[Php-avanzado] Mantener una sesión entre dos servidores
Leonardo Tadei - Pegasus Tech Supply
leonardot en pegasusnet.com.ar
Vie Nov 7 11:46:37 ART 2014
Hola Mario,
El vie, 07-11-2014 a las 10:32 -0300, Mario Gomez Cassou escribió:
> Hola gentes
>
> Preciso que los usuarios logueados en el sitio de la empresa donde
> trabajo puedan entrar en forma transparente a una aplicación en mi
> sitio
Lo que querés hacer es un ataque XSS (Cross Site Scripting) que los
navegadores te van a impedir por todos los medios a su alcance...
> y no quiero que de ninguna manera un servidor tenga acceso al otro.
Si no provees un mecanismo para que un servidor pueda sincronizar los
datos de los usuarios, nunca vas a poder validar autónomamente a los
usuarios de A en B
> Se me ocurrió que al saltar del servidor A al B este genere una sesión
> con una variable V, redireccione a A mandándole V y que cuando la
> vuelva a recibir de A dé por buena la sesión y corra la aplicación
> deseada
Si B acepta cómo usuarios válidos solo a los que tengan una sesión,
estás violando los principios de AAA, y en general esto hará muy
vulnerable a B.
> Tiene que haber algo mas sencillo no?
Podrías usar para la autentificación algún mecanismo externo como
OpenID (o en el peor de los casos algún login vía Google o Twitter)
De esta forma los usuarios válidos son independientes de cada
aplicación (y dejan de ser tus usuarios, dicho sea de paso).
> Saludos
=mente!
--
Leonardo Tadei
leonardot en pegasusnet.com.ar
Web: http://leonardo.tadei.com.ar
Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key
Más información sobre la lista de distribución Php-avanzado