Envoyé par : demanghonj
Date : 16/10/2006 01:23
Bonjour,
Je créer une application ayant une identification. Pour cela je possède une base de données MySQL sur un serveur php. Quand l'utilisateur se connecte je verifie son existance et son mot de passe (pas de problème pour ça). Suite à cette verification je créer une session php. Ma question est la suivante:
Si l'utilisateur n'utilise pas le programme plus de 30 minutes (expiration d'une session inactive) la session php sera supprimer. Cela me pose problème. Je pensait à une solution et je voulais connaitre votre avis: Je créer un fichier .dtd une fois l'identification faite dans le chrome qui contient les informations de l'utilisateur (login, mot de passe, droits,...). Puis à chaque interrogation au serveur j'envoi le nom et le mot de passe de l'utilisateur. Du côté serveur il verfie si une session est ouverte sinon il a créer (après un contrôle des données utilisateur bien sur). Cependant je trouve que dans ce cas ma session php ne sert plus à rien. De plus je ne sait pas comment faire pour récupérer une valeur d'un attribut d'un fichiet dtd à partir de javascript.
existe une meilleure solution?
Envoyé par : syl
Date : 16/10/2006 10:02
Je crois pas qu'il faille faire si compliqué. En plus, il me semble que les DTD ne servent pas à ça. Dans le cas de l'appli que je suis en train de developper, mon algorithme d'identification est le suivant :
Etape préalable à toute utilisation de l'application : IDENTIFICATION
Coté client :
Coté serveur :
Une fois ses variables positionnées, toutes les requetes suivantes reçue par le serveur contiennent un test sur la variable session et l'adresse IP du client. Si celles-ci ne sont pas conforme ou si l'IDENTIFICATION n'a pas été réalisée, on renvoie une demande d'identification au client sinon on réalise la requete en prenant le login et le pwd dans les variables de session coté serveur.
Je ne suis pas un spécialiste de la sécurité mais, ça evite d'envoyer le login/pwd à chaque fois. Et le controle d'adresse IP sécurise un peu plus l'ensemble. Pour moi, ce niveau de sécurité est suffisant, car mon appli est plutot destiné à etre utilisé en Intranet et mes clients sont enregistrés dans le chrome
Syl
Envoyé par : laurentj
Date : 16/10/2006 18:22
oui, c'est plutôt horrible niveau sécurité, d'envoyer à chaque fois le login/passwd
Il n'est plus possible de poster des messages dans ce forum.
Copyright © 2003-2013 association xulfr, 2013-2016 Laurent Jouanneau - Informations légales.
Mozilla® est une marque déposée de la fondation Mozilla.
Mozilla.org™, Firefox™, Thunderbird™, Mozilla Suite™ et XUL™
sont des marques de la fondation Mozilla.