 [Plugin/API] Zdalne logowanie - jak to ugryźć |
  |
| [Plugin/API] Zdalne logowanie - jak to ugryźć |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 362 Pomógł: 44 Dołączył: 10.06.2009 Ostrzeżenie: (0%) 
 |
Witajcie,
Aktualnie tworzę sobie w głowie taki projekt, w którym chcę wykorzystać system zdalnego logowania - w skrócie taki plugin jak logowanie przez facebooka. I szczerze zastanawiam się jak teoretycznie i technicznie byłoby najlepiej to rozwiązać. Najbardziej zależy mi na tym żeby plugin był łatwy w integracji dla ewentualnego webmastera - więc możliwie jak najmniej jego pracy i kodu do wstawienia na stronę. Teraz jestem ciekaw co byście proponowali jako najlepsze i najbezpieczniejsze rozwiązanie? Ja myślałem żeby po `zalogowaniu` zwracać użytkownika do wskazanej strony wraz z doklejonymi parametrami GET w tym hash klucza głównego dla zabezpieczenia danych, ale czy to jest rozwiązanie? |
 |
 
|
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 559 Pomógł: 93 Dołączył: 4.03.2008 Skąd: Olsztyn Ostrzeżenie: (0%)
|
o parametrach get zapomnij, zbyt łatwo podmienić. W takim pluginie potrzebna jest chyba komunikacja bezpośrednia między serwerami, w kontekście wymiany danych o zalogowanym, autoryzacji. User końcowy nie powinien mieć żadnego wpływu na taki proces
|
|
|
|
|
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 362 Pomógł: 44 Dołączył: 10.06.2009 Ostrzeżenie: (0%)
|
I jaką wizję takiej komunikacji byś proponował? Miej na uwadze to że nie może być sytuacji w której parametry post (dane logowania do mojego systemu) przechodzą przez serwer webmastera.
A co do get to nie byłbym aż tak sceptyczny, wydaję mi się że wysyłanie dodatkowo parametru w którym będzie hash wszystkich danych odebranych + klucz prywatny który zna tylko webmaster mogłoby weryfikować sprawę. Czyli:
Webmaster wtedy porównywałby to z otrzymanymi danymi, jeśli klucz i ip requestu by się zgadzały to akceptowałby takie info. Bo szczerze to nie widzę innej opcji w jaki sposób możnaby połączyć sesje na dwóch serwisach. |
|
|
|
|
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)
|
OpenID albo OAuth - w zależności od konkretnych potrzeb. Nie ma sensu wymyślać koła na nowo.
|
|
|
|
|
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 362 Pomógł: 44 Dołączył: 10.06.2009 Ostrzeżenie: (0%)
|
No właśnie chcę stworzyć w pewnym stopniu kopię tych systemów a przynajmniej stworzyć coś prostszego w implementacji.
Ten post edytował Mackos 29.08.2013, 14:16:44 |
|
|
|
|
Post
#6
|
|
|
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)
|
W jakim celu, skoro spełniają one wymagania jakie stawiasz?
Ten post edytował Crozin 29.08.2013, 14:07:19 |
|
|
|
|
Post
#7
|
|
|
Grupa: Zarejestrowani Postów: 362 Pomógł: 44 Dołączył: 10.06.2009 Ostrzeżenie: (0%)
|
Przyznam że jeszcze się nie zagłębiłem w dokumentację Oauth, ale czy jest on w pełni otwartym i modyfikowalnym oprogramowaniem?
Jestem w stanie zmieniać jego kod źródłowy wedle własnych potrzeb? |
|
|
|
|
Post
#8
|
|
|
Grupa: Zarejestrowani Postów: 278 Pomógł: 10 Dołączył: 13.02.2007 Skąd: Rybnik Ostrzeżenie: (0%)
|
Ja ze swojego doswiadczenia polecam implementację serwera CAS:
(IMG:http://mattfleming.com/files/images/cas_spring_security_component.png) Jak go dobrze napiszesz, CAS-Client można zrobić jako komponent dla wielu serwisów, reużywalny i w miarę prosty w implementacji. |
|
|
|
|
Post
#9
|
|
|
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)
|
1. OpenID i OAuth to nie oprogramowanie, a specyfikacje.
2. Tak, możesz pełną kontrolę nad kodem. |
|
|
|
|
Post
#10
|
|
|
Grupa: Zarejestrowani Postów: 362 Pomógł: 44 Dołączył: 10.06.2009 Ostrzeżenie: (0%)
|
Dzięki Crozin! Znalazłem tyle modułów dla OAuth, które są niemal 100% rozwiązaniem dla mojego problemu.
Dzięki też wszystkim którzy dorzucili swoje 3 grosze do tej dyskusji. |
|
|
|
|
|
Aktualny czas: 22.08.2025 - 12:01 |
