Jump to content
  • 0
arch-info

Lien d'acces Direct

Question

Bonjour. Le besoin serait de fournir (par mail) a l'utilisateur un lien lui permettant de se connecter a la base en web direct sans avoir besoin de saisir son identifiant et mot de passe, juste en cliquant sur le lien.
L'idée serait un lien incorporant le login, comme on en reçoit de certains sites.
le login ressemble à un UUID , tres long et tres complexe, donc trop compliqué à saisir (mais du coup impossible a deviner)
Mais je ne trouve pas de moyen de placer dans l'url le login et le mot de passe (on peut le faire pour la connexion via un client filemaker) dans le lien pour l'acces web direct.

Une idée ?

 

Share this post


Link to post
Share on other sites

4 answers to this question

Recommended Posts

  • 0

Salut

le problème c'est : est-ce que tes utilisateurs ont le droit de modifier leur mot de passe ?

si la réponse est non, je créerai un fichier de connection contenant un UUID, le nom d'utilisateur et le mot de passe

plusieurs utilisateurs :

1 premier en autologin qui n'a accès qu'a la rubrique UUID et un model sans rubrique visible 

1 autre qui a accès à tout en lecture

tu fait un script qui test si le paramètre UUID est présent dans un des enregistrement et si c'est le cas se reconnect avec le deuxième compte pour récupérer le login et le password pour ensuite ouvrir ta base principal 

ton lien ressemblera à un truc du genre:

tonIP/fmi/webd#LE-NOM-DE-TA-BASE-DE-CONNECTION?script=LE-NOM-DE-TON-SCRIPT&$uuid=XXX-XXX-XXX-XXX

Share this post


Link to post
Share on other sites
  • 0

Je ne suis pas certain de comprendre ton besoin, donc il est possible que je réponde à coté.

 

L'idée est de ne pas stocker login (et encore moins le pw) dans l'url.

L'uuid que tu décris (qui est bien souvent le résultat d'un hachage quelconque) est stocké en base, dans la même table que le login et le pw. Quand ton script reçoit un un uuid, il le recherche simplement dans la base, lit le login de l'utilisateur, et ouvre une session avec.

Deux remarques cependant :

- ne pas stocker le pw en clair est très-franchement-beaucoup conseillé (en cas de compromission de la base)

- en principe, ce genre de système est à usage unique, et limité dans le temps (lien valable 24h par exemple). A utiliser, par exemple, en cas de perte du pw. N'oublie pas que la confidentialité d'un email est à peu près celle d'une carte postale : beaucoup de gens peuvent y accéder sans faire trop d'effort, sans compter les différents piratages de boite.

Quand tu développes pour le web, il faut être paranoïaque.

 

Yvan

Share this post


Link to post
Share on other sites
  • 0

 

 

 

Citation

 

 

 

 

Quand ton script reçoit un un uuid, il le recherche simplement dans la base, lit le login de l'utilisateur, et ouvre une session avec

 

 

 

 

 

C'est bien ce que je souhaite faire. Le probleme, c'est que je ne vois pas comment en pratique. La base etant protégée par mot de passe (et sans compte invité, trop risqué), avant que le script ne soit executé quand on clique sur le lien, le login et le mot de passe vont etre demandés, ce qui est justement ce que je souhaite éviter.

 

 

Share this post


Link to post
Share on other sites
  • 0
il y a 23 minutes, arch-info a dit :

C'est bien ce que je souhaite faire. Le probleme, c'est que je ne vois pas comment en pratique. La base etant protégée par mot de passe (et sans compte invité, trop risqué), avant que le script ne soit executé quand on clique sur le lien, le login et le mot de passe vont etre demandés, ce qui est justement ce que je souhaite éviter.

 

C'est impossible de lancer un script si ta base n'est pas connectée, d'où l'idée d'avoir un compte qui est spécialement conçu pour :

- accès à uniquement une table et uniquement la rubrique UUID

-  accès à uniquement un model dans lequel aucune rubrique n'est visible 

- accès uniquement en webdirect

- le mieux étant dans un fichier séparé 

Là à moins d'une faille dans Filemaker, ça devrai être sécurisé mais comme le dit ypicot les mails sont tous ce qu'il y a de moins sécurisés et ta brèche de sécurité risque de venir de là et pas d'un hacking de FMS !

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...