[Php-avanzado] Mantener una sesión entre dos servidores

[Leonardo Tadei - Pegasus Tech Supply]

Hola Matías,

	hace muchos años que no trabajo en Java como para que mi opinión valga
la pena :-(

	A priori, yo trato de no usar servicios de terceros salvo que pueda
firmar un contrato con ellos: el costo de mantenimiento a cada cambio
que hagan ellos es altísimo, y los servicios gratis varían seguido.

	Saludos!



El vie, 07-11-2014 a las 19:21 -0300, Mati Prieto escribió:
> Hola! buenas tardes, yo estoy en algo similar (mas o menos)... tengo
> que hacer unos WebService RESTful en Java, y estaba analizando un par
> de opciones: OAuth, OAuth2, OpenID o la autenticación que provee java
> (mediante anotaciones, el archivo web.xml, SecurityContext). Queria
> preguntarte Leo si tenes experiencia en el tema, o sabes que conviene
> mas, y capaz la opinión le sirve a Mario también!
> 
> 
> Muchas gracias! Saludos
> 
> El 7 de noviembre de 2014, 11:46, Leonardo Tadei - Pegasus Tech Supply
> <leonardot en pegasusnet.com.ar> escribió:
>         Hola Mario,
>         
>         El vie, 07-11-2014 a las 10:32 -0300, Mario Gomez Cassou
>         escribió:
>         > Hola gentes
>         >
>         > Preciso que los usuarios logueados en el sitio de la empresa
>         donde
>         > trabajo puedan entrar en forma transparente a una aplicación
>         en mi
>         > sitio
>         
>                 Lo que querés hacer es un ataque XSS (Cross Site
>         Scripting) que los
>         navegadores te van a impedir por todos los medios a su
>         alcance...
>         
>         >  y no quiero que de ninguna manera un servidor tenga acceso
>         al otro.
>         
>                 Si no provees un mecanismo para que un servidor pueda
>         sincronizar los
>         datos de los usuarios, nunca vas a poder validar autónomamente
>         a los
>         usuarios de A en B
>         
>         > Se me ocurrió que al saltar del servidor A al B este genere
>         una sesión
>         > con una variable V, redireccione a A mandándole V y que
>         cuando la
>         > vuelva a recibir de A dé por buena la sesión y corra la
>         aplicación
>         > deseada
>         
>                 Si B acepta cómo usuarios válidos solo a los que
>         tengan una sesión,
>         estás violando los principios de AAA, y en general esto hará
>         muy
>         vulnerable a B.
>         
>         > Tiene que haber algo mas sencillo no?
>         
>                 Podrías usar para la autentificación algún mecanismo
>         externo como
>         OpenID (o en el peor de los casos algún login vía Google o
>         Twitter)
>                 De esta forma los usuarios válidos son independientes
>         de cada
>         aplicación (y dejan de ser tus usuarios, dicho sea de paso).
>         
>         > Saludos
>         
>                 =mente!
>         
>         --
>         Leonardo Tadei
>         leonardot en pegasusnet.com.ar
>         Web: http://leonardo.tadei.com.ar
>         Firma pública:
>         http://www.pegasusnet.com.ar/LeonardoTadei-public.key
>         
>         _______________________________________________
>         Lista de correo: Php-avanzado
>         Mensajes a la lista: Php-avanzado en pato2.fi.mdp.edu.ar
>         Administración Web:
>         http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
>         Desubscripción:
>         php-avanzado-request en pato2.fi.mdp.edu.ar?subject=unsubscribe
> 
> 
> _______________________________________________
> Lista de correo: Php-avanzado
> Mensajes a la lista: Php-avanzado en pato2.fi.mdp.edu.ar
> Administración Web: http://www3.fi.mdp.edu.ar/cgi-bin/mailman/listinfo/php-avanzado
> Desubscripción: php-avanzado-request en pato2.fi.mdp.edu.ar?subject=unsubscribe

-- 
Leonardo Tadei
leonardot en pegasusnet.com.ar
Web: http://leonardo.tadei.com.ar
Firma pública: http://www.pegasusnet.com.ar/LeonardoTadei-public.key