Redirection, authentification, et POST avec header [Résolu]

Signaler
Messages postés
296
Date d'inscription
lundi 2 septembre 2002
Statut
Membre
Dernière intervention
28 janvier 2008
-
Messages postés
296
Date d'inscription
lundi 2 septembre 2002
Statut
Membre
Dernière intervention
28 janvier 2008
-
Mon probleme est le suivant:
Pour mes abonnés, ils ont une page perso avec des liens vers des services externes qui nécessitent une identification par authentification et/ou passage de parametre.
Et comme je connais tous les codes des abonnés* pour ces differents liens, je voudrais quils puissent cliquer sans devoir taper leurs codes.
(*) les URLs et codes d'acces sont stockés séparément dans une bdd.

Au debut, je faisais un stupide lien comme ci-dessous:
HREF="http://utilisateur:motdepasse@www.site.com?data1=pseudo&data2=password"
Avec pour inconvenient que toute l'URL etait visible dans la barre d'adresse.
Et en plus, cette technique pour s'authentifier (par URL) ne marche pu avec IE6 :o(

J'ai partiellement résolu le probleme en creant un script qui fait un Header("Location: $url") et qui permet de ne plus voir les codes d'authentification dans la barre d'adresse. Mais il reste les parametres, comme ci-dessous:

http://www.site.com?data1=pseudo&data2=password

Je sais décomposer l'URL pour séparer l'adresse et les parametres (data1 et data2), mais je ne sais pas comment faire avec Header pour quils soient transmis avec la methode POST en faisant un Header("Location: $url")

Je planche sur une autre technique ; une page de redirection qui contient un formulaire qui est validé automatiquement à l'affichage de la page (evenement "onload" de BODY). Mais si l'internaute revient à la page précédente et affiche le source de la redirection, les codes apparaissent en clair :o(

----
Olie_ze_kat - www.olid.fr.st =(°o°)=

11 réponses

Messages postés
14
Date d'inscription
mardi 16 août 2005
Statut
Membre
Dernière intervention
13 janvier 2008

tu peu utiliser la classse httpclient de Simon willison ki Marche avec des socket.pas de header donc
Messages postés
1250
Date d'inscription
mardi 15 juillet 2003
Statut
Membre
Dernière intervention
30 septembre 2007
1
tu sais que les membres de ton site peuvent t'attaquer en justice pour
"utilisation de mots de passe" , il faut que tu crypte les mot de passe de
ton site

certains webmaster se sont faits attaquer pour ça, si les mot de passe sont crypter
, pas de probléme par contre si ils ne le sont pas :
ils peuvent dire que tu connais leur mot de passe et que tu peut donc
essayer de l'utiliser sur un autre site le concernant, sa boite email ou pire, la banque....

bref, je te conseil de crypter tes password

Je te donne une idée, tu me donnes une idée, nous avons chacun deux idées.
Mon site Internet
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
fait du SFTP ou du https

In a dream, I saw me, drop dead... U was here, U cried... It was just a deam, if I die, U won't cry, maybe, U'll be happy

http://coucou747.hopto.org
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
fait du SFTP ou du https

In a dream, I saw me, drop dead... U was here, U cried... It was just a deam, if I die, U won't cry, maybe, U'll be happy

http://coucou747.hopto.org
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Salut ;-)

Tu peux aussi utiliser les sessions...

a +

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique

Forum d'entraide informatique (14 catégories)
Messages postés
296
Date d'inscription
lundi 2 septembre 2002
Statut
Membre
Dernière intervention
28 janvier 2008

Par Session ?!! :o. Mais, heu, la session et ses parametres ne pourront pô etre reconnu par l'autre site, voyon :o|

La technique du formulaire marche pô :o( Pour les codes dans des champs Hidden, çà va, mais maintenant les codes d'authentification sont revenus dans la barre d'adresse... Vais craquer :o((((

Ya vraiment aucun moyen de POSTer des données apres (ou avant) un Header(Location) ?

NB: je ne peux en aucun cas intervenir/modifier les sites externes de destination.

NB(pour l'abruti raleur): si jai les codes de mes abonnés dans une bdd, cest quils les ont donnés. Et cest EUX qui vont cliquer sur les liens et s'auto-identifier :o| .oO(ferait mieux de bouffer zelui là)
----
Olie_ze_kat - www.olid.fr.st =(°o°)=
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Non je ne pense pas justement que "l'apprenti raleur" comme tu l'appelles t'aies dit une connerie, mais bon après si tu te fais attaquer en justice on t'aura prévenu.

Ensuite désolé pour les deux sites, j'ai pas lu la question entièrement. Bref oui méthode GET ou post, ça fonctionne normalement, tu passes par une page intermédiaire sur ton deuxième site qui regarde les champs de type post, et hop, un test dans une BDD et session ensuite pour le deuxième site...

a +

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique

Forum d'entraide informatique (14 catégories)
Messages postés
1250
Date d'inscription
mardi 15 juillet 2003
Statut
Membre
Dernière intervention
30 septembre 2007
1
re-salut c'est "l'apprenti raleur" :-p

tu sais 'olid', à la base un forum est fait pour donnée et recevoir des conseils, sit u n'en veut pas : il faut pas venir ça sert à rien

citation de olid :"si jai les codes de mes abonnés dans une bdd, cest quils les ont donnés"
et moi si ma banque peut accéder à mon compte c'est que je leur ai donner le code et c'est pas pour ça qu'ils ont droit d'aller jeter un oeil sans ma permission.... :shock)

"(ferait mieux de bouffer zelui là)" : j'ai vu sur ton site que tu avais une certaine tndance à zozoter, c'est normal ? :big)

mais bon, comme l'a dit anthomicro, "on t'aura prévenue"

allez @+

Je te donne une idée, tu me donnes une idée, nous avons chacun deux idées.
Mon site Internet
Messages postés
296
Date d'inscription
lundi 2 septembre 2002
Statut
Membre
Dernière intervention
28 janvier 2008

.oO(ze dois parler dans une langue incomprise)

JE MEXPLIQUE ; je fais une page où mes abonnés voient LEURS liens avec une identification automatique avec LEURS codes... Cest pô pour moà aller voir leurs trucs MAIS POUR EUX UNIQUEMENT, je m'en fous de leurs mails cochons :o| !!!

Bon, les sessions php ne sont pô applicable... Seule solution, envoyer des données en POST dans l'entete de redirection avec Header.
----
Olie_ze_kat - www.olid.fr.st =(°o°)=
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Pas mal du tout pour le déterrage, chapeau tu as fait très fort :-)

<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li><li>Codes-php.net</li>
Messages postés
296
Date d'inscription
lundi 2 septembre 2002
Statut
Membre
Dernière intervention
28 janvier 2008

Merci ECC... dommage que t'etais pô là l'année dernière pour épargner quelques prises de bec ;op



NB: aucun client n'a porté plainte pour mon formulaire de redirection
dont le source (avec les MdP en clair) n'est accessible que par la
personne concernée :o|

Olivier D. alias ze kat =(°o°)=
http://360.yahoo.com/olie_ze_kat