit de lui donner la valeur .truc.fr (ne pas oublier le . au début).
Par contre selon la méthode de stockage des sessions sur le serveur, ça peut ne pas fonctionner (typiquement avec eAccelerator ça ne marchera pas tant que le paramêtre name_space ne sera pas utilisé).
__________________
Google is watching you ! |
|
|
00
|
Copyright © 2000-2012 - www.developpez.com