Bonsoir,
En ce moment je participe à un projet étudiant qui consiste à créer plusieurs sites en php et un autre qui sera un site de service en php aussi. Et du coup nous avons pensé faire une sorte de CAS (Central Authentication Service) pour permettre à l'utilisateur de se connecter une fois et d'accéder au site de service sans avoir à se reconnecter.
Nous avons décidé de développer nous-même le CAS et c'est là que les problèmes commencent :p
De plus il est possible que des sites externes se rajoute par la suite...
J'ai lu la doc et j'ai vu qu'en général les CAS utilisent des cookies en définissant des sous-domaines pour y accéder de n'importe où.
Mais nous on aimerait une solution qui ne se base pas sur les sous-domaines, car au final les sites risquent d'être héberger sur des serveurs différents et aussi des domaines différents.
On avait imaginé pouvoir par l'intermédiaire de requête HTTP créer depuis un site X l'envoyer vers le Serveur du CAS et vérifier si le login est bon. Si tout est ok il crée un cookie sur le serveur du CAS et return une réponse au serveur X qui crée à son tour un cookie. Et là où on est pas sur que ça va fonctionner, c'est si l'utilisateur va sur le site Y on voudrait vérifier sur le serveur de CAS s'il est connecter ou pas et dans le cas ou il ne l'est pas on lui demande de se connecter.
J'ai regardé pour faire des requêtes HTTP dans le code et j'ai vu que je pouvais utiliser CURL mais après quelque test j'ai l'impression qu'après chaque appel il ne garde pas le cookie ...
Mes questions :
-Y a-t-il d'autre façon de faire ça ?
-Est-ce que niveau sécurité ça tient la route ?
J'avoue qu'en général je fais des projets plus basiques et je n'ai jamais dû faire ce genre de choses donc mes connaissances sont limitées...
N'hésiter pas à me poser des questions pour avoir des précisions
D'avance merci.
Partager