Сообщение от Audaxviator
|
|
По-моему, сама постановка задачи не правильная.
|
Я немного не корректно описал задачу, но общий смысл её думаю все поняли. Суть в том что мне необходимо идентифицировать пользователя отправляющего запросы с
site1 на
site2
|
Сообщение от Rise
|
|
Заголовок доступа итак будет пропускать запросы только с site1 что еще надо какие токены...
|
Да всё правильно, тут проблема в том, что бы прямо с самого сайта пользователь находясь на
site1 под своим аккаунтом не смог получить данные которые ему не принадлежат (подделав запросы).
На php.ru предложили как я думаю самое оптимальное решение, которое мне необходимо.
Формируем на
site1 хеш который создаём из времени + номер юзера + секретное слово.
Потом отправляем время, номер и хеш в браузер посетителю. Он там это дело отправляет запросом на второй сервак.
Второй сервак берёт из этого только время + номер юзера, добавляет опять свой секрет (который одинаковый на обоих сайтах, но пользователи сайта его никогда не видят).
Сравниваешь хеш присланный и хеш получившийся. Если совпал - значит на обоих серваках хешировались одинаковые строки, т.е. секрет правильный использовался. А это значит, что токен настоящий.
Проверяем время, чтобы с одним токеном больше пары минут нельзя было заходить. Если токен не старый - значит всё правильно.