Diskuse JPW: Přesměrování na stránku jiné aplikace a zároveň přihlášení

	Autor	Zpráva
	Prochy Profil	#1 · Zasláno: 23. 11. 2014, 16:33:37 · Upravil/a: Prochy o 2 minuty později Odpovědět Citovat Zdravim, mám dvě aplikacce, kde se používají stejné uživatelské účty. Já bych potřeboval na jedné aplikaci dát odkaz, který mě přesměruje na druhou aplikaci a zároveň by to daného klienta přihlásilo, aby nemusel se nemusel znova přihlašovat. Je možný to nějak elegantně vyřešit? Samozřejmě si dokážu udělat nějakej funkci, která z paremetru id daného klienta přihlásí, ale to je samozřejmě nezabezpečené. Nejlepší by bylo, kdyby šlo rozpoznat, že to přesměrování přišlo z té mé aplikace. S tímhle nemám zkušenosti, tak se obracím na Vás. Děkuji za odpověď.
	Alphard Profil	#2 · Zasláno: 23. 11. 2014, 21:27:11 · Upravil/a: Alphard o 9 minut později Odpovědět Citovat Když nejde použít sessions (resp. cookies), je třeba řešit to přes identifikátory v url. Předávejte si token, jehož platnost v cílové aplikaci ověříte. Může být skryt do metody post, viz _es, nicméně to bezpečnostní problém neřeší a jen na tom stavět nelze. Předpokládám, že po ověření bude token stejně zneplatněn.
	_es Profil	#3 · Zasláno: 23. 11. 2014, 21:33:44 Odpovědět Citovat Prochy: Namiesto odkazu môžeš dať odosielacie tlačítko formulára s metódou post - identifikátor tak nebude v adrese.
		Časová prodleva: 3 dny
	Prochy Profil	#4 · Zasláno: 26. 11. 2014, 20:28:43 Odpovědět Citovat Děkuji za odpovědi Myslel jsem si, že to bude přes nějaký autorizační token, mohu se zeptat, jak se takový token vytvoří? Snažil jsem se najít něco na googlu, ale celkem bez úspěchu. Počítám, že to bude nějaký vygenerovaný řetězec, který si na druhý ověřím. Mě napadlo vytvořit nějaký náhodný řetězec(např 10 znaků), uložit ho ke klientovi do databáze a na druhé straně kouknout, jestli zaslaný řetězec je v databázi, pokud je, tak to klienta přihlásí a smaže to řetězec, aby se ten token zneplatnil. Ale přijde mi, že tohle je zbytečně složitý s tou databází.
	lionel messi Profil	#5 · Zasláno: 26. 11. 2014, 20:38:18 Odpovědět Citovat Prochy: „mohu se zeptat, jak se takový token vytvoří?“ Náčrt: Cross-Site Request Forgery (druhý podnadpis „Autorizační token“)
	Prochy Profil	#6 · Zasláno: 26. 11. 2014, 21:39:28 Odpovědět Citovat Díky za odkaz, takže to je vlastně, tak jak jsem to říkal.
		Časová prodleva: 9 let

Vaše odpověď

Mohlo by se hodit