Aller au contenu

Accès reservé : gérer les sessions, cookies...


equids

Sujets conseillés

Bonjour à tous,

lors de la connexion d'un visiteur sur un site pour accéder à une zone protégée, on peut utiliser les sessions pour que le visiteur connecté soit reconnu en tant que tel sur les différentes pages.

Ma première question : est ce que si j'envoie une variable de session, par exemple : le pseudo, cela suffit au niveau "sécurité" pour m'assurer qu'un membre qui a sa session avec son pseudo est bien la personne identifiée ?

En d'autres termes, est ce qu'un visiteur peut "trafiquer" sa session pour se faire passer pour un autre membre connecté ?

Ma deuxième question : certains sites proposent, lors de la connexion, de se "rappeler" des identifiants du membre pour ne pas qu'il ait à les re-saisir. Comment, techniquement, opérer pour arriver à ce résultat ?

J'imagine qu'on envoie un cookie, mais avec quelle information ?

Pour le coup, le cookie est hébergé sur l'ordinateur de l'utilisateur, qui peut donc le modifier. Envoyer le pseudo en cookie ne rimerait a rien.

Donc quelle genre d'info il faudrait envoyer en cookie pour se rappeler que le membre est connecté, mais sans avoir de variables simples à modifier comme un pseudo ou un mot de passe ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Il te faut mettre en cookie l'identifiant du membre, ainsi que le numéro de session (PHPSESSID) dans deux cookies distincts.

Cela devrait te suffire pour identifier le membre connecté.

Lien vers le commentaire
Partager sur d’autres sites

Sur notre application, lorsque l'utilisateur veut mémoriser sa connexion, on génère un identifiant unique avec la fonction php uniqid. Cet identifiant et stocké dans un champs de la table des utilisateurs et également stocké dans un cookie (avec deux semaines avant expiration) chez l'utilisateur.

A chaque fois que l'utilisateur arrive sur le site (sur une page qui nécessite une authentification), s'il a le cookie, on vérifie son identifiant unique et on charge ses informations ce qui fait qu'il est considéré comme connecté sans avoir à taper son mot de passe.

Voilou!

Lien vers le commentaire
Partager sur d’autres sites

Merci de vos réponses,

donc on enregistre en cookie des infos pour le reconnaître sans problème de sécurité, ok.

Mais lorsqu'il revient sur le site :

- vous renvoyez une session si il est connecté ?, vous relancez le cookies pour 2 semaines ? (enfin, le temps désiré)

OU

- vous faites la requête à la table par rapport au cookie sur chaque page qu'il visite pour savoir si il est connecté ?

Est ce qu'il y a une fonction php qui retire TOUS les cookies envoyés par le site à un utilisateur ?

J'ai un petit souci avec des utilisateurs qui se trouvent obligés d'effacer leurs cookies à la main dans leur navigateur pour pouvoir s'identifier à nouveau. Je recherche donc un moyen sur d'effacer tous les cookies que j'aurais pu leur envoyer avant qu'ils se connectent.

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...