JeuWeb - Crée ton jeu par navigateur
[Résolu] Session et ajax - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : [Résolu] Session et ajax (/showthread.php?tid=6275)

Pages : 1 2

RE: Session et ajax - niahoo - 22-08-2012

(27-07-2012, 09:17 PM)Sephi-Chan a écrit : S'il a un jeton valide, il est authentifié. Ce cookie n'expire pas et est chiffré : toute modification entraîne son invalidation (à moins d'avoir la clé de chiffrement, mais ça, seule mon application la possède).

L'utilisateur peut bien entendu se déconnecter de son compte actuel et se connecter à un autre.

Après, selon l'application, je peux créer des comportements différents : par exemple changer le token dès qu'un joueur se connecte. Ainsi, un seul navigateur peut avoir un jeton valide à la fois (pour ce compte). Ou bien changer le jeton dès qu'un joueur se déconnecte, afin d'invalider le cookie de tous les navigateurs (toujours pour ce compte).

Mais je suis plutôt du genre à ignorer la traque au multi-comptes tant c'est un gaspillage d'énergie.


Est-ce que tu peux me donner plus d'infos sur la méthode de chiffrement et ce que tu chiffres ?
Ah, trouvé

RE: [Résolu] Session et ajax - Damocorp - 22-08-2012

J'étais intéressé par ce système. Je l'ai donc testé, j'ai fini hier ou avant hier ( je sais plus ) son installation sur un site test.
C'est plutôt intéressant.

Personnellement j'ai utilise ce système de cryptage réversible.
J'ai fais des test sur le cookie, et je voulais un résultat assez long et assez différents pour chaque utilisateur. Pour le moment je n'y stock que l'id et le time() lors de la création du compte.


Par contre je me pose une question de sécurité, si quelqu'un vole le cookie ?
J'ai donc pensé mettre en place un 2e cookie qui stock le REMOTE_ADDR que je crypte également.

Puis sur mes page qui nécessite une identification, j'ai inclus un fichier qui fait :

- décryptage REMOTE_ADDR
- Vérification REMOTE_ADDR
- Décryptage cookie_d_identification
- Si le cookie à la bonne structure
- Requête BDD pour vérification

Si une de ces étapes est mauvaise, je supprime les 2 cookies, et j’éjecte le malandrin avant l'affichage de quoique soit. Et évidemment je lui demande de s'identifier.


J'ai bien retrouvé ce que tu disais Sephi, et c'est ce qui m'intéressait dans ce système : La déconnexion possible des utilisateurs.
Ainsi quand je veux faire une MAJ, je bloque l'identification en zone admin, et je vide la table. Tout le monde est déconnecté. Et je peux bosser sans me dire qu'un utilisateur verra le site en bordel.

J'vais donc l'installer sur Damocorp, mais l'adaptation va mettre un peu plus de temps Confusediffle: