Discussion :

[Tazz54oli]

Bonjour,

J'ai développé un site externe (site B) pour l'équipe d'administration (50 personnes) d'un site A. Je souhaite revoir le fonctionnement de l'authentification puisqu'à l'heure à actuelle j'ai un fichier comprenant le nom d'utilisateur ainsi que le md5 de son mot de passe. Le soucis c'est que je dois gérer l'ajout ou la suppression de compte manuellement. Et comme l'équipe d'administration est amenée à évoluer dans le temps (2 par mois ajout et/ou suppression) c'est un peu redondant à force.

C'est pourquoi je souhaite rendre cela automatique. C'est à dire que lorsque la personne créée un compte, elle donne son identifiant du site A et son mot de passe pour le site B (différent du site A). Suite à cela il reçoit un lien de confirmation (via token par exemple) sur la "messagerie privée" (=> différent d'un email) du site A (j'ai le script pour effectuer cette tache). Et lorsque la personne se rend sur se lien son compte est actif sur le site B. Si en plus l'utilisateur pouvait faire un reset de son mot de passe ça serait cool. (La base de données contenant la table account (id/pwd/permission) du site B est/sera en MySQL.)

Etant assez néophite sur le sujet, je cherche un exemple ou alors quelques conseils pour réaliser cela. Bien entendu après quelques recherches je tombe sur le package node assez connu "passport" mais j'ai du mal à voir comment m'adapter pour envoyer le "message privé" de confirmation à mon site A. En fait réaliser une sorte de passport-local mais avec confirmation. (Après j'ai pu voir une approche sans mot de passe avec le module "passwordless" mais je n'ai pas envie que l'utilisateur redemande son token tous les X fois.)

Merci,

[jeremylevy]

Salut,

Je ne comprends pas, que souhaites-tu faire ?

"C'est à dire que lorsque la personne créée un compte, elle donne son identifiant du site A et son mot de passe pour le site B" (1)

"Suite à cela il reçoit un lien de confirmation (via token par exemple) sur la "messagerie privée" (2)

"Et lorsque la personne se rend sur se lien son compte est actif sur le site B. " (3)

" Si en plus l'utilisateur pouvait faire un reset de son mot de passe ça serait cool. " (4)

++

[Tazz54oli]

A vrai je ne comprends pas ce que tu ne comprends pas, vu que tu as résumé les principaux points.
Mais je vais essayer de développer à nouveau.

En fait je veux être sure que la personne créant un compte sur le site B (en disant j'ai l'id X sur le site A) soit réellement la personne du site A ayant l'id X.
[Avoir les mêmes identifiants site A / site B n'est pas concevable]

Donc lorsqu'une personne se créée un compte sur le site B, il faut que je mette en place un mécanisme (ex : génération d'un lien puis envoi en message privé sur le site A) pour garantir l'identité de la personne.
Et lorsque la personne aura été sur le lien, je saurais qu'il s'agit bien de la personne d'id x et je pourrais créer son compte sur le site B.

Ce que je recherche c'est donc des conseils, tutos, le nom d'un/de module(s) qui pourrai(en)t me faire ça (ou au moins une bonne partie) sans avoir à réinventer la roue.

[xulien]

bonjour,

ton problème n'est pas celui de l'authentification, mais de la validation de compte.

sur le site b, tu laisse le user créer son compte qui ne sera actif qu'a validation du mail.

dans ta base, tu crée un booléen isValide, puis à réception du formulaire d'inscription, tu enregistre les infos en bdd avec isValide false. tu génère un hash quelconque que tu enregistre aussi en bdd, puis tu construit ton url http://monsiteb.fr/validation/{lehash}, puis ton envoi ton mail avec nodemailer (ou pas car tu parle de messagerie interne, mais ce n'est pas trés clair, je suppose donc un serveur smtp local à l'entreprise). à la réception du mail, l'user valide en cliquant sur le lien, et le controlleur "/validation" vérifie que le hash existe en base et correspond à un compte, si oui la isValide est mis à true, et le hash en base est modifié/supprimer.

rien que du très classique...

[jeremylevy]

Avec Node.JS, chaque module effectue une tache simple comme envoyer un e-mail ou générer un token.

A toi ensuite de mixer ces petites briques entre elles pour arriver au résultat souhaité.

Xulien t'a donné la marche à suivre.

++