Forum Programmation.php Fonctionnement de la partie autentification de linuxfr.

Posté par .
Tags : aucun
0
19
nov.
2004
Hello !
Est-ce que quelqu'un pourrait m'expliquer le principe de fonctionnement des mécanismes d'authentification sur ce site ?
Je trouve ce système impeccable, et j'aurais aimé le mettre en pratique sur le site intranet de mon entreprise, afin de faciliter les accès aux applications php locales.
D'après ce que j'ai vu jusqu'ici, y'a un formulaire qui est proposé pour s'identifier lors de la première visite. Si on coche la petite case après avoir renseigné correctement un nom d'utilisateur et un mot de passe valide, un cookie est positionné avec au moins ces variables :
- pallier
- PHPSESSID
- enabletoolbar
- md5
- unique_id
Comment tout-cela est-il géré par la suite ? Comment sont paramétrées les sessions ?
Par avance merci pour vos avis éclairés sur la question.
  • # Templeet

    Posté par . Évalué à 4.

    LinuxFr utilise Templeet, une sorte de système de template/framework qui gère un certain nombre de trucs bas niveau pour faire des chouettes sites web.

    http://www.templeet.org(...)
    ou plus précisément http://www.templeet.org/doc/authedit.fr.html(...) pour la gestion de l'authentification.

    Essaie le, sasentbonsailibre,c'est facile à utiliser et très rigolo.

    Je suis en train de développer un petit site avec et j'en suis très content pour l'instant. Surtout que la mailing-list est hyper réactive et sympathique.

    BeOS le faisait il y a 20 ans !

    • [^] # Re: Templeet

      Posté par . Évalué à 1.

      Merci pour ta réponse.
      Je ne veux cependant pas utiliser templeet, mais juste comprendre comment fonctionne la partie qui m'intéresse de ce système. Je pensais trouver ici la réponse sans avoir a éplucher les sources.... Tant pis !
      Je n'ai aucun grief contre templeet, c'est juste que c'est pas adapté à mes besoins, et aussi que mes pages et applications sont déjà fonctionnelles et que j'ai pas envie de tout recoder en templeet.
      Merci quand même... Au moins, j'ai l'url pour télécharger les sources !
      • [^] # Re: Templeet

        Posté par (page perso) . Évalué à 3.

        En plus la partie authentifivcation de linuxfr.org ne se fait pas avec l'authentification fourni par templeet...

        Ce site utilise ses propres méthodes d'authenfication, codé par dessus templeet. Mais tu peux télécharger les templates qui gèrent ça sur le CVS de templeet module 'linuxfr' (cvs co linuxfr)
        • [^] # Re: Templeet

          Posté par . Évalué à 1.

          Merci, c'est déjà une piste.
          En fait, ce qui m'intéresse, c'est comment sont mises en relations les informations du cookies avec la mécanique interne du site ?
          Genre : le md5, il sert à quoi ? L'identifiant de session est récupéré pour faire quoi ?
          Ca m'intéresse particulièrement, car si c'est un moyen pour rendre permanente l'identification sur le site, ça évitreait pas mal de demandes d'identifications sur mes pages intranet.
  • # L'authentification dans Templeet

    Posté par (page perso) . Évalué à 3.

    Je ne sais pas si c'est toujours le cas, mais il y a quelques mois, j'avais pas mal parcouru le code de templeet.
    Ce que j'ai remarqué, outre le fait qu'il soit dommage qu'il n'y ai quasiment aucun commentaire dans le code, c'est que templeet réimplémente un mécanisme de sessions pour lui tout seul, sans profiter de ce qui existe en standard dans php ( http://www.php.net/session(...) ). Il doit y avoir une raison à cela.
    Mais personnellement, j'essaye de perdre cette sale habitude de réinventer la roue. Pour comprendre le truc, j'ai regardé le mécanisme d'authentification de dotclear, directement dans le code. Et là, on utilise ce qui existe dans php.
    En espérant aider...
    • [^] # Re: L'authentification dans Templeet

      Posté par (page perso) . Évalué à 1.

      Donc la roue est réinventée 2 fois sur ce site ... (cf le commmentaire ci-dessus)

      pas mal ...
      • [^] # Re: L'authentification dans Templeet

        Posté par (page perso) . Évalué à 3.

        Donc la roue est réinventée 2 fois sur ce site ... (cf le commmentaire ci-dessus)

        pas mal ...


        Ca fait donc 3 roues !

        C'est pour assurer une meilleure stabilité a linuxfr :
        Tu es plus stable sur un tricycle, que sur une bicyclette.
        Tu es plus stable sur une bicyclette, que sur un monocycle.

        CQFD.
  • # En extrapolant un peu...

    Posté par . Évalué à 1.

    Et surtout parce que j'ai pas trop le temps de lire le code de templeet...
    Si j'ai bien compris, y'a un md5 qui est fait sur le couple mdp/password, et ce md5 est stocké dans le cookie et dans la session. Lors d'une connexion, on vérifie l'égalité PHPSESSID et md5 des deux entités. Si ce test est vérifié, c'est le bon utilisateur. Sinon, on le renvoie au pelotes.
    J'espère n'avoir pas dit trop de clowneries. Si c'est pas comme ça que templeet fonctionne, peu importe. Est-ce d'après-vous une bonne idée que de faire fonctionner un mécanisme sur ce principe ?
    Dans l'absolu, je voudrais que l'identification soit valable jusqu'au 1er août. Comment dois-je paramètrer les sessions php sur mon serveur ?
    Merci pour vos conseils une fois de plus !
    • [^] # Re: En extrapolant un peu...

      Posté par (page perso) . Évalué à 4.

      Le md5 est fait après avoir collé une clé secrete et l'identifiant de session si je me souvient bien, ça evite que les attaques par essai de tous les numéros de session.
  • # Une autre solution

    Posté par . Évalué à 1.

    essaye d'utiliser PEAR_Auth. j'utilise ca sur l'intranet du boulot avec un mot de passe MD5 et ca roule sans problème. Il suffit d'ajouter 3 ligne de code.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.