Forum : Token pour activation par Email & Token pour faille CSRF

Bonjour à tous,

Pour mon tout premier sujet suite à mon tout premier tutoriel, j'ai une question concernant les Token .... Au risque de paraître pour le débutant que je suis ;-)

J'ai créer un espace membre avec le (SUPER) Tuto : Gestion d'un espace membre en PHP qui utilise un token pour l'activation par Email du compte.

J'aimerais, par ailleurs utiliser le système de Token et Refferer comme expliqué dans le Tuto : Sécurité, Les Failles CSRF.

Mes questions sont les suivantes ; Peut-on utiliser une SESSION avec token généré automatiquement à la connexion alors qu'un token existe déjà dans la bas de donnée ? Peut-on (ou doit-on) renommer les Token... genre Token_1, Token_2 ....? Peut-on utiliser plusieurs Token pour différentes actions ? Ou un Token est-il unique pour toutes les actions sur le même Site Internet ?

MERCI pour vos réponse et encore bravo aux concepteurs de ce Site que j'ai découvert il y a peu et que je pense vais trés souvent visité !!!!

2 réponses

RedaElkhayat

Salut,
1 - il ne sert a rien d'enregistrer un token a la BDD vu que ce dernier change plusieurs fois.
2 - oui on peut renommer les session qui contient les token, c'est juste un nom ;)
3 - pas forcément, pour moi j'utilise un token unique sur la même application

StefW2b

Auteur

Merci pour la réponse... mais je nage encore un peu ;)

Pour le 1) En fait ce token enregistré dans la base de donnée est généré à l'inscription et sert au lien d'activation... il se nomme "token" (Voir Tuto : Gestion d'un espace membre en PHP)

Donc pour les 2) et 3) ; Dans le Tuto : Sécurité, Les Failles CSRF il est conseillé de générer un token de SESSION (qui sera donc appelé comme ça; $_SESSION'token']) et aura donc le même nom que mon token dans ma base. Est-il donc possible de nommé celui de la base token_activation par exemple ?