Messages: 1965

Enregistré le: 15 Jan 2012

Message le Mer Juin 22, 2016 13:03

Slt,

On me demande de by passer, par un lien contenu dans un mail, une authentification httpS.

Y a bien sur le classique http://login:pass@ssndd.ndd.tld/
Je ne sais même pas si c'est possible en httpS, d'ailleurs.

Chose que je ne pratique pas pour des raisons de sécurité évidente.

Mai la demande spécifie de ne surtout pas mettre le login et le pass en clair dans le lien.
Je sais, calmez vous, je vous vois venir... c'est pas moi qui décide. :lol:

Donc, je résume.
Le client a souhaité un sous domaine avec accès restreint par login/pass apache.
Mais il veut que dans les liens qu'il envoie par mail à ces prospect, que ceux-ci puisse accèder à l'outil présenté sans avoir à rentrer de login et de pass.

Donc, existe t-il vous une solution avant que j'insiste lourdement auprès du demandeur pour lui expliqué en quoi c'est pas une demande "rationnelle". :mrgreen:

Merci
Haut
4 Réponses
Messages: 8509

Enregistré le: 14 Mai 2003

Message le Mer Juin 22, 2016 14:23

Tu peux lui proposer token à utilisation unique ?
-https://example.com/?auth=TG9yZW0gaXBzdW0gZG9sb3Igc2l0IGFtZXQsIGNvbnNlY3RldHVyIGFkaXBpc2NpbmcgZWxpdC4u
Haut
Messages: 1965

Enregistré le: 15 Jan 2012

Message le Jeu Juin 23, 2016 7:38

Slt,

Non, déjà fait il veut un lien permanent.

Je crois bien qu'il va falloir le convaincre du l'inutilité de son accès protéger s'il insiste. :-)
Haut
Messages: 8509

Enregistré le: 14 Mai 2003

Message le Jeu Juin 23, 2016 7:59

Le client est roi mais le client est con :D

Il y a moyen de le garder authentifié avec un cookie, et si le prospect n'est plus authentifié, lui proposer de renvoyer le lien de connexion.
Ex : Passwordless auth:
- https://www.sitepoint.com/passwordless-authentication-works/
- https://auth0.com/docs/connections/passwordless/regular-web-app-email-link
Haut
Messages: 1965

Enregistré le: 15 Jan 2012

Message le Jeu Juin 23, 2016 9:18

Hmmm...
Vais voir ça.

Merci. ;-)
Haut