Créer "cookie" côté serveur

vavoir
PHP

Bonjour;

Dans un système d'authentification j'envoie une clé unique par mail qui n'ait utilisable que pendant 5 min ! Je ne souhaite pas que cette clé soit stocké côté client pour ne pas être récupéré. Je veux aussi que même s'il ferme le navigateur et qu'il revient dans le temps impartir sur la page il puisse saisir sa clé.

Donc pas de SESSION pas de COOKIE.

Il me reste quoi pour faire cela . JSON, CSV ?

Je recherche une solution facile à mettre en oeuvre en un minimum de ligne.

7 réponses

Carouge10

Bonjour,
Tu peux stocker la clé en BDD avec en un champs date inditant la date d'expiration de la clé

Lartak

Bonjour.

Dans un système d'authentification j'envoie une clé unique par mail qui n'ait utilisable que pendant 5 min !

Tu veux dire que l'utilisateur doit lire ses mails à chaque fois qu'il se connecte et de surplus il n'a que 5 minutes ?

vavoir
Auteur

@Carouge10 pas bête je sais pas pourquoi je n'y ai pas pensé ^^

@Lartak oui ! Après se gère d’authentification ne convient pas tous les applications mais dans le cadre par exemple d'un panel d'administration ce système convient parfaitement.

Le système fonctionne ainsi: lorsque tu veux administrer ton application tu renseignes ton nom ou ton mail si tu fais partie des élus une clé unique et envoyée par mail et te permettra d'administrer l'application pendant un certain temps. Ainsi tu n'as pas à créer et à te souvenir du mot de passe sans parler de tous les problèmes qui vont avec x(

quenti77

Donc une fois que tu clique sur le lien dans le mail, tu ne peux administrater l'application que pendant un cours lapse de temps et remettre son pseudo/email pour réavoir un mail. C'est bien ça ? Car je trouve la mise en place compliquer et l'utilisation bien relou pour un utilisateur et en plus le jour ou le mec pour X raison ce fait piquer sont mail , le pirate peux administrer un site sans aucun soucis. Sauf si en plus de ça tu y a inclus une double authentification (2FA) et donc en plus du mail il faut attendre le code reçu par SMS/Google authenticator/...

C'est un choix mais je le trouve complexe ^^

vavoir
Auteur

@quenti77 C'est bien pour cela que j'ai précisé:

Après se gère d’authentification ne convient pas tous les applications mais dans le cadre par exemple d'un panel d'administration ce système convient parfaitement

De toute façon il y a une faille critique que l'on pourra jamais corrigé et qui se trouve entre la chaise et le clavier:D

quenti77

mais dans le cadre par exemple d'un panel d'administration ce système convient parfaitement

Dans le cas d'un admin panel je fais une simple double authentification et si vraiment besoin pour des cas spécifique je gère par clef privée public de client. En gros le client install un certificat sur son/ses devices et sinon il peut pas y accéder

Mais en aucun cas je ferais "chier" l'utilisateur avec des mails à recevoir toutes les 20 minutes pour accéder à un token juste pour administrer un pauvre panel admin.

woozy

"Dans un système d'authentification j'envoie une clé unique par mail qui n'ait utilisable que pendant 5 min ! Je ne souhaite pas que cette clé soit stocké côté client pour ne pas être récupéré."

Quelque pars tu la stock vu qu'elle est envoyé par email et que l'email est conservé.
Sinon le plus simple reste la DB ... dans ton Panel au debut tu crée un test pour verifié la validité du Token et quand le delais est depassé tu le detruit (ou l'annule si tu veut gardé une trace de type log)