Как авторизоваться на другом сайте (PHP)?

Question

[Дмитрий]

Имеется форма авторизации на "другом" сайте, два поля - login, password. Данные мне известных.
Мне нужно на своём сайте сформировать ссылку/кнопку, по клике на которую у меня открывался "другой" сайт уже авторизованный.

Проблема в том, что "другой" сайт отдаёт 403, если не передан реферрер с его страницы аутентификации.
Как мне оказаться залогиненым на "другом" сайте?

P.S. На "другом" сайте я не могу вноснить никакие изменения.

Answer 1

[romy4]

эмулировать это дело. php curl, сохраняете все куки ответов, можно реферер и подменяете.

Comments

[Дмитрий]

Через curl у меня получилось отобразить содержимое "другого" сайта на своей странице. А мне нужно перейти на него. header('location'...) в данном случае не помог.

[Adamos]

Curl-ом то он все это проэмулирует, но куки от того сайта в браузере сами собой не появятся и с этого сайта их не назначишь. Так что при переходе на тот сайт пользователь не будет залогинен.

[Дмитрий]

Adamos: именно так и произошло. Есть способы это обойти?

[romy4]

Adamos: есть опция сохранения и передачи куки, почитайте в мануале по curl

[Дмитрий]

romy4: Я сохранил куки в файл. Но теперь мне нужно послать браузер пользователя на URL "другого" сайта с передачей кук. Не могу понять как

[Adamos]

romy4: Так ему надо не курлом на сайт войти, а пользователя туда перенаправить залогиненным.
Дмитрий: может, с iframe поиграться? Загрузить в него страницу с формой, заполнить, отправить.
Потом уже перенаправлять пользователя на тот сайт. То, что данные авторизации будут светиться открытым текстом, вас, возможно, не пугает...

[romy4]

Дмитрий: не, вам надо не посылать браузер на тот сайт, а через свой скрипт, как прокси отдавать запрос на тот сайт. Вы не можете явно подставить куки того сайта в браузер — это запрещено механизмом безопасности в любом браузере

[Дмитрий]

Adamos: не представляю как это сделать. Допустим, делаю iframe src= "другой" сайт форма авторизации. Как я её заполню? без участия пользователя.
Авторизация и так будет светиться, там http

[Дмитрий]

romy4: Мне нужно сделать возможность интерактивной работы с тем сайтом. То есть все относительные пути к скриптам-картинкам сделать абсолютными. Это мне кажется не очень лёгким решением.

[Adamos]

Дмитрий: JS позволяет залезть со страницы в дочерний фрейм.
HTTP везде, но одно дело - когда вы с сервера обращаетесь к сайту и POST-ом отдаете ему данные, другое - когда у вас в браузере пользователя открытым текстом используются логин и пароль (для заполнения формы).

[Дмитрий]

Adamos: Думаю, вариант с JS должен сработать! Попробую

[Дмитрий]

Adamos: не выходит работать JS с фреймами другого домена. Ошибка безопасности

[romy4]

Дмитрий: я про что говорил выше?

[Adamos]

Дмитрий: ну да, что-то я туплю - второй-то сайт не ваш.
Получается, вы пытаетесь сделать классический CSRF, от которого любой современный браузер защитит своего пользователя, не дав вам никаких шансов.

[Дмитрий]

Так у этой, казалось бы, простой задачи есть решение?

[romy4]

Дмитрий: нет. если к чужому сайту доступа нет, чтобы положить policy документ, то только эмуляция через прокси

[Дмитрий]

romy4: а не подскажете, каким образом реализовать эмуляцию через прокси?

[romy4]

Дмитрий: вашу задачу не решит, потому что нельзя будет перейти на другой сайт залогиненым. Только будет выглядеть как на локальном mysite.com/anothersite/login