Discussion :

[lodan]

Bonjour,

Je veux intégré "webcalendar" dans mon intranet.

J'ai un login et password lorsque je rentre dans mon intranet et lorsque je vais depuis mon intranet vers webcalendar, il me redemande un login et un mot de passe.

J'ai fait en sorte que dans mon intranet et dans webcalendar, ce soit le même password.

Je voudrais éviter qu'il me redemande le password lorsque je vais sur webcalendar.

Faut-il que je stock le password quelque part pour le passer en paramètre ? Dangereux non ?

Une autre solution ?

Merci d'avance

[Invité]

Bonjour,

Qu'est-ce que tu utilises comme authentification sur ton intranet?

Dangereux je ne dirais pas comme toi. Tu es sur un intranet et à toi de juger de la valeur des données y circulant. Si tu es derrière un pare-feu et/ou NAT, tu n'as rien à craindre de l'internet.

webrider.

[lodan]

Je vais ouvrir l'intranet vers internet pour que les salariés nomades et uniquement eux puissent se connecter.

L'authentification se fait par login/password en md5

[Invité]

Ok donc j'en déduis que ce n'est pas une authentification http

Si tu travailles avec des sessions, au lieu de transmettre le mot de passe, tu devrais passer l'état de l'utilisateur de page en page (à savoir authentifié ou non).

Dès qu'un utilisateur se connecte avec succès tu écris

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION["connected"] = 1;

A l'arrivée sur webcalendar, tu testes la valeur de $_SESSION["connected"].

Si elle est à 1 -> pas de demande login/mdp
Si elle est à 0 ou non déclarée -> demande d'authentification

Qu'en penses-tu?

webrider

[lodan]

Oui, c'est très simple comme solution.

Je dois donc modifier webcalendar pour qu'il ne demande pas l'authentification si je suis à "1"

Merci

[Invité]

Pas de quoi!

[lodan]

Une question tout à coup, tu constates :

Ok donc j'en déduis que ce n'est pas une authentification http

Est-ce bon ou pas bon de ne pas utiliser cette fonction ?

[Invité]

Disons que l'authentification http basique fait transiter les informations (login/mdp) en clair donc pas de sécurité du tout.

La gestion des comptes est plus difficile, les login/mdp sont dans un fichier texte avec login et mdp crypté... schéma propre au serveur web.

Le login se fait dans un petit pop-up dès l'arrivée sur le site, pas moyen de personnaliser la mise en page.

Comme tu le vois, la manière que tu as retenue est bien plus modulable et sécurisée que l'authentification http.

Bon dimanche,

webrider.