authentification unifiee sur 2 applications - qu'en pensez-vous ?
4 réponses
gregouille
Bonjour,
Je viens de récupérer le webmastering d'un site qui utilise 2 applications
php distinctes (que je nommerais ici appliA et appliB).
Afin d'unifier l'authentification de l'utilisateur sur les 2 applications,
mon prédécesseur a rajouté un processus de passage d'information de appliA
vers appliB. L'utilisateur s'identifie donc toujours par appliA. En effet,
quand un utilisateur , logué à appliA clique sur un lien pour se rendre sur
appliB:
- un script de appliA modifie le password de la table des users de appliB
par password aléatoire de 25 caractères,
- l'utilisateur est redirigé vers appliB avec les paramètres
d'identification dans l'url en GET (aie , ça ça me perturbe !),
- une fois connecté à appliB, un script de appliB modifie à nouveau le
password (25 caractères aléatoires également).
Le procédé me semble étrange mais mon prédécesseur affirme que c'est le seul
système simple, c'est à dire sans grande modification de code de appliA et
appliB (pour pouvoir profiter des mises à jour des applications originales,
il me semble) , pour assurer une authentification commune.
J'aurais voulu savoir si ce système est à peu près sécurisé, sinon il me
faudra en changer. Qu'en pensez-vous ?
Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer
une authentification unifiée ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
P'tit Marcel
gregouille écrivit:
Je viens de récupérer le webmastering d'un site qui utilise 2 applications php distinctes (que je nommerais ici appliA et appliB). (...)
J'ai pas tout compris mais ama il faudrait éviter le transfert d'info d'authentification par GET. Tu peux par exemple ouvrir temporairement une session pour y stocker IP, user et mot de passe temporaire, et transférer au client l'id de session seulement.
-- P'tit Marcel statistiques sur les forums modérés : http://www.centrale-lyon.org/ng/
gregouille écrivit:
Je viens de récupérer le webmastering d'un site qui utilise 2
applications php distinctes (que je nommerais ici appliA et appliB).
(...)
J'ai pas tout compris mais ama il faudrait éviter le transfert d'info
d'authentification par GET. Tu peux par exemple ouvrir temporairement une
session pour y stocker IP, user et mot de passe temporaire, et transférer
au client l'id de session seulement.
--
P'tit Marcel
statistiques sur les forums modérés : http://www.centrale-lyon.org/ng/
Je viens de récupérer le webmastering d'un site qui utilise 2 applications php distinctes (que je nommerais ici appliA et appliB). (...)
J'ai pas tout compris mais ama il faudrait éviter le transfert d'info d'authentification par GET. Tu peux par exemple ouvrir temporairement une session pour y stocker IP, user et mot de passe temporaire, et transférer au client l'id de session seulement.
-- P'tit Marcel statistiques sur les forums modérés : http://www.centrale-lyon.org/ng/
cyrille
Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer une authentification unifiée ?
pour ma part, je partage les sessions.
du coup, je partage l'autentification en appli Php, Perl, Java ... grâce à un format de session uniforme.
cyrille
Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer
une authentification unifiée ?
pour ma part, je partage les sessions.
du coup, je partage l'autentification en appli Php, Perl, Java ...
grâce à un format de session uniforme.
Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer une authentification unifiée ?
pour ma part, je partage les sessions.
du coup, je partage l'autentification en appli Php, Perl, Java ... grâce à un format de session uniforme.
cyrille
marc.quinton-PAS-DE-
J'aurais voulu savoir si ce système est à peu près sécurisé, sinon il me faudra en changer. Qu'en pensez-vous ? Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer une authentification unifiée ?
il suffit d'avoir :
- une base commune de compte et mots de passes - une bibliothèque commune de gestion des logins.
La gestion du login n'est pas tres complexe. De plus, il y a des classes dans la bibliothèque Pear qui le font assez bien, si tu ne veut pas le refaire.
J'aurais voulu savoir si ce système est à peu près sécurisé, sinon il me
faudra en changer. Qu'en pensez-vous ?
Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer
une authentification unifiée ?
il suffit d'avoir :
- une base commune de compte et mots de passes
- une bibliothèque commune de gestion des logins.
La gestion du login n'est pas tres complexe. De plus, il y a
des classes dans la bibliothèque Pear qui le font assez bien, si tu
ne veut pas le refaire.
J'aurais voulu savoir si ce système est à peu près sécurisé, sinon il me faudra en changer. Qu'en pensez-vous ? Par ailleurs, quelles sont les méthodes généralement utilisées pour assurer une authentification unifiée ?
il suffit d'avoir :
- une base commune de compte et mots de passes - une bibliothèque commune de gestion des logins.
La gestion du login n'est pas tres complexe. De plus, il y a des classes dans la bibliothèque Pear qui le font assez bien, si tu ne veut pas le refaire.
\(¯`·...Rem's ...·´¯\)
Bjr, L'ouverture d'une session initiale aprés authentification indépendante des applis, puis passage d'appli en appli avec la session et ses variables ? Donc authentificatoin indépendante des applications ? Ca ne pourrait pas marcher ?
Bjr,
L'ouverture d'une session initiale aprés authentification indépendante des
applis, puis passage d'appli en appli avec la session et ses variables ?
Donc authentificatoin indépendante des applications ?
Ca ne pourrait pas marcher ?
Bjr, L'ouverture d'une session initiale aprés authentification indépendante des applis, puis passage d'appli en appli avec la session et ses variables ? Donc authentificatoin indépendante des applications ? Ca ne pourrait pas marcher ?
