Можно ли реализовать два типа авторизации на одном домене?

Question

[Максим]

Ситуация такая, есть сайт, на котором есть две группы пользователей, сейчас все логинятся по форме логин\пароль, требуется сделать следующее:
для тех пользователей у кого есть сертификаты - входить по ssl сертификатам (просто нажимают кнопку войти),
для всех остальных - оставить стандартную форму авторизации по логину\паролю.

Сайт работает на drupal 7.
Можно ли организовать аутентификацию по SSL сертификатам и стандартную (логин\пароль) на одном домене?

UPD: вариант с созданием поддомена возможен

Answer 1

[Александр Кубинцев]

Я бы сделал поддомен, который бы работал исключительно через SSL и отвечал за аутентификацию клиентских сертификатов. Удобно тем, что легко выполнить средствами nginx. А дальше можно произвести авторизацию на нём же, по примеру отсюда cweiske.de/tagebuch/ssl-client-certificates.htm, и установить сессионную куку для родительского домена.

UPD: если есть желание всю аутентификацию зарулить на поддомен, то ничего принципиально не меняется, только вместо 443-го порта ещё будет слушаться 80-й и соответственно php-обработчик будет смотреть на присутствие полей в окружении $_SERVER для выбора способа авторизации.

Comments

[Максим]

Вариант с поддоменом не подходит, требование заказчика.

[Александр Кубинцев]

@go3l337 можно тогда действительно сделать на кастомном порту (с точки зрения nginx что поддомен, что отдельный порт можно сделать отдельным vhost), а после авторизации делать редирект на основной хост.

[Александр Кубинцев]

@go3l337 есть правда одна засада с кастомным портом: у пользователей может быть фаервол и ничего работать не будет. Так что вешать только на 443-й. И если сайт заработает однажды по HTTPS, то без поддомена уже никак не обойтись.