Проверка наличия cookie от стороннего домена

Question

[Dmirty Kolesnikov]

Задача такая:

Нужно сделать корпоративный сервис привязанный к другому корпоративному сервису (админке), чтобы доступ к этому сервису был открыт только в том случае, если в локальном хранилище пользователя есть cookie от админки, которая расположена на другом домене.

Вопрос — возможно ли на PHP осуществить проверку наличия cookie от определенного домена?

Прим.:
domain.site.ru имеет кукис с названием remember_user_token
Нужно, что-бы доступ к domain.site2.ru был открыт только для тех, у кого есть вышеуказанный кукис

Возможности что-то делать в коде на domain.site.ru при этом не имеется.

Спасибо!

Answer 1

[Voenniy]

Через куки однозначно нет.
Есть стандартное решение.
Пользователь авторизован на site.ru и не авторизован на site2.ru

1. При входе на site2.ru скрипт видит, что пользователь не авторизован и перекидывает пользователя на специальную страницу site.ru/auth
2.По адресу site.ru/auth идет проверка что пользователь аторизован, а потом перекидываем пользователя обратно, но только со специальными параметрами, например site.ru/?auth=ok&user=вася
3. site2.ru если видит подобные параметры авторизовывает пользователя.

Разумеется все это дело надо солить рандомным хешем.

Answer 2

[Дмитрий]

:))) такое (при помощи одной только куки без доступа к сайту-отправителю) просто так невозможно… представьте у вас есть кука от money.yandex.ru… вы заходите на сайте supernews.ru… там перехватывается ваша кука от яндекса например с сессией и выводятся ваши денюжки

Comments

[Dmirty Kolesnikov]

Мне содержание кукисов не нужно, только факт наличия. :)

[Дмитрий]

ни факт наличие… ни сами кукисы вы так не получите… боюсь что как ни крути вам нужен доступ до domain.site.ru

[Dmirty Kolesnikov]

Проблема в том, что domain.site.ru вообще на руби и там другой программист (не хотелось бы его дергать)… Если предположить наличие доступа, какими путями можно осуществить такую проверку?

[Дмитрий]

раз эти оба сервака ваши я бы все таки сделал на domain.site.ru какой нибудь интерфейс хотя бы простенький по которому сам код движка с domain.site2.ru будет проверять наличие доступа у клиента

[Dmirty Kolesnikov]

Возникла такая мысля… Если с site.ru будет вести ссылка на site2.ru, на site2.ru можно проверить как-то источник перехода? :)

[Dmirty Kolesnikov]

Действительно. В общем решение найдено, я могу отследить источник перехода командой $_SERVER['HTTP_REFERER'] и по нему уже определить то, что переход осуществлен с site.ru и открыть доступ.

Спасибо за наводки! :)

[Андрей Смирнов]

Учтите, что $_SERVER['HTTP_REFERER'] легко подменяется, соответственно, любой сможет заполучить при желании доступ

Answer 3

[AxisPod]

Видимо вам надо SSO.

Comments

[Dmirty Kolesnikov]

Нет, наш IT-отдел к этому не готов, оба сервера на совершенно разных площадках, где среда тоже разная. Мне нужна элементарная защита от дураков без заморочек для менеджеров, которые будут посещать site2.ru.

test