Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Dwie aplikacjie, jedna domena, SSO
aldtest
post
Post #1





Grupa: Zarejestrowani
Postów: 7
Pomógł: 0
Dołączył: 25.06.2022

Ostrzeżenie: (0%)
-----

Posiadam dwie aplikacje w obrębie jednej domeny. Zrobiłem SSO tak aby z poziomu jednej aplikacji możliwe było logowanie do drugiej.

W pierwszej aplikacji zrobiłem token, który zawiera również nazwę użytkownika. 
[PHP] pobierz, plaintext 
  1. $token = bin2hex(random_bytes(32)).'&'.$user;
  2. file_put_contents("token.txt",$token);	
[PHP] pobierz, plaintext


W drugiej aplikacji dekoduje token i jeżeli występuje dany użytkownik i występuje plik token.txt to pomijam hasło i wpuszczam do drugiego systemu. Po wylogowaniu z jednego z systemów token jest kasowany. 
[PHP] pobierz, plaintext 
  1. $token_code = preg_replace('/&.*/s','', $token);
  2. $token_user = preg_replace('/.*&/s','', $token);
[PHP] pobierz, plaintext


Niestety zauważyłem pierwszy błąd tzn. jeżeli zaloguje się na innej przeglądarce to wtedy utworzy się token.txt więc inna osoba z innej przeglądarki może wywołać bezpośrednio drugą aplikacje i bez logowania wejdzie bo spełniło wszystkie warunki. Czy ktoś ma jakiś pomysł aby zrobić np. token unikalny, może jakiś unikalny sessions_id bądź cookies.

Trochę utknąłem i nie wiem co dalej (IMG:style_emoticons/default/facepalmxd.gif)

Chyba znalazłem rozwiązanie mojego problemu. Dołożyłem 
[PHP] pobierz, plaintext 
  1. $_COOKIE['token'],
[PHP] pobierz, plaintext
który następnie jest wysyłany za pomocą 
[PHP] pobierz, plaintext 
  1. header("Set-Cookie: CookieToken=$sso_id; Domain=abc.pl; Path=/; Secure;");
[PHP] pobierz, plaintext


Ten post edytował aldtest 27.06.2022, 20:22:18
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
aldtest
post
Post #2





Grupa: Zarejestrowani
Postów: 7
Pomógł: 0
Dołączył: 25.06.2022

Ostrzeżenie: (0%)
-----

Taki warunek również jest zrobiony. W momencie wylogowania z aplikacji A token jest kasowany oraz zmienia się id sesji. W aplikacji B jest ustawiony warunek jeżeli brakuje pliku z tokenem oraz id sesji się zmieni następuje również wylogowanie z aplikacji B. Każdorazowe wywołanie aplikacji B sprawdza czy jest plik z tokenem oraz czy id sessji jest równy $_COOKIE['token'] w innym wypadku jest logout. Tak jak wspomniałem dodatkowo zamknąłem to wszystko w obrębie adresu IP.

Jasne wiem że mogę to zrobić za pomocą oauth natomiast chce się trochę pobawić sesją i cookies dlatego tak kombinuje. Może trochę jak koń pod górę ale chce mieć pewność że to co zrobiłem ma sens i jest bezpieczne albo ma to poważne luki i nie ma co się w dalej bawić.

Ten post edytował aldtest 29.06.2022, 14:35:47
Go to the top of the page
+Quote Post

Posty w temacie
- aldtest   Dwie aplikacjie, jedna domena, SSO   28.06.2022, 12:35:50
- - viking   Czyli zrobiłeś po prostu sesję (session_start właś...   28.06.2022, 12:58:57
- - aldtest   Zrobiłem tak aby nikt nie mógł wprowadzić id sesji...   28.06.2022, 14:42:05
- - gino   Nie do końca tak. Każde wywołanie aplikacji podrzę...   29.06.2022, 06:39:39
- - aldtest   Taki warunek również jest zrobiony. W momencie wyl...   29.06.2022, 14:28:30
- - gino   Tego nie robi się na plikach tekstowych z tokenem,...   30.06.2022, 06:56:03
- - aldtest   Dzięki za wszystkie sugestie. Wycofałem się z gene...   30.06.2022, 14:26:54

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 16:26
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn