nicht angemeldet
Hallo Benrd,
Frage: kann ich auf dem Prüf-Server dem Bernd ein Cookie setzen, das dann vom Server A, wo die Sitzung weitergeht, ausgelesen wird?
Nein.
um Dein Problem dennoch zu lösen, gehe wie folgt vor:
Sagen wir Server A kann durch Session-Cookies einen Client über die Transaktion zwischen Server B und Client eindeutig identifizeren. Dann setze in Dein Formular einen zufällig und immer wieder neu generierten Wert in ein Eingabefeld vom Typ hidden, der auch in der Session eingelagert wird.
Server B wird diesen Wert mit einem nur Server A und Server B bekannten (Schlüssel)-Wert verkoppelt und aus Zufallswert (von Server A) und Schlüsselwert einen Hash bilden.
Hat der Client sich erfolgreich an Server B authentifiziert, wird er unter angabe dieses Hashs in Form einer GET-Variable wieder zurückverwiesen.
Server A kann nun anhand des gleichen Schlüsselwerts, der auch diesem Server vorliegen muß, und des in der Session vermerkten Zufallswert den vom Client angelieferten Hash validieren. Dadurch, daß es ein Hash ist, wird vermieden, daß der unbefugte Zugang auf Server A durch erraten oder Auslesen von Verkehr erlangt werden kann
Dieses verfahren wird auch nochmal detailiert unter Simple Authentication and Security Layer beschreiben.
Gruß aus Berlin!
eddi
