Tweet
Hallo, hallo 
...
Ich möchte gerne eine Login-API für meine Seite "x.com" mit der zentralen Userdatenbank erstellen. D.h. das Login des Users soll prinzipiell auf dem Server der Seite "x.com" vorgenommen werden.
Auf der Seite "y.com" hat es ein Login-Formular, wenn man dieses absendet (mit den richtigen Daten natürlich
) stellt ein php-Script auf "y.com" einen Request an die API (per SSL).
Auf dem Server "x.com" wird nun die Anfrage ausgewertet. Nun das/mein Brainstorming: Wie soll das PW von "y.com" nach "x.com" kommen? Durch SSL ist es schon ein wenig geschützt. Natürlich wird nur der sha1()-Hash gesendet. Dieser wird mit dem konstanten Script-Key der Seite "y.com" gesalzen.
Auf dem Server "x.com" wird dann geschaut woher das der Request kommt. Und es wir geprüft ob diese Seite für einen Request zugelassen ist. Zur Seite, ob sie zugelassen ist, oder nicht, ist auch der Script-Key gespeichert.
Es wird nun das PW aus der DB gelesen und mit dem Script-Key gesalzen und mit dem Anfrage-PW verglichen. Stimmt es überein, werden die angeforderten Daten zurückgegeben.
So mein Konzept... was muss ich da beachten und welche besseren, sichereren Varianten gibt es um ein Passwort von Seite A nach Seite B zu bekommen? Über Ideen würde ich mich sehr freuen.
...Ich möchte gerne eine Login-API für meine Seite "x.com" mit der zentralen Userdatenbank erstellen. D.h. das Login des Users soll prinzipiell auf dem Server der Seite "x.com" vorgenommen werden.
Auf der Seite "y.com" hat es ein Login-Formular, wenn man dieses absendet (mit den richtigen Daten natürlich
) stellt ein php-Script auf "y.com" einen Request an die API (per SSL).Auf dem Server "x.com" wird nun die Anfrage ausgewertet. Nun das/mein Brainstorming: Wie soll das PW von "y.com" nach "x.com" kommen? Durch SSL ist es schon ein wenig geschützt. Natürlich wird nur der sha1()-Hash gesendet. Dieser wird mit dem konstanten Script-Key der Seite "y.com" gesalzen.
Auf dem Server "x.com" wird dann geschaut woher das der Request kommt. Und es wir geprüft ob diese Seite für einen Request zugelassen ist. Zur Seite, ob sie zugelassen ist, oder nicht, ist auch der Script-Key gespeichert.
Es wird nun das PW aus der DB gelesen und mit dem Script-Key gesalzen und mit dem Anfrage-PW verglichen. Stimmt es überein, werden die angeforderten Daten zurückgegeben.
So mein Konzept... was muss ich da beachten und welche besseren, sichereren Varianten gibt es um ein Passwort von Seite A nach Seite B zu bekommen? Über Ideen würde ich mich sehr freuen
.
Moderator
Kommentar