Discussion :

[mistercactus]

Salut les devs !

Je viens de finir le développement de ma première appli Web grâce à un framework pour Delphi (pas du web natif, donc pas très jojo mais ça fonctionne ). Je rencontre un problème très simple que je n'arrive point à résoudre : j'aimerais que les utilisateurs puissent enregistrer leur user/password dans le navigateur.

Voici mon code :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<span id="TFo_login_scr_Panel10" zindex="0" class="none" style="top: 0px; left: 30px; width: 174px; height: 167px; position: absolute; overflow: hidden; white-space: nowrap; padding: 0px; box-sizing: border-box; display: inline-block;">
  <div>
    <div id="TFo_login_scr_Label11" zindex="1" class="form-control my-label" style="top: 0px; left: 0px; position: absolute; overflow: hidden; display: table;">
      <label style="vertical-align: top; display: table-cell; text-overflow: clip; white-space: nowrap;">Utilisateur</label>
    </div>
    <div id="TFo_login_scr_Label12" zindex="1" class="form-control my-label" style="top: 81px; left: 0px; position: absolute; overflow: hidden; display: table; width: 174px; height: 38px;">
      <label style="vertical-align: top; display: table-cell; text-overflow: clip; white-space: nowrap;">Mot de passe</label>
    </div>
    <input type="PASSWORD" id="TFo_login_scr_Edit13" zindex="0" class="form-control" tabindex="3" style="text-transform: initial; top: 122px; left: 0px; width: 174px; height: 30px; position: absolute; box-sizing: border-box;" role="textbox" maxlength="20" name="password">
    <input type="TEXT" id="TFo_login_scr_Edit14" zindex="0" class="form-control" tabindex="2" style="text-transform: initial; top: 41px; left: 0px; width: 174px; height: 30px; position: absolute; box-sizing: border-box;" role="textbox" maxlength="3" name="login">
  </div>
</span>

Que dois-je faire ?

[paoli121]

Pourquoi tu veux enregistrer les identifiants du client sur son ordinateur?

[mistercactus]

Bonjour paoli121, merci pour ta réponse.

Simplement car les utilisateurs ont demandé cette possibilité (elle est très courante d'ailleurs, même ici sur Developpez.net) afin de leur simplifier l'accès (ils doivent accéder à l'application tous les jours).

[paoli121]

Tu n'as pas besoin d'enregistrer les identifiants de l'utilisateur sur son navigateur avant de faire cette action. Le mieux est d'ajouter un cookie de connexion contenant un code (que tu aurai généré avec ton script ) qui permettra de connecter l'utilisateur automatiquement, si l'utilisateur coche "se souvenir de moi" avant de se connecter. Pour le faire :

1- Lorsque l'utilisateur se connecte, tu lui créé un code unique de connexion et tu l'enregistre dans un cookie (navigateur utilisateur) et tu associe à son compte dans ta base des do
2- Lorsqu'il va revenir une proche fois, tu vérifie si le cookie de connexion automatique existe.
3- Si 2-) est ok, tu recherche le compte associer au code du cookie.
4- Si le code du cookie correspond à un compte, tu connecte automatique ce compte. Dans le cas contrait tu supprime le cookie et tu demande l'utilisateur de se reconnecter.

[mistercactus]

Merci pour cette réponse détaillée. Il se trouve que j'ai déjà un système similaire pour gérer les connexions, qui fonctionne de la manière suivante :
L'utilisateur se connecte. S'il est authentifié, il reçoit en retour un code unique, lui permettant de s'authentifier pour ses prochaines interactions avec le serveur. Actuellement, ce code unique est détruit après 15mn d'inactivité, pour l'empêcher de rester connecté tout le temps (j'ai fait cela en voulant sécuriser l'application).

Selon ce que tu as expliqué, je pourrais donc directement utiliser ce code unique, le stocker dans un cookie, et désactiver sa suppression automatique. Ceci ferait en sorte que l'utilisateur soit toujours connecté, sans pour autant stocker son utilisateur/mot de passe quelque part.

Maintenant, j'aimerais être sûr que ceci est sécurisé. Si une personne mal intentionnée parvient à récupérer le code unique (ce qui n'est apparemment pas difficile selon mes recherches, les cookies ne sont pas vraiment réputés pour leur sécurité), il pourrait accéder à l'application et tout casser .

Ce que je dis est exact ? Si oui, comment puis-je sécuriser ce système tout en le rendant plus simple d'utilisation ?

[paoli121]

Il existe plusieurs manière pour sécuriser l'auto connexion. soit :

1 - lors de la première connexion, tu enregistre son ip et d'autres informations qui se trouvent dans $_SERVER avec le code unique de reconnexion. Après lors de la connexion automatique tu vérifie si les informations de $_SERVEUR et l'IP ainsi que le code unique correspondent aux ceux de la première connexion.

2- Ma deuxième proposition, consiste à demander l'utilisateur de confirmer son mot de passe après avoir identifier son compte avec le code unique qui se trouve dans le cookie.