par
Calimero » 19 sept. 2007, 11:36
humm ok ok mais par exemple, une personne est inscrite sur une site pour acceder au telechargement de quelque chose sur se site. Lorsqu'elle clic dessus elle accede donc a son contenu, mais moi si je clic dessus je dois me loguer. Comment cela se fait-il?
le lien a cet forme: Issue.cfm?issue=070919.982466.47943&user=son_nom
Si son nom et son passe est envoyé en parametre, alors je devrai pouvoir être loguer avec son nom et passe mais non ...
Explication?
Déjà, si le lien est envoyé dans un email, on part du principe que l'utilisateur n'est pas identifié au site, puisque le lien va ouvrir un nouveau navigateur. Lorsque le lien est cliqué, il faut donc l'identifier de manière systématique (une fois que le code du lien est validé bien évidemment). Passer le login et le mot de passe dans le lien est tout à fait faisable mais la plupart du temps ce n'est pas judicieux... Déjà car le mot de passe n'est pas impératif (puisque ce lien a été envoyé par email à une adresse email associée à un utilisateur précis). Ensuite, le login lui-même est certainement retrouvé par le site uniquement à l'aide du code. La table contenant ces codes uniques contient une clé étrangère qui permet de retrouver quel code appartient à quel utilisateur, et inversement. Le code se suffit donc à lui-même dans ce cas.
Il ne reste qu'à ajouter une sécurité dans le temps (validité du lien limité à 24h, une semaine, un mois... n'importe quelle valeur arbitraire que tu juges suffisante) ou dans le nombre d'utilisations possibles du lien (1 fois maximum par exemple) pour rendre le système assez sûr
[quote="Monnier"]humm ok ok mais par exemple, une personne est inscrite sur une site pour acceder au telechargement de quelque chose sur se site. Lorsqu'elle clic dessus elle accede donc a son contenu, mais moi si je clic dessus je dois me loguer. Comment cela se fait-il?
le lien a cet forme: Issue.cfm?issue=070919.982466.47943&user=son_nom
Si son nom et son passe est envoyé en parametre, alors je devrai pouvoir être loguer avec son nom et passe mais non ...
Explication? :shock:[/quote]
Déjà, si le lien est envoyé dans un email, on part du principe que l'utilisateur n'est pas identifié au site, puisque le lien va ouvrir un nouveau navigateur. Lorsque le lien est cliqué, il faut donc l'identifier de manière systématique (une fois que le code du lien est validé bien évidemment). Passer le login et le mot de passe dans le lien est tout à fait faisable mais la plupart du temps ce n'est pas judicieux... Déjà car le mot de passe n'est pas impératif (puisque ce lien a été envoyé par email à une adresse email associée à un utilisateur précis). Ensuite, le login lui-même est certainement retrouvé par le site uniquement à l'aide du code. La table contenant ces codes uniques contient une clé étrangère qui permet de retrouver quel code appartient à quel utilisateur, et inversement. Le code se suffit donc à lui-même dans ce cas.
Il ne reste qu'à ajouter une sécurité dans le temps (validité du lien limité à 24h, une semaine, un mois... n'importe quelle valeur arbitraire que tu juges suffisante) ou dans le nombre d'utilisations possibles du lien (1 fois maximum par exemple) pour rendre le système assez sûr :-)
