[Jan]

Wie der Titel schon sagt,

ich würde gerne haben, das der Benutzer sich nur einmal anmelden muss, er aber auf zwei Seiten(Domains) angemeldet ist.

Der User soll sich bei dem Session Loginsystem aus dem Tut Bereich anmelden, und der Benutzername und das Passwort an das Anmelde Skript des MyBB gesendet werden.

Er soll sich frei zwischen den Seiten bewegen können ohne sich immer neu enzumelden.

Ich dachte, das es vielleicht gehen könnte wenn man das normale Anmeldeskript nimmt, und der User auf eine Zwischenseite weitergeleitet wird, wo nur "Weiter" zu erkennen ist, das ganze aber nochmal ein Anmeldeformular ist, in dem in hiddenfields die Daten nochmal von dem ersten Skript drinstehen. Dieses Formular sendet bei klick auf "Weiter" die daten an das MyBB. Geht sowas? Oder habe ich einen Aspekt übersehen.

Oder gibt es noch eine andere Mögklichkeit sich auf zwei Seiten gleichzeitig anzumelden.

Zu sehen sind die beiden Seiten unter:
Die Seite mit dem Sessionloginsystem(Schulpage Projekt)
Die Seite mit dem MyBB(Schülerportal)

[Ben]

Idenditifiziere den User über ein Cookie und speichere dort den Status. Als Möglichkeit .. nicht überdacht.

[robo47]

Zitat:

Zitat von Ben

Idenditifiziere den User über ein Cookie und speichere dort den Status. Als Möglichkeit .. nicht überdacht.

der browser sollte im normalfall den Cookie von Domain a, nicht auf Domain b rausrücken! Und genausowenig sollte es möglich sein Cookies für eine andere Domain zu setzen oder irre ich mich ?

sind es nur subdomains, ist es möglich!

[Jan]

Zitat:

Zitat von robo47

Zitat:

der browser sollte im normalfall den Cookie von Domain a, nicht auf Domain b rausrücken! Und genausowenig sollte es möglich sein Cookies für eine andere Domain zu setzen oder irre ich mich ?

sind es nur subdomains, ist es möglich!

Das weiß ich auch nicht genau, deswegen wollte ich ja direkt auf die zweite Seite weiterleiten, die auf der anderen(wahrscheinlich Sub) Domain liegt, wo dann das mit den hiddenfields ist.
Daher wird das Cookie jeweils von der entsprechenden Seite gesetzt.

[Ben]

Sind doch Subdomains (siehe erster Beitrag von Jan!).

[Jan]

Zitat:

Zitat von Ben

Sind doch Subdomains (siehe erster Beitrag von Jan!).

Das könnte sich aber eventuell, hoffentlich nicht, ändern.
Deswegen würde ich gerne wissen ob mein Weg klappt wenn man zwei verschiedene Domains hat.

Also:

Code:

Name: Test     #                 # hidden: Test  #                      #
Passwort: Pass # => login.php => # hidden: Pass  # => mybb-login.php => # Startseite(erster Schritt)
submit-Button  #                 # submit-Button #                      #

[WarrenFaith]

Zitat:

wo dann das mit den hiddenfields ist

Hiddenfields sind wenn möglich zu vermeiden. Nur weil man sie im Browser nicht sieht, heißt das ja nicht, dass sie nicht manipuliert werden können.

Außedem sollte es doch machbar sein, eine vorhandene Session aufzugreifen so dass die Seite, die später lädt die Session der ersten aufgreift.
Wenn also beide die gleiche Datenbank haben kannst du dort sogar noch die Session hinterlegen und via Cookie/Datenbank schauen, ob der User auch der ist, der er vorgibt...
habe irgendwie das gefühl ich rede blödsinn...

//edit:
Wenn du das Passort "weiterleitest" und in ein hiddenfeld schreibt, kann doch da jeder ran!
Lieber auf einer Seite einloggen lassen und auf der anderen die Logins überprüfen (ne art Dauerlogin realisieren)

[Jan]

Zitat:

Zitat von WarrenFaith

Zitat:

Hiddenfields sind wenn möglich zu vermeiden. Nur weil man sie im Browser nicht sieht, heißt das ja nicht, dass sie nicht manipuliert werden können.

Das ist ja egal, da der User ja sich nur mit richtigen Passwort anmelden kann, und es handelt sich ja nur um Name und Passwort.
Zudem kann man ja sowieso eingeben was man will am Anfang. es wird ja nichts besonderes übertragen

Zitat:

Zitat von WarrenFaith

Außedem sollte es doch machbar sein, eine vorhandene Session aufzugreifen so dass die Seite, die später lädt die Session der ersten aufgreift.
Wenn also beide die gleiche Datenbank haben kannst du dort sogar noch die Session hinterlegen und via Cookie/Datenbank schauen, ob der User auch der ist, der er vorgibt...
habe irgendwie das gefühl ich rede blödsinn...

Ich benutze aber leider zwei verschiedene Datenbanken, da es sich um zwei voneinander unabhängige, aber verknüpfte Projekte handelt.

Zitat:

Zitat von WarrenFaith

//edit:
Wenn du das Passort "weiterleitest" und in ein hiddenfeld schreibt, kann doch da jeder ran!

Ja, aber sonst doch auch. Wenn ich mich irgendwo anmelde, wird das Passwort ja auch übermittelt, und ob ich jetzt des Passwort einmal oder zweimal sende ist ja egal. Auslesen kann man es beides mal gleich gut.
Der User soll einfach, statt angemeldet auf die Seite weitergeleitet werden auf eine weitere Seite geleitet werden, die auf einer anderen Domain liegt, und dort dann mit einem klick auf "Weiter" das selbe Formular nochmal an ein anderes Skript senden.

[Jan]

Zitat:

Zitat von WarrenFaith

.......
Lieber auf einer Seite einloggen lassen und auf der anderen die Logins überprüfen (ne art Dauerlogin realisieren)

Wie genau sollte sowas gehen? Ich kann halt am MyBB nicht viel ändern, deswegen muss ich bei meinem System was ändern, und dachte, das der einfach Weg wäre das Formular an zwei Skripte zu senden.
Bin aber offen für andere Vorschläge

[Jojo]

Wenn du keine Subdomains benutzt, bleibt dir lediglich der Weg über einen Authentifizierungsserver (kann in meinem Verständnis auch einer der beiden "Domain-Server" sein).

Allerdings will ich dich in dem Fall nur an dieses Buch verweisen, Kapitel 14: Der Umgang mit Sessions

[Jan]

Es ist also nicht möglich meine Weg zu nehmen?
Wo ist dort der Denkfehler?

[WarrenFaith]

Ok also mal langsam und locker.

Die Idee mit den Hiddenfeldern ist sowas von daneben und Sicherheitstechnisch absolut verwerflich. Es geht ja nicht nur darum, dass das Passwort statt einmal gleich 3 mal gesendet. 200% größere Chance auf "abhören". Außerdem ist bei einer Pause zwischen 1. und 2. login die chance drin, dass ein anderer an den PC kommt und den Quelltext anschaut. Ebenfalls gefährlich.

Ansonsten empfehle ich dir folgendes:
Das MyBB wird sicherlich eine eigene Cookie/Sessionstruktur haben, die greifst du mit deinem anderne Projekt auf. Sprich du benutzt die Login/Authmethoden von MyBB um den Login zu validieren und greifst von deinem Projekt auf die Session/Cookies von MyBB zurück. Sprich der User muss sich über das MyBB anmelden und ist dann für dein Projekt eingeloggt. Du müsstest nun also das MyBB nach den benötigten Methoden/Funktionen absuchen und diese per Hack deinem Projekt hinzufügen (auf Lizenzen achten!).

[robo47]

öhm läuft der kram auf einem server ? bzw. ist von beiden eine sql-datenbank ansprechbar ?

wenn ja:

-> eine tabelle in der datenbank mit:

sessionid | ip | browsersignatur | session (text-feld mit serialisierter form des arrays)

und bei links auf die andere seite dann die id mitübergeben, und im script halt dann über diese id überprüfen ob es die gibt, dann IP und browser überprüfen und die session-daten aus der datenbank benutzen.

wer jetzt meint: ja und wenn noch mehr von dort (gleiche IP) mit dem gleichen browser surfen und den link bekommen ... sind se drin ... klar, aber dieser weg ist über sessions wenn man es manipulieren will auch möglich.

mfg
robo47