Salut,
Je construit une solution pour les sites qui pourra être ajouté sur d'autres pages web dans le code.
Je me base sur un système de cookie pour que l'utilisateur n'ait pas à se logger à chaque fois qu'il va sur une page avec ma solution.
Les cookies sont crées quand tu te connecte à mon site et je me demandais comment faire pour qu'ils soient utilisés par ceux qui ajoutent ma solution à leur site
Merci par avance
la communauté d'entraide francophone dédiée au PHP
Utiliser les cookies sur plusieurs sites différents
Comment je peux faire alors pour authentifier un utilisateur sur un autre site alors qu'il s'est déjà authentifier sur mon site
Je précise que c'est une clé de chiffrage de 64 lettres en random qui permet l'authentification (autrement dire que pour péter ça il faut y aller)
Merci pour ta réponse @@@@@rthur
Je précise que c'est une clé de chiffrage de 64 lettres en random qui permet l'authentification (autrement dire que pour péter ça il faut y aller)
Merci pour ta réponse @@@@@rthur
Si c'est tes même sites et qu'ils ont une base de données uniques (comme un hébergement mutualisé/multisite avec 1 BDD), tu peux enregistrer l'utilisateur dans une table et voir sur ton autre site si cette colonne est à "on" ou "off".
[EDIT] non je dit des bêtises, il faut quand même le cookie de SESSION (PHPSESSID il me semble) et $_SESSION qui gère tout (ou avec des cookies d'authentification, comme le dit @rthur) pour le reconnaitre sinon tout le monde serait connecté.
[EDIT] non je dit des bêtises, il faut quand même le cookie de SESSION (PHPSESSID il me semble) et $_SESSION qui gère tout (ou avec des cookies d'authentification, comme le dit @rthur) pour le reconnaitre sinon tout le monde serait connecté.
Tu peux passer un token via un paramètre dans l'url en GET, ou préférablement en POST si ton visiteur navigue depuis un de tes sites à un autre.Comment je peux faire alors pour authentifier un utilisateur sur un autre site alors qu'il s'est déjà authentifier sur mon site
Ou alors peut être via un système de redirections de domaine en domaine au moment de l'identification justement pour faire passer ces paramètres...
Quand tout le reste a échoué, lisez le mode d'emploi...
en brute force si on connait le nom du POST, c'est risqué, à part si on a un token de 30 mètresTu peux passer un token via un paramètre dans l'url en GET, ou préférablement en POST si ton visiteur navigue depuis un de tes sites à un autre.
Pas besoin de brute force... dès le moment où le token est envoyé sur le réseau, il peut être intercepté et réutilisé, que ce soit en get ou en post. Et s'il suffit à s'authentifier, même s'il est envoyé chiffré il pourra être réutilisé pour se connecter systématiquement...
Ce que tu veux faire s'appelle de la fédération d'identité. Cela te permet de te connecter une fois auprès d'un serveur d'identité et d'utiliser le token qui est ensuite véhiculé par le navigateur pour reconnaitre l'utilisateur (à la façon de Google ou Facebook). Il y a des protocoles pour cela (oAuth, SAML...) si tu veux jeter un oeil sur le net, mais ça n'est pas simple à mettre en oeuvre.
Ce que tu veux faire s'appelle de la fédération d'identité. Cela te permet de te connecter une fois auprès d'un serveur d'identité et d'utiliser le token qui est ensuite véhiculé par le navigateur pour reconnaitre l'utilisateur (à la façon de Google ou Facebook). Il y a des protocoles pour cela (oAuth, SAML...) si tu veux jeter un oeil sur le net, mais ça n'est pas simple à mettre en oeuvre.
Ce n'est pas en améliorant la bougie que l'on a inventé l'ampoule...
Merci pour vos réponses, j'ai trouvé ça je vais essayer https://subinsb.com/set-same-cookie-on- ... t-domains/