Original von Blabbo
Original von knalli
Also mal aus der Sicherheitsecke antwortend: Ich würde das nicht "A/login.php" nennen, sondern das extra in einen entsprechenden Service packen. Ja schon klar, natürlich auch eine PHP-Datei, aber die nur die spezielle Aufgabe für dein Login/Registrierungszeug hat.
Was meinst du genau mit "Service"? die login.php hätte ja auch nur diesen einen Sinn.
Jaja, nur halt nicht "meinesuperdomain.de/login.php" wo jeder Depp das "Master-Login"-Script findet. Außerdem wollte ich klarstellen, das ich zwischen dem normalen Einloggen (was die "Super-Domain" vielleicht auch unterstützt) und dem Remote-Login unterscheiden würde.
Zusätzlich würde ich aber noch ein Token - so eine Art Preshared Key - generieren. Ohne diesen Key würde dein Remote-Login/Register gar nicht erst arbeiten und jegliche Requests mit einem 403 o.ä. abweisen.
Also dass das Formular einen token (ist ja nichts anderes als ein code-String?) anfordert, der dann wieder mitgeschickt werden muss, richtig?
Bin nicht sehr bewandert in diesen Fachausdrücken
Nein, wie ich sagte. Preshared. Vergleichsweise wie Google API Key, Wordpress API Key. Du erstellst beispielsweise mittels md5(rand()) einen Zufallstoken und speicherst ihn auf beiden Servern. Dabei stellt der Token die Identität klar - den Check auf Authentizität entfällt hier bzw. lässt sich in meinen Augen durch die Identität in diesem Szenario bereits klarstellen. Für höchste Sicherheit machst du das Remotelogin intern über HTTPS.. ka, was du da für Seiteninhalte hast ;)
Ein zusätzlicher Session-Token ist eigentlich nicht notwendig. Sowas würde ich für den Client einführen (auf Browserseite).
Es handelt sich schon um verschiedene Domains, [...]
Okay, schade ;)
Also ganz praktisch: Dein Login-Server bekommt eine Datei oder eine Tabelle in der Datenbank mit der Liste aller bekannten "Client-Login-Server", jeweils ein Tupel aus Identifier (Token) und Name. Vielleicht brauchst du auch noch weitere Informationen, z.B. ein Server darf nur bestimmte Accountdaten verifizieren lassen. Das läßt sich später auch erweitern..
Weitere Alternative die mir noch einfallen würde: LDAP-Server ;)