Discussion :

[colin.sauvanet]

Bonjour à tous,

J'ai écumé les forums et FAQ sans trouver de réponse à mon problème :

En stage, je développe un site pour une société, nous avons décidé de développer le site sur deux serveurs (pour diverses raisons...)

Le problème est que cet autre serveur utilise un canal SSL avec identification (une fenêtre nous demande mot de passe et login). Des comptes sont crées sur ce serveur pour mes utilisateurs.

Ce que je cherche à faire c'est une redirection php d'une de mes pages vers la page d'acceuil de ce second serveur, sans faire apparaitre la fenetre de mot de passe (car mon utilisateur ne les connait pas)

J'ai pour le moment une solution qui fonctionne sur firefox, mais qui n'est pas sécurisée ( en gros un header de ce type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
header('Location: https//login:password@sitenumero2.com');

)

Cette soluton n'est pas terrible du tout car non sécurisée et non fonctionelle sur IE, j'essaye pour le moment avec ce script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$args = base64_encode($_POST['login'].':'.$_POST['password']);
header("Authorization: Basic $args");
header("Location: https://sitenumero2.com",false);

Et ça ne fonctionne pas non plus.

J'ai cherché un peu du coté des variables _AUTH_ de http mais ça ne me parle pas beaucoup.

Voilà, quelqu'un aurait-il la solution miracle ?

Merci !

Colin

[colin.sauvanet]

...

Voilà l'avancement des choses, je pense pouvoir y parvenir en passant par les fonctions cURL de php. Voici un début de script, il me resterait à obtenir les certificats et paramètres SSL de l'autre serveur pour configurer correctement la fonction.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
<?php
# [...]
// essayé avec les deux, même message d'erreur :
$args = base64_encode($_POST['login'].':'.$_POST['password']);
// $args = $_POST['login'].':'.$_POST['password'];
# [...]
 
// Création d'une ressource cURL
$ch = curl_init('https://sitenumero2.com');
// Définition de l'URL et autres options appropriées
curl_setopt($ch, CURLOPT_RETURNTRANSFER, false);
curl_setopt($ch, CURLOPT_AUTOREFERER, 'Location:');
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_setopt($ch, CURLOPT_FRESH_CONNECT, true);
curl_setopt($ch, CURLOPT_HTTPAUTH, CURLAUTH_BASIC);
curl_setopt($ch, CURLOPT_USERPWD, $args);
 
// Récupération de l'URL et passage au navigateur
if(curl_exec($ch))
{
	echo 'exécutée';
}
else
{
	echo 'même pas exécutée : ';
	echo curl_error($ch);
	echo '<br /><br />';
	print_r(curl_getinfo($ch));
}
// Fermeture de la ressource cURL et libération des ressources systèmes
curl_close($ch);
 
# [...]
?>

J'obtiens à l'exécution, avec un mdp et login correct :

même pas exécutée : SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Array ( [url] => https://sitenumero2.com [http_code] => 0 [header_size] => 0 [request_size] => 0 [filetime] => -1 [ssl_verify_result] => 0 [redirect_count] => 0 [total_time] => 0 [namelookup_time] => 0 [connect_time] => 0.417 [pretransfer_time] => 0 [size_upload] => 0 [size_download] => 0 [speed_download] => 0 [speed_upload] => 0 [download_content_length] => 0 [upload_content_length] => 0 [starttransfer_time] => 0 [redirect_time] => 0 )

Je pense qu'avec quelques informations en plus sur le SSL (que devrait me fournir le webmaster du 2ème site), je pourrais entrer les paramètres manquants.

Est ce que j'introduis une faille de sécurité si je fais cela ?

A suivre...

[colin.sauvanet]

Non !

J'y suis parvenu, mais avec ça je copie le contenu des pages de mon serveur 2 (sécurisé SSL) vers mon serveur 1, et ce n'est pas ce que je veux !

Est ce possible de lancer depuis le php d'un serveur 1 une connexion sécurisé entre mon client et un serveur 2 ?

Proxys ?
Headers ?

[marcha]

Salut,

Regarde ce post qui pourra peut-être t'aider.

[colin.sauvanet]

Salut,

Merci marcha, mais je ne pourrais pas mettre en place une telle solution, je ne peux pas (pour le moment...) poser de scripts sur le serveur B.

N'est-il pas possible d'envoyer au navigateur du client une page avec un refresh sur l'adresse du deuxième serveur et un script (Javascript ?) spécifiant l'entête-requête à envoyer à ce serveur ?

Je vais voir ça sur les forums Javascript.

Bien entendu pour sécuriser cela je mettrai en place une autre connexion SSL entre mon premier serveur et le client (sans quoi les entêtes voyageront en clair)...

En cas de succès, je vous tiens au courant !

Colin

[marcha]

Salut,

A ma connaissance il n'est pas possible de faire ça avec une authentification
apache sans utiliser cette notation http://user:password@host qui n'est pas
totalement compatible. (Tu pourrais gérer une forme de cryptage coté javascript,
mais pas très safe)

L'autre solution serait de faire un proxy complet sur ton serveur non sécurisé
qui irait chercher les ressources avec Curl sur le serveur sécurisé. Mais ça ne
me semble non plus pas une bonne solution.