Buona sera,
vorrei aggiungere maggiore sicurezza ad un sistema di login scritto da zero e pensavo di utilizzare oAuth.
Ho capito per grandi linee cosa fa oAuth e come funziona, ma non ho capito come integrarlo in questo login.
Sapreste darmi qualche dritta o consigliarmi qualche buona guida?
In giro ne ho trovate di poche, superficiali e soprattutto datate.
"To iterate is human, to recurse, divine." (R.(Heller))
cerca le definizioni di oAuth 2.0 di Google (prodotta da lui)
su php.net c'è tutta una libreria a riguardo: http://php.net/manual/en/book.oauth.php
IP-PBX management: http://www.easypbx.it
Old account: 2126 messages
Oldest account: 3559 messages
@goikiu: ho letto su diversi blog che la versione 2.0 sia un "bagno di sangue" come definiva un blogger. Per questo pensavo di usare, per ora, la versione 1.0 che è comunque stabile, ma appunto non trovo documentazioni a riguardo su come applicare oAuth ai propri sistemi
@santino le classi di esempio ci sono anche nelll'svn di googlecode: il mio problema rimane sempre quello di capire come integrare il tutto sul mio sistema di login già esistente.
"To iterate is human, to recurse, divine." (R.(Heller))
nessuna idea?
"To iterate is human, to recurse, divine." (R.(Heller))
ma tu vuoi implementare un oauth server o vuoi fare un oauth consumer e usare un server oauth esterno, tipo google/facebook/yahoo (se supportano tale protocollo) ?
IP-PBX management: http://www.easypbx.it
Old account: 2126 messages
Oldest account: 3559 messages
Allora, cerco di spiegarmi meglio: attualmente ho realizzato un login web per l'accesso ad un area riservata di un sito.
Ora dovrei far interfacciare un'applicazione android affinchè utilizzi il sistema di login per fa autenticare un utente e anche questo funziona.
Il problema è che non è affatto sicuroo poichè chiunque, intercettando la POST che viene inviata, potrebbe fare richieste al server non autorizzate.
Invece, da un primo sguardo, ho visto che oAuth ha delle variabile coon scadenza tipo la timestamp e delle variabili generate sul momento tipo i token. Io vorrei aggiungere oAuth al mio login per dar maggiore sicurezza ai login che vengono fatti attraverso tale applicazione.
"To iterate is human, to recurse, divine." (R.(Heller))
Per risolvere le tue problematiche devi fare in modo che tutti i meccanismi di login e check session avvengano via https, per evitare appunto che qualcuno si metta di mezzo e spii i pacchetti tra client e server. Se ricordi, facebook stesso passo all'https appunto per evitare questi problemi e costrinse tutti i produttori di app per il social network di fare attrettanto. Per il resto, hai solo da usare il protocollo cosi come descritto nelle specifiche. Sinceramente, nel tuo contesto non vedo perche tu non debba conservare il sistema proprietario di login ma passare ad oauth: tale protocollo consente di avere un owner singolo delle informazioni dell'utente, e tramite tocken consentire a programmi terzi di accedere a tali informazioni. Nel tuo caso mi sembra di capire che ci sia solo il tuo applicativo, accedibile anche da smartphone tramite apposita app, ma parliamo sempre dello stesso prodotto e nella tua app gli utenti sempre username e password dovranno mettere per farsi riconoscere dal sistema remoto.
Valuta te
IP-PBX management: http://www.easypbx.it
Old account: 2126 messages
Oldest account: 3559 messages
Permessi di invio
Rispondi quotando