Witam

Mam przed sobą zadanie polegające na zbudowaniu modułu autentykacyjnego, który ma przekazywać do zupełnie innej usług (inna firma, inny serwer itp) informację o tym, że należy zalogować któregoś użytkownika.

Autentykacja musi odbywać się przez WWW, odrębna usługa innej firmy też jest na WWW.

Dane użytkowników mam w swojej bazie sql, na swoim serwerze zrobiłem też formularz logowania w PHP. Na samym końcu, jeżeli użytkownik prawidłowo podał login i hasło, to zostaje wygenerowany unikalny token na podstawie którego ten użytkownik ma zostać wpuszczony do tej drugiej usługi w innej aplikacji.

Problem mam taki - w jaki sposób przesłać ten token, aby nie było to jawne dla użytkownika, ani również nikt nie mógł przy nim manipulować (dlatego $GET odpada)

Czy aby przypadkiem nie próbujesz wymyślić OpenID bądź OAuth na nowo?

@Crozin




Trudno będzie-gdyż tablice $_post jak i $_get można z łatwością podejrzeć. Nie wiem, może autoryzacja oparta o zewntrzne serwisy, lub kombinowanie z htaccess(url rewriting).

Z taką samą łatwością jak i dowolne inne dane przesyłane siecią. Ale po to wymyślono takie coś jak SSL by szyfrować połączenie.

Crozin i tu racja -szyfrowane cookies w c# (czyt. forms authentyfications) nie zadziała bez ssl, ale to poza tematem.
SSL na pewno się przyda, a jak ma być super bezpiecznie to moża by się jeszcze pobawić z Ipsec , niektóre routery fizycznie to wspomagają.

PS.Szyfruj,hashuj, maskuj, kombinuj --tylko się nie pogub-eh, może coś z tego wyjdzie.

Dzięki za odpowiedzi. A co myślicie o wykorzystaniu SOAP? Druga strona go obsługuje.