Discussion :

[krazao]

Bonjour,


Je cherche une méthode pour générer un formulaire uniquement en php.

en gros, on a le site local, dans lequel un utilisateur est connecté, et le site distant que l'utilisateur veut consulter, sans avoir à se relogger (même login et mot de passe).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<form action="site externe" method="post">
<input type="text" name="login" value="$login" />
<input type="text" name="password" value="$password"/>
<input type="submit" value="envoyer" />
</form>

Sauf que je ne veux surtout pas afficher le login/mot de passe de mes usagers en clair dans la source html...
donc un "génére le form avec un form.submit() en js", non merci...

j'avais trouvé un début de solution avec fsockopen mais malheureusement, cette solution ne fonctionne pas puisque l'autentification sur le serveur distant est gardé, non pas par des variable de session, mais par des variable $_POST qui sont toujours renvoyé (chaque lien est un form[].submit()...)

Merci

[sabotage]

puisque l'autentification sur le serveur distant est gardé, non pas par des variable de session, mais par des variable $_POST

Tu veux dire que sur le serveur distant, l'authentification est ré-envoyé par POST a chaque parcours de lien ?

[krazao]

Tu veux dire que sur le serveur distant, l'authentification est ré-envoyé par POST a chaque parcours de lien ?

Oui!
en fait, une fois loggé, le serveur (selon ce que j'ai compris) te fournis un session ID que tu dois toujours renvoyé par POST. Donc, tu rafraichis et tu es loggé out et non, la source html ne contient pas le login / mot de passe.

[FrankOVD]

Je crois qu'à la base l'identificateur de session et toutes les autres informations se rapportant à cela devraient être conservées dans la variable $_SESSION et non dans $_POST. C'est pour ça qu'elle existe, et ça sert entre autres à éviter d'avoir à faire ce que tu tentes d'éviter de faire.

[krazao]

Je crois qu'à la base l'identificateur de session et toutes les autres informations se rapportant à cela devraient être conservées dans la variable $_SESSION et non dans $_POST. C'est pour ça qu'elle existe, et ça sert entre autres à éviter d'avoir à faire ce que tu tentes d'éviter de faire.

Malheureusement, je n'ai pas de contrôle sur ce system : je dois vivre avec.
Tout ce que je peux modifier, c'est la page appelante...

[alband85]

Malheureusement, je n'ai pas de contrôle sur ce system : je dois vivre avec.
Tout ce que je peux modifier, c'est la page appelante...

Là j'avoue ne pas tout comprendre.
C'est quoi la page appelante ?

[riete]

Peut être que je n'ai rien compris à la question, mais voici ce que je te propose.
Il faut au préalable bien entendu que le login et mot de passe de tes utilisateur ait été stocké dans une session chose qui me semble indispensable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<form action="site externe" method="post">
<input type="hidden" name="login" value="$_SESSION['login']" />
<input type="hidden" name="password" value="$_SESSION['password']"/>
<input type="submit" value="Connection" />
</form>

Le client n'a qu'un click à faire pour ce connecter. Bon s'il regarde le code source, il voit sont login, mais est ce que cela est génant ?

[krazao]

Là j'avoue ne pas tout comprendre.
C'est quoi la page appelante ?

La page qui envoie le formulaire, que je peux modifier comme je veux. (php et html)

Peut être que je n'ai rien compris à la question, mais voici ce que je te propose.
Il faut au préalable bien entendu que le login et mot de passe de tes utilisateur ait été stocké dans une session chose qui me semble indispensable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<form action="site externe" method="post">
<input type="hidden" name="login" value="$_SESSION['login']" />
<input type="hidden" name="password" value="$_SESSION['password']"/>
<input type="submit" value="Connection" />
</form>

Le client n'a qu'un click à faire pour ce connecter. Bon s'il regarde le code source, il voit sont login, mais est ce que cela est génant ?

Oui, c'est génant, car le login et le mot de passe ne doivent pas apparaître nul part.

[riete]

Si rien ne dois apparaître, que tu ne peux pas utiliser fsockopen(). Il te reste quoi ? ou négocier

[aymen85]

je suis pas sure mais tu peut tjr essayer avec fopen et le fameu stream_context_create juste avant la redirection

[riete]

A bien y réfléchir, il me semble que tu pourrais peut être trouver ton bonheur avec le service HTTP de php. Bon j'avoue que c'est assez repoussant, mais je pense que tu dois pouvoir aboutir de cette façon.
Qu'en pense tu ?