Ho diversi domini che puntano tutti allo stesso spazio e allo stesso database, ho il problema che l'utente, se cambia dominio, deve essere già loggato senza dover rieffettuare ogni volta il login.
Idee?
Ho diversi domini che puntano tutti allo stesso spazio e allo stesso database, ho il problema che l'utente, se cambia dominio, deve essere già loggato senza dover rieffettuare ogni volta il login.
Idee?
All'atto del login su un dominio, esegui vari redirect passando dei token di sicureza (one time pad) a vari script nei sottodomini in modo da settare i relativi cookie / sessioni di autenticazione.
diamine, non ci avevo proprio pensato! grazie!Originariamente inviato da filippo.toso
All'atto del login su un dominio, esegui vari redirect passando dei token di sicureza (one time pad) a vari script nei sottodomini in modo da settare i relativi cookie / sessioni di autenticazione.
e se i domini iniziassero ad essere tanti? soluzione alternativa?
riprendo la discussione...ci sono soluzioni nel caso i domini diventano molti?
up
nessuno? possibile che nessuno abbia risolto un problema simile?
Non vedo il problema, se parliamo di sottodomini. Puoi settare il cookie per il dominio .pippo.it e sara' valido per tutti i sottodomini.
e chi ha mai parlato di sotto domini?
beh, nel caso i domini fossero tanti e/o su macchine separate un'alternativa potrebbe essere quella di mettere su un webservice che gestisca le autenticazioni oltre ad una serie di pagine che effettuino l'autenticazione
In questo modo:
- L'utente accede al sito
- Il sito, vede che l'utente non ha un cookie per una sessione, quindi, tramite webservice, richiede una nuova sessione (cosi il server dell'autenticazione fa il suo lavoro) ed il sito infine in posta il cookie
- l'utente accede ad un'area riservata
- il sito verifica se la sessione è autenticata o meno e se no lo reindirizza ad una pagina di login sul server dell'autenticazione inviandogli anche la pagina di ritorno (praticamente la pagina richiesta)
- il server dell'autenticazione fa il suo lavoro e rimanda indietro l'utente alla pagina di ritorno
- a questo punto il sito riverifica che la sessione dell'utente sia valida e che quindi l'utente sia loggato e lo fa andare avanti
A questi webservice devi aggiungerne altri per la gestione del profilo condiviso dell'utente (per leggere e scrivere le informazioni), ovviamente poi conviene che il sito ne abbia una copia in locale sul database con le sue informazioni aggiuntive (specifiche di quel sito).
A questo punto è utile un webservice "inverso", ovvero il server di autenticazione contatta i vari siti per avvisarli di aggiornare le informazioni sull'utente perché sono cambiate cosi che quando arriva questa richiesta possano aggiornare le informazioni sull'utente. Se poi, proprio, vuoi farla pulita puoi anche fare dei webservice "inversi" per gestire il logout o l'eventuale cancellazione della sessione cosi che ogni sito si possa "clonare" le informazioni in locale ed aggiornarle quando si verificano specifici eventi cosi da evitare, per ogni accesso, di fare varie richieste via soap/xmlrpc
I vari siti li registri sull'autentication server cosi che quando scattano gli eventi vengono aggiornato
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Permessi di invio
Rispondi quotando