Межсайтовая авторизация - Веб-программирование

andrei solovjev · 25.07.2006, 22:08

Сабж. Как сделать? Есть несколько мыслей.
1. Редирект по всем сайтам, при авторизации на одном.
2. Использовать JAVASCRIPT, т.к. выполняется в браузере, то по идее должен иметь доступ ко всем кукам. Но в нем я не особо.
3. AJAX. Возможно изврат, но при авторизации на одном сайте, обращаться к другому, на котором заводить куку. При заходе в любой другой сайт, обращаться к тому и проверять на наличие куки.

RaZEr · 25.07.2006, 22:13

include 'http://primarysite.ru/auth.php';
if (believe_in_me($login,$pass))
{
...
}

Псих · 26.07.2006, 00:00

если сайты лежат на одном сервере, можно юзать сессии.
Если нет, общие функции авторизации и общую табличку юзеров как написал Razer

andrei solovjev · 26.07.2006, 22:25

В моем случае все не так страшно, т.к. все сайты на одном сервере. К счастью, проверено доступ к сесси по SID работает при переходе на другой сайт. Думаю сделать при авторизации на одном из сайтов - переадресация на другой (если не передался SID), где генерировать SID и куку. При пререходе на другие сайты - переадресация на тот сайт, где все заводил, получать из куки ID сессии, возвращать его назад. Итого 0 или два редиректа. Плохо по скорости и могут быть проблемы с файерволами.

Хотелось бы более универсального решения, если сайты не на одном сервере. Куки с одного сайта недоступны на другом. А SID не всегда подходит, например если посетитель вручную вводит адрес.

Псих · 27.07.2006, 01:43

Простите, немного не понял... при переходе между сайтами сессия не сохраняется?

andrei solovjev · 27.07.2006, 08:59

Сессия сохраняется, не сохраняется механизм передачи идентификатора через куки (проверено), только через URL, что не подходит, поскольку посетитель может ввести название сайта руками, и тогда ему придется заново авторизовываться.

Псих · 27.07.2006, 09:32

Смотри
при логине делаешь:

PHP код:


			
session_start();

$qr = mysql_query("select id from users where name = '".mysql_real_escape_string($_POST["name"], $db)."' and password = '".md5($_POST[""password])."'", $db);

if ($qr && mysql_num_rows($qr) == 1){

     $user = mysql_fetch_assoc($qr);

     mysql_free_result($qr);

     $_SESSION["user_id"] = $user["id"];

}

А потом на сайте уже вынимаешь данные юзера по id

PHP код:


			
$qr = mysql_query("select * from users where id = ".$_SESSION["user_id"]);

Такая схема не работает?

andrei solovjev · 27.07.2006, 22:10

Как php узнает, что в $_SESSION["user_id"], если не передался ни SID(пользователь ввел адрес руками) ни кука (т.к. это другой сайт)?
Получится такой запрос:
select * from users where id =

Stasik · 28.07.2006, 01:04

а ты проверяй и если что new_session....

Псих · 28.07.2006, 09:36

andrei solovjev
Да ему не надо узнавать. Ты сказал что

Цитата:

Сессия сохраняется

, значи т и елементы массива сессий должны сохранятся. И в параметрах запроса ничего менять не надо

Face · 28.07.2006, 12:11

Псих
andrei solovjev имеет в виду другое: допустим на сайт site1.lan пользователь залогинился, ему выдается некий SID, который сохранился в куках... так вот, как на сайте site2.lan узнать этот SID, чтобы по нему вытащить инфу из сессий?

andrei solovjev
Как вариант, SID можно передать так: на site1.lan делаем невидимый iframe с адресом site2.lan/cookie.php?SID=SID

Псих · 28.07.2006, 16:11

Почему другой. Если сессии от двух сайтов хранятся в одной папке, что происходит если два сайта крутятся на одном сервере, то сессия не должна быть другой!

Face · 28.07.2006, 19:03

Псих, про сервер ты правильно написал, но тут то проблема другая, которая должна решаться на уровне браузера - как передать одному сайту идентификатор сессии другого сайта

Псих · 28.07.2006, 19:12

Сессия, если не записана в кукис указывается единожды в стоке браузера, последующие разы она автоматом подключается из кукисов или с диска

RaZEr · 28.07.2006, 19:46

С какого ещё диска?

Псих · 29.07.2006, 13:45

RaZEr
Ну если сессия хранится на диске.. на серваке.
сессия не передается постоянно в строке. читал я такое где-т .. помоему на пхпклюб.ру

Face · 29.07.2006, 14:22

Псих
id сессии пытается передаться по кукам, если у браузера отключены куки, то ее id передается методом GET

RaZEr · 29.07.2006, 14:31

Цитата:

Ну если сессия хранится на диске.. на серваке.

Она всегда (почти всегда) храниться на диске сервера.

Если нужно авторизоваться на одном сайте, и записанную сессию распостранить на другой сайт того же сервера, то лучше её передавать не в куках (т.к. foreign cookies могут быть заблокированый стенкой), а в строке запроса.

andrei solovjev · 30.07.2006, 23:05

FACE:
>>Как вариант, SID можно передать так: на site1.lan делаем невидимый >>iframe с адресом site2.lan/cookie.php?SID=SID

Походит если сайтов не много, а если их скажем уже 10? Большая нагрузка на браузер и траффик.

Face · 30.07.2006, 23:15

andrei solovjev еще варианты - привязка аккаунта к ip... либо если сайты будут поддоменами основного - ставить cookies на основной домен

25.07.2006, 22:08	# 1
andrei solovjev Newbie Регистрация: 16.06.2005 Сообщения: 38	Межсайтовая авторизация Сабж. Как сделать? Есть несколько мыслей. 1. Редирект по всем сайтам, при авторизации на одном. 2. Использовать JAVASCRIPT, т.к. выполняется в браузере, то по идее должен иметь доступ ко всем кукам. Но в нем я не особо. 3. AJAX. Возможно изврат, но при авторизации на одном сайте, обращаться к другому, на котором заводить куку. При заходе в любой другой сайт, обращаться к тому и проверять на наличие куки.

26.07.2006, 00:00	# 3
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	если сайты лежат на одном сервере, можно юзать сессии. Если нет, общие функции авторизации и общую табличку юзеров как написал Razer __________________ меня не вылечат

27.07.2006, 01:43	# 5
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Простите, немного не понял... при переходе между сайтами сессия не сохраняется? __________________ меня не вылечат

27.07.2006, 09:32	# 7
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Смотри при логине делаешь: PHP код: `session_start(); $qr = mysql_query("select id from users where name = '".mysql_real_escape_string($_POST["name"], $db)."' and password = '".md5($_POST[""password])."'", $db); if ($qr && mysql_num_rows($qr) == 1){ $user = mysql_fetch_assoc($qr); mysql_free_result($qr); $_SESSION["user_id"] = $user["id"]; }` А потом на сайте уже вынимаешь данные юзера по id PHP код: `$qr = mysql_query("select * from users where id = ".$_SESSION["user_id"]);` Такая схема не работает? __________________ меня не вылечат

28.07.2006, 01:04	# 9
Stasik Registered User Регистрация: 27.03.2002 Адрес: дома Сообщения: 1 660	а ты проверяй и если что new_session.... __________________ Всё будет хорошо!

25.07.2006, 22:13	# 2
RaZEr МОД-Оператор ЭВМ Регистрация: 18.04.2002 Адрес: Питер Сообщения: 4 343	include 'http://primarysite.ru/auth.php'; if (believe_in_me($login,$pass)) { ... }

26.07.2006, 22:25	# 4
andrei solovjev Newbie Регистрация: 16.06.2005 Сообщения: 38	В моем случае все не так страшно, т.к. все сайты на одном сервере. К счастью, проверено доступ к сесси по SID работает при переходе на другой сайт. Думаю сделать при авторизации на одном из сайтов - переадресация на другой (если не передался SID), где генерировать SID и куку. При пререходе на другие сайты - переадресация на тот сайт, где все заводил, получать из куки ID сессии, возвращать его назад. Итого 0 или два редиректа. Плохо по скорости и могут быть проблемы с файерволами. Хотелось бы более универсального решения, если сайты не на одном сервере. Куки с одного сайта недоступны на другом. А SID не всегда подходит, например если посетитель вручную вводит адрес.

27.07.2006, 08:59	# 6
andrei solovjev Newbie Регистрация: 16.06.2005 Сообщения: 38	Сессия сохраняется, не сохраняется механизм передачи идентификатора через куки (проверено), только через URL, что не подходит, поскольку посетитель может ввести название сайта руками, и тогда ему придется заново авторизовываться.

27.07.2006, 22:10	# 8
andrei solovjev Newbie Регистрация: 16.06.2005 Сообщения: 38	Как php узнает, что в $_SESSION["user_id"], если не передался ни SID(пользователь ввел адрес руками) ни кука (т.к. это другой сайт)? Получится такой запрос: select * from users where id =

28.07.2006, 12:11	# 11
Face Junior Member Регистрация: 09.08.2005 Адрес: Свердловская область Сообщения: 112	Псих andrei solovjev имеет в виду другое: допустим на сайт site1.lan пользователь залогинился, ему выдается некий SID, который сохранился в куках... так вот, как на сайте site2.lan узнать этот SID, чтобы по нему вытащить инфу из сессий? andrei solovjev Как вариант, SID можно передать так: на site1.lan делаем невидимый iframe с адресом site2.lan/cookie.php?SID=SID Последний раз редактировалось Face; 28.07.2006 в 12:17.

28.07.2006, 16:11	# 12
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Почему другой. Если сессии от двух сайтов хранятся в одной папке, что происходит если два сайта крутятся на одном сервере, то сессия не должна быть другой! __________________ меня не вылечат

28.07.2006, 19:03	# 13
Face Junior Member Регистрация: 09.08.2005 Адрес: Свердловская область Сообщения: 112	Псих, про сервер ты правильно написал, но тут то проблема другая, которая должна решаться на уровне браузера - как передать одному сайту идентификатор сессии другого сайта

28.07.2006, 19:12	# 14
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	Сессия, если не записана в кукис указывается единожды в стоке браузера, последующие разы она автоматом подключается из кукисов или с диска __________________ меня не вылечат

28.07.2006, 19:46	# 15
RaZEr МОД-Оператор ЭВМ Регистрация: 18.04.2002 Адрес: Питер Сообщения: 4 343	С какого ещё диска?

29.07.2006, 13:45	# 16
Псих ::VIP:: Guinness Liker Понаехало тут Регистрация: 26.01.2003 Адрес: В нейроне Пол: Male Сообщения: 2 848	RaZEr Ну если сессия хранится на диске.. на серваке. сессия не передается постоянно в строке. читал я такое где-т .. помоему на пхпклюб.ру __________________ меня не вылечат

29.07.2006, 14:22	# 17
Face Junior Member Регистрация: 09.08.2005 Адрес: Свердловская область Сообщения: 112	Псих id сессии пытается передаться по кукам, если у браузера отключены куки, то ее id передается методом GET

30.07.2006, 23:05	# 19
andrei solovjev Newbie Регистрация: 16.06.2005 Сообщения: 38	FACE: >>Как вариант, SID можно передать так: на site1.lan делаем невидимый >>iframe с адресом site2.lan/cookie.php?SID=SID Походит если сайтов не много, а если их скажем уже 10? Большая нагрузка на браузер и траффик.

30.07.2006, 23:15	# 20
Face Junior Member Регистрация: 09.08.2005 Адрес: Свердловская область Сообщения: 112	andrei solovjev еще варианты - привязка аккаунта к ip... либо если сайты будут поддоменами основного - ставить cookies на основной домен