Authentification, session, Gestion des comptes utilisateurs

[sgaze]

Bonjour,

Pour mettre en place un accès restreint par comptes à une partie de mon site, j'aimerais créer en PHP une gestion des utilisateurs enregistrés avec en vrac les fonctionnalités suivantes :

- authentification par nom et pass stockés en base,
- support des sessions
- administration par l'utilisateur des informations propre à son compte

Vous avez des grandes directions techniques à me conseiller ?

puis-je utiliser les sessions de PHP en me passant de sessionID dans les urls et de cookies ?

Merci d'avance.

Samuel

[totoro]

Salut,
Je te conseille d'utiliser des cookies, c'est aussi simple à utiliser que des session, et ca évite les apparitions en URL justement.

tu fais un fichier login.php (par exemple) avec ton formulaire d'entrée
tu fais une validation de ce formulaire dans la même page (histoire de pas faire 15.000 fichiers). Si les données sont validées, tu rediriges vers la page sécurisée.

Dans toutes les pages "sécurisées" tu fais un test de présence de ton cookies avec check des valeurs, si c'est pas bon, au revoir, et retour en premiere page.

Vala, j'espere que j'ai été clair, si c'est pas le cas, n'hésite pas à répondre.
Bonne chance.

[sgaze]

Oui c'est clair, merci !

Quand tu parles de cookie, c'est en mémoire sur le serveur le temps de la session ou sur le poste client à plus long terme ?

[Oubah]

personne n'a de problemes avec les cookies et ie 6 ?
Je suis obligé d'utiliser les sessions de mon côté car impossible de récupérer le cookie :/

[Oubah]

Oui c'est clair, merci !

Quand tu parles de cookie, c'est en mémoire sur le serveur le temps de la session ou sur le poste client à plus long terme ?

Les cookies sont stockés chez le client le temps que tu veux, contrairement aux sessions qui sont stockées sur le serveur et sont automatiquement détruits dans un laps de temps déterminé.

[sgaze]

personne n'a de problemes avec les cookies et ie 6 ?

IE6 et son célèbre onglet confidentialité a une gestion variable des cookies.

As tu testé si à certains niveaux du réglage de confidentialité tu n'arrives plus à récupérer les infos ?

[Oncle Tom]

En PHP, l'utilisation du setcookie() est assez particulière et faut remplir au maximum les paramètres pour que les cookies soient créés sans encombre sur la majorité des navigateurs.

De mon côté, j'utilise un système de session EXTERIEUR à celui des sessions PHP (en utilisant une table MySQL de sessions) car j'ai intégré mon forum à mon site. C'est à peine plus lourd mais t'es tranquille dans la mesure où tu n'es pas obligé de pourrir tes URL.
C'est assez technique à faire par contre.

Se baser que sur les cookies, c'est un choix (que j'aurais pu faire) mais tant qu'à le faire, autant essayer au départ de le faire bien et pour un maximum de personnes.

[Oubah]

De mon côté, j'ai justement testé à plusieurs niveaux de sécurité pour les cookies mais en vain.
Pour ce qui est d'envoyer les cookies, je n'ai aucun problème c'est simplement pour les récupérer.
Mais j'ai entendu dire que les sessions PHP pouvaient parfois poser problème aussi ?

[Bool]

En PHP, l'utilisation du setcookie() est assez particulière et faut remplir au maximum les paramètres pour que les cookies soient créés sans encombre sur la majorité des navigateurs.

Je ne pense pas que ce soit une contrainte de PHP, mais plutot d'IE 6 et son filtre assez restrictif sur les cookies. Non ?

De mon côté, j'utilise un système de session EXTERIEUR à celui des sessions PHP (en utilisant une table MySQL de sessions) car j'ai intégré mon forum à mon site. C'est à peine plus lourd mais t'es tranquille dans la mesure où tu n'es pas obligé de pourrir tes URL.
C'est assez technique à faire par contre.

Se baser que sur les cookies, c'est un choix (que j'aurais pu faire) mais tant qu'à le faire, autant essayer au départ de le faire bien et pour un maximum de personnes.

euh.... En utilisant MySQL, tu ne fais que changer la méthode de stockage des sessions. Ca ne change absolument rien sur la méthode de transmission de l'ID de session.

Tu peux bien évidement aussi modifier cette méthode de transmission, mais cela n'a rien à voir avec le fait de stocker en base de données.

[sgaze]

J'envisage le fonctionnement suivant pour authentifier et maintenir la session de l'utilisateur :

L'utilisateur s'authentifie avec son couple (login, pass) par un formulaire
Une fois posté, je vérifie que son compte existe en base et que le mot de passe correspond à ce compte.

Je stocke alors son login dans une variable de session $_session. Je vérifie dans toutes les pages "sécurisées" que la variable de session n'est pas vide et qu'elle correspond à un compte existant en base.

Voyez vous des inconvénients ou des failles de sécurité ?

[Bool]

C'est la méthode que beaucoup de sites / scripts utilisent. Cette méthode est aussi est aussi "sûre" que les sessions elles mêmes... donc pas fiable à 100%, mais largement suffisant dans la plupart des cas.

PS : par contre, si ce n'est pas le cas, je te conseille très fortement de crypter tes mots de passe en base

[sgaze]

PS : par contre, si ce n'est pas le cas, je te conseille très fortement de crypter tes mots de passe en base

Tu as raison, ne serait-ce que par respect du visiteur.

Quel mécanisme de cryptage-décryptage tu me conseilles ?

[Bool]

J'ai longtemps fait la bétise d'utiliser la fonction md5() de PHP pour ça... mais depuis peu j'ai changé pour crypt(), comme indiqué dans l'excellent ouvrage "PHP 5 Avancé".

D'ailleurs, avec crypt() j'utilise également le chiffrage md5(), mais avec le salt en plus.

[Oubah]

J'ai longtemps fait la bétise d'utiliser la fonction md5() de PHP pour ça... mais depuis peu j'ai changé pour crypt(), comme indiqué dans l'excellent ouvrage "PHP 5 Avancé".

D'ailleurs, avec crypt() j'utilise également le chiffrage md5(), mais avec le salt en plus.

Elle a de quoi de particulier la fonction md5 ?

[Bobez]

Oui, quel est le problème, car perso j'utilise md5() pour crypter mes pass (tout comme phpBB si je me souviens bien)...