Due siti Web con diversi CMS, l'utente dovrebbe digitare login & password su un sito Web e deve essere registrato automaticamente nel secondo sito Web. Ora ho questo metodo, funziona ma voglio sapere - è abbastanza sicuro?
1 ° sito:
- L'utente ha effettuato correttamente il login con il suo login & la password
- nome utente crittografato con php mcrypt (MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC,)
- sha1 hash generato da nome utente, timestamp, chiave segreta crittografati
- nome utente, hash e data di scadenza crittografati inseriti nel database
- reindirizza al secondo sito web con parametro hash (metodo GET)
2 ° sito:
- recupera i dati dalla richiesta e prova a trovare la riga nel database con questo hash
- se viene trovata una riga - ottieni dati di riga (nome utente, hash, ora crittografati) ed elimina riga da db
- controlla se l'utente ha effettuato l'accesso pochi secondi fa
- crea un nuovo hash, confrontalo con hash in url e hash nel database (non necessario dato che abbiamo già trovato hash nel database ma ...)
- se non sono stati rilevati errori - accedi utente tramite nome utente decrittografato