Dwie aplikacjie, jedna domena, SSO Opcje

[aldtest]

Posiadam dwie aplikacje w obrębie jednej domeny. Zrobiłem SSO tak aby z poziomu jednej aplikacji możliwe było logowanie do drugiej.

W pierwszej aplikacji zrobiłem token, który zawiera również nazwę użytkownika.

[PHP] pobierz, plaintext 
$token = bin2hex(random_bytes(32)).'&'.$user;
file_put_contents("token.txt",$token);	
[PHP] pobierz, plaintext 

W drugiej aplikacji dekoduje token i jeżeli występuje dany użytkownik i występuje plik token.txt to pomijam hasło i wpuszczam do drugiego systemu. Po wylogowaniu z jednego z systemów token jest kasowany.

[PHP] pobierz, plaintext 
$token_code = preg_replace('/&.*/s','', $token);
$token_user = preg_replace('/.*&/s','', $token);
[PHP] pobierz, plaintext 

Niestety zauważyłem pierwszy błąd tzn. jeżeli zaloguje się na innej przeglądarce to wtedy utworzy się token.txt więc inna osoba z innej przeglądarki może wywołać bezpośrednio drugą aplikacje i bez logowania wejdzie bo spełniło wszystkie warunki. Czy ktoś ma jakiś pomysł aby zrobić np. token unikalny, może jakiś unikalny sessions_id bądź cookies.

Trochę utknąłem i nie wiem co dalej

Chyba znalazłem rozwiązanie mojego problemu. Dołożyłem

[PHP] pobierz, plaintext 
$_COOKIE['token'],
[PHP] pobierz, plaintext 

który następnie jest wysyłany za pomocą

[PHP] pobierz, plaintext 
header("Set-Cookie: CookieToken=$sso_id; Domain=abc.pl; Path=/; Secure;");
[PHP] pobierz, plaintext 

Ten post edytował aldtest 27.06.2022, 20:22:18