Autor Zpráva
Prochy
Profil
Zdravim,

mám dvě aplikacce, kde se používají stejné uživatelské účty. Já bych potřeboval na jedné aplikaci dát odkaz, který mě přesměruje na druhou aplikaci a zároveň by to daného klienta přihlásilo, aby nemusel se nemusel znova přihlašovat. Je možný to nějak elegantně vyřešit? Samozřejmě si dokážu udělat nějakej funkci, která z paremetru id daného klienta přihlásí, ale to je samozřejmě nezabezpečené. Nejlepší by bylo, kdyby šlo rozpoznat, že to přesměrování přišlo z té mé aplikace. S tímhle nemám zkušenosti, tak se obracím na Vás.

Děkuji za odpověď.
Alphard
Profil
Když nejde použít sessions (resp. cookies), je třeba řešit to přes identifikátory v url*. Předávejte si token, jehož platnost v cílové aplikaci ověříte.

*Může být skryt do metody post, viz _es, nicméně to bezpečnostní problém neřeší a jen na tom stavět nelze. Předpokládám, že po ověření bude token stejně zneplatněn.
_es
Profil
Prochy:
Namiesto odkazu môžeš dať odosielacie tlačítko formulára s metódou post - identifikátor tak nebude v adrese.
Prochy
Profil
Děkuji za odpovědi
Myslel jsem si, že to bude přes nějaký autorizační token, mohu se zeptat, jak se takový token vytvoří? Snažil jsem se najít něco na googlu, ale celkem bez úspěchu. Počítám, že to bude nějaký vygenerovaný řetězec, který si na druhý ověřím. Mě napadlo vytvořit nějaký náhodný řetězec(např 10 znaků), uložit ho ke klientovi do databáze a na druhé straně kouknout, jestli zaslaný řetězec je v databázi, pokud je, tak to klienta přihlásí a smaže to řetězec, aby se ten token zneplatnil.

Ale přijde mi, že tohle je zbytečně složitý s tou databází.
lionel messi
Profil
Prochy:
mohu se zeptat, jak se takový token vytvoří?
Náčrt: Cross-Site Request Forgery (druhý podnadpis „Autorizační token“)
Prochy
Profil
Díky za odkaz, takže to je vlastně, tak jak jsem to říkal.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: