Login-API und das leidige Passwort

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login-API und das leidige Passwort

    Hallo, hallo ...

    Ich möchte gerne eine Login-API für meine Seite "x.com" mit der zentralen Userdatenbank erstellen. D.h. das Login des Users soll prinzipiell auf dem Server der Seite "x.com" vorgenommen werden.

    Auf der Seite "y.com" hat es ein Login-Formular, wenn man dieses absendet (mit den richtigen Daten natürlich ) stellt ein php-Script auf "y.com" einen Request an die API (per SSL).

    Auf dem Server "x.com" wird nun die Anfrage ausgewertet. Nun das/mein Brainstorming: Wie soll das PW von "y.com" nach "x.com" kommen? Durch SSL ist es schon ein wenig geschützt. Natürlich wird nur der sha1()-Hash gesendet. Dieser wird mit dem konstanten Script-Key der Seite "y.com" gesalzen.

    Auf dem Server "x.com" wird dann geschaut woher das der Request kommt. Und es wir geprüft ob diese Seite für einen Request zugelassen ist. Zur Seite, ob sie zugelassen ist, oder nicht, ist auch der Script-Key gespeichert.

    Es wird nun das PW aus der DB gelesen und mit dem Script-Key gesalzen und mit dem Anfrage-PW verglichen. Stimmt es überein, werden die angeforderten Daten zurückgegeben.



    So mein Konzept... was muss ich da beachten und welche besseren, sichereren Varianten gibt es um ein Passwort von Seite A nach Seite B zu bekommen? Über Ideen würde ich mich sehr freuen .

  • #2
    Guck dir OAuth an, da haben sich andere Leute schon viel mehr Gedanken gemacht.
    [FONT="Helvetica"]twitter.com/unset[/FONT]

    Shitstorm Podcast – Wöchentliches Auskotzen

    Kommentar


    • #3
      Phuuu da hab ich ja einige Zeit um mich einzulesen und mich in entsprechende Klassen in PHP einzuarbeiten. Da werde ich für die nächste Zeit wohl beschäftigt sein .

      Kommentar

      Lädt...
      X