Discussion:
Transfer de session
(trop ancien pour répondre)
Thief13
2007-06-18 16:10:34 UTC
Permalink
Bonjour,

Il me semble que ce que je veux faire n'est pas possible, mais au cas
ou, je demande :

Un client à 2 progiciels PHP qui tournent chacun sur deux domaines
distinct, et 2 serveurs distinct. Ce qu'il voudrait, c'est que, une fois
autentifié sur le premier, il puisse passer sur le second sans avoir à
s'autentifier à nouveau

Est-ce possible ?
si oui comment ?

Merci d'avance pour votre aide
Antoine ROUCHET
2007-06-18 18:08:08 UTC
Permalink
Post by Thief13
Bonjour,
Il me semble que ce que je veux faire n'est pas possible, mais au cas
Un client à 2 progiciels PHP qui tournent chacun sur deux domaines
distinct, et 2 serveurs distinct. Ce qu'il voudrait, c'est que, une fois
autentifié sur le premier, il puisse passer sur le second sans avoir à
s'autentifier à nouveau
Est-ce possible ?
si oui comment ?
Merci d'avance pour votre aide
Bonjour,

C'est techniquement possible, mais ça nécéssite un peu de développement.
L'idée étant de stocker l'authentification de l'utilisateur sur chacun des
sites dans une table MySQL (par exemple) accessible par les deux serveurs.
Lorsque l'utilisateur s'authentifie, une ligne est créée dans cette table,
et lorsque l'authentification expire, cette ligne est retirée ou invalidée.
Côté client, un cookie par exemple permet de l'identifier uniquement et de
faire le rapprochement avec cette ligne.

C'est une idée parmis plusieurs, à étudier!

Antoine.
Thief13
2007-06-18 20:54:37 UTC
Permalink
Post by Thief13
Bonjour,
C'est techniquement possible, mais ça nécéssite un peu de développement.
L'idée étant de stocker l'authentification de l'utilisateur sur chacun des
sites dans une table MySQL (par exemple) accessible par les deux serveurs.
Lorsque l'utilisateur s'authentifie, une ligne est créée dans cette table,
et lorsque l'authentification expire, cette ligne est retirée ou invalidée.
Côté client, un cookie par exemple permet de l'identifier uniquement et de
faire le rapprochement avec cette ligne.
C'est une idée parmis plusieurs, à étudier!
Antoine.
Oui, mais niveau sécurité, c'est pas douteux ça ?
De plus, je m'excuse, je n'ais pas donné tout les éléments : nous ne
pouvons pas modifier le premier progiciel... on peut juste rajouter une
couche d'identification qui serait comune aux deux
quelqu'un m'a aussi proposé de faire passer les elements de connection
via une URL dans le lien vers le second logiciel XD. Ca marche super
bien XD mais coté sécurité, c'est plus que douteux...
Antoine ROUCHET
2007-06-19 10:29:45 UTC
Permalink
Post by Thief13
Post by Thief13
Bonjour,
C'est techniquement possible, mais ça nécéssite un peu de développement.
L'idée étant de stocker l'authentification de l'utilisateur sur chacun des
sites dans une table MySQL (par exemple) accessible par les deux serveurs.
Lorsque l'utilisateur s'authentifie, une ligne est créée dans cette table,
et lorsque l'authentification expire, cette ligne est retirée ou invalidée.
Côté client, un cookie par exemple permet de l'identifier uniquement et de
faire le rapprochement avec cette ligne.
C'est une idée parmis plusieurs, à étudier!
Antoine.
Oui, mais niveau sécurité, c'est pas douteux ça ?
De plus, je m'excuse, je n'ais pas donné tout les éléments : nous ne
pouvons pas modifier le premier progiciel... on peut juste rajouter une
couche d'identification qui serait comune aux deux
quelqu'un m'a aussi proposé de faire passer les elements de connection
via une URL dans le lien vers le second logiciel XD. Ca marche super
bien XD mais coté sécurité, c'est plus que douteux...
Ca peut être douteux du point de vue de la sécurité mais on doit pouvoir, en
travaillant bien dessus, réduire les risques. De toute façon, sans passer
par HTTPS, il est difficile d'avoir une sécurité optimale, du moins à ma
connaissance.

Si vous pouvez ajouter une couche d'authentification commune aux deux sites,
vous pouvez implémenter le principe que je vous ai proposé (ou n'importe
quel autre d'ailleurs).

Bon courage en tout cas :-)
Antoine.

FiLH
2007-06-18 20:54:37 UTC
Permalink
Post by Thief13
Bonjour,
Il me semble que ce que je veux faire n'est pas possible, mais au cas
Un client à 2 progiciels PHP qui tournent chacun sur deux domaines
distinct, et 2 serveurs distinct. Ce qu'il voudrait, c'est que, une fois
autentifié sur le premier, il puisse passer sur le second sans avoir à
s'autentifier à nouveau
Est-ce possible ?
si oui comment ?
Voir avec CAS qui est fait pour ça...
http://www.ja-sig.org/products/cas/

FiLH
--
Le fondement du constat bourgeois, c'est le bon sens, c'est-à-dire
une vérité qui s'arrête sur l'ordre arbitraire de celui qui la parle.
Roland Barthes.
http://www.filh.org
Denis Beauregard
2007-06-18 20:54:37 UTC
Permalink
Post by Thief13
Bonjour,
Il me semble que ce que je veux faire n'est pas possible, mais au cas
Un client à 2 progiciels PHP qui tournent chacun sur deux domaines
distinct, et 2 serveurs distinct. Ce qu'il voudrait, c'est que, une fois
autentifié sur le premier, il puisse passer sur le second sans avoir à
s'autentifier à nouveau
Est-ce possible ?
si oui comment ?
Merci d'avance pour votre aide
Une autre méthode pour communiquer entre les deux serveurs est avec
une image contenant une identification, par exemple:
serveur2.com/images/pix.gif?1235671354139254139

1235671354139254139 pourrait contenir tous les infos de session.
Moi j'y placerais aussi une chaîne aléatoire qui change chaque
jour (les deux serveurs connaissant les chaînes selon la journée),
ceci pour déjouer toute tentative de vol de session.


Denis
Continuer la lecture sur narkive:
Loading...