Доброго времени суток уважаемые форумчане.
Назрела тут у меня необходимость сделать на одном из сайтов возможность удаленной авторизации..
Объяснять особо не нужно, я думаю, но в кратце все таки мысль изложу.
Есть сайт, на нем специальное, назовем так API, которое и будет работать как сервер авторизации. Есть другой сайт, на нем каким либо, неважно, образом сделан скрипт авторизации который обращается к API первого сайта, и в ответ получает массив с данными о пользователе или данные об ошибке (в каком виде без разницы, это я потом для себя сам решу).
Так вот в чем заключается мой вопрос. На сколько я знаю, организовать подключение к API логично через CURL.. хотя может и не логично и даже совсем не правильно, этот вопрос тоже хотел бы освятить.. Ну предположим что подключаемся мы все таки CURL'ом... Окей, все хорошо... И теперь самый главный вопрос, какие вы можете предложить методы защиты от того, что бы к этому API не могли подключаться сайты которым это не разрешено...
Да, я забыл упомянуть в начале, что доступ должен быть только у опр. сайтов, но в конце я это упомянул, думаю понятно.
Говорю сразу, код я пока не писал тк это всё еще на стадии проектирования, поэтому к коду не приступал и выложить нечего.. Мне нужны лишь идеи, ну и если добрые люди что то кодом опишут буду только благодарен..
Спасибо..
Полная Версия: Удаленная авторизация
Для того, чтобы нельзя было подключаться к API с левых источников платежки передают специальный ключ:
$_GET['key'] = 'qwerty'; или что-то в этом роде. Ты проверяешь его наличие и выполняешь работу, если совпало.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
$_GET['key'] = 'qwerty'; или что-то в этом роде. Ты проверяешь его наличие и выполняешь работу, если совпало.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата (inpost @ 30.07.2012 - 11:15) |
| Для того, чтобы нельзя было подключаться к API с левых источников платежки передают специальный ключ: $_GET['key'] = 'qwerty'; или что-то в этом роде. Ты проверяешь его наличие и выполняешь работу, если совпало. |
Думал о таком..
А как Вам идея с передачей не GET'a с ключом.. А например специального юзерагента?
Вот с точки зрения проф взгляда на решение, как оно?
да без разницы, если юзер-агент будет нечто вроде: "Петрович", то тоже никто не угадает и никогда не подберёт 
А ещё лучше связать их с двух сторон, то есть для одного сайта один юзер-агент, для другого - другой.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
А ещё лучше связать их с двух сторон, то есть для одного сайта один юзер-агент, для другого - другой.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата (inpost @ 30.07.2012 - 11:19) |
| да без разницы, если юзер-агент будет нечто вроде: "Петрович", то тоже никто не угадает и никогда не подберёт А ещё лучше связать их с двух сторон, то есть для одного сайта один юзер-агент, для другого - другой. |
Ну не "Петрович" конечно, но и не 123 =)
Хорошо, спасибо.. Все оказалось как и думал, но может кто то что то иное предложит, посмотрю еще..
DarkLynx
Дополнительно ещё проверку по IP делай, будет же IP сайта.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
Дополнительно ещё проверку по IP делай, будет же IP сайта.
_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
| Цитата |
| А ещё лучше связать их с двух сторон, то есть для одного сайта один юзер-агент, для другого - другой. |
Если я правильно Вас понял, то для каждого сайта которому будет доступна авторизация, свой юзер-агент.. Если так, то да это и подразумевалось, оно же и будет служить идентификатором сайта который подключается, что бы в случае частых обращений блокировать доступ.
Друзья!
Мне эта тема тоже актуальна, но я не знаю как именно это реализовать.
Принцип такой же хочу, как описал DarkLynx
Отличие в том, что я хочу авторизацию через jQuery (плагин наверное), потому что после авторизации буду запускать js с теми данными, которые вернутся после авторизации
Готов оплатить подобный ответ или мастер класс по этой теме (skype в инфе указал)
Мне эта тема тоже актуальна, но я не знаю как именно это реализовать.
Принцип такой же хочу, как описал DarkLynx
Отличие в том, что я хочу авторизацию через jQuery (плагин наверное), потому что после авторизации буду запускать js с теми данными, которые вернутся после авторизации
Готов оплатить подобный ответ или мастер класс по этой теме (skype в инфе указал)
Здесь расположена полная версия этой страницы.