Popis MojeID PHP API

13. 12. 2014 16:43:53

Pokúšam sa o implementovanie prihlásenia cez MojeID pomocou MojeID (OpenID) API ktoré sa dá stiahnuť z MojeID.cz stránky, no vôbec tomu API nechápem. Skúšal som pozrieť example, no nič som s toho pochopil (niesom nováčik). Vôbec som k tomu nejakú presnejšiu dokumentáciu nenašiel. Ale k hlavnej otázke, na testovnom MojeID sa nedá použiť účet z MojeID, je neaký DEMO účet či sa treba odznova registrovať? (Ale ako je to potom s aktiváciou).

Vďaka

13. 12. 2014 16:43:53

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076206

Filip Šedivý

(25 hodnocení)

13. 12. 2014 18:52:46

Jedná se o protokol OpenID tak že nemusíš být vázán přímo na jejich example. Můžeš najít si jinou knihovnu, a jen si pak nastavit na MojeID endpoint.

Jinak knihovnu kterou MojeID doporučuje, je nejvíce propracovaná. Pokud opravdu nevíš jak implementovat tak, můžeš taky použít sekci Poptávky.

13. 12. 2014 18:52:46

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076205

GAMELASTER

13. 12. 2014 19:32:28

tá knižnica je možno najviac prepracovaná, no absolutne sa v nej nevyznám, čo je najväčší problém + ani nastavenie endpointu som nenašiel O_O

13. 12. 2014 19:32:28

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076204

Filip Šedivý

(25 hodnocení)

13. 12. 2014 19:41:22

Endpoint pro MojeID je https://mojeid.cz/endpoint/

---------- Příspěvek doplněn 13.12.2014 v 19:45 ----------

Jednou z alternativních knihoven je LightOpenID což je dost odlehčená.

---------- Příspěvek doplněn 13.12.2014 v 20:00 ----------

Tady máš example pro LightOpenID pro MojeID... Věřím že ostatní již dokážeš sám...

13. 12. 2014 19:41:22

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076203

GAMELASTER

14. 12. 2014 10:59:54

Super, presne niečo takéto som hladal. Vďaka :)

14. 12. 2014 10:59:54

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076202

GAMELASTER

21. 12. 2014 15:31:10

Tak nakoniec som použil janrain (teda balíček z mojeid.cz), už mi to funguje, len som sa trocha zasekol. Potrebujem nejak overovať či je uživateľ prihlásený cez MojeID, lebo taktiež pomocou niečoho musím aj brať informácie z databáze, je v MojeID špecialné ID na takéto používanie alebo ako to funguje? Ak som ale správne pochopil, musím stále ísť cez Auth, no to si myslím že je moc záťažové, ako na to?

21. 12. 2014 15:31:10

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076201

Filip Šedivý

(25 hodnocení)

21. 12. 2014 19:05:31

Tak si to udělej přes sessions.

Při vrácení odpovědi z MojeID si udělej něco takového

A pak jen ověřuj zda-li je uživatel přihlášen.

21. 12. 2014 19:05:31

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076200

GAMELASTER

21. 12. 2014 20:21:57

Vďaka za odpoveď, S týmto neni problém (niesom začiatočník), na meno heslo mám prihlásenie, lenže, nemám čo použiť ako identifikátor podla ktorého budem ťahať info z DB, a čo ak si uživateľ na moje id zmení heslo, tak či tak mu pôjde prístup. A ak si správne pamätám, SESSIONS sa ukladá do klienta, nie na server, takže to bude môcť zrejme simulovať (tak, môžem to enkódovať, ale aj tak, ak si zmení heslo na mojeid, tak mu to stále pôjde, teda ak tam budem ako identifikátor používať email).

21. 12. 2014 20:21:57

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076199

Filip Šedivý

(25 hodnocení)

21. 12. 2014 20:28:12

Nevím jak máte vyřešené přihlašování ale běžný proces pro mojeID je následující že uživatel klikne na webu na tlačítko přihlásit přes mojeID, stránka ho kopne na přihlašovací formulář na doméně mojeID.cz - zadají se přihlašovací údaje a endpoint mojeID Vám vrátí objekt s údaji. Tudíž nemusíte řešit zda-li si náhodou uživatel změnil heslo na mojeID.

Běžná praxe je že máte nějakou uživatelskou tabulku kde máte svoje údaje, a při každém přihlášení přes mojeID si pak jen kontrolujete zda-li nedošlo ke změně dat ve vráceném objektu od MojeID. A to co objekt nevrátí z mojeID - např. heslo je ve vaši tabulce prázdné.

Rozhodně co bych nedělal je to že bych uživateli vygeneroval heslo aby se přihlašoval přes Váš web. Když už jsem se přihlásil přes mojeID tak bych v tom rád pokračoval.

21. 12. 2014 20:28:12

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076198

GAMELASTER

21. 12. 2014 20:30:31

Mám urobené už to prihlasovanie cez MojeID, len som teda nevedel ako teda urobiť prepojenie. Lenže, kedže si niesom istý či sessions sú u klienta, a ak teda sú, čo ak si ich zmení na enkódovaný hash ? (napr. mailu) Teda hlavná otázka, SESSIONS sa ukladá u servera alebo u klienta?

21. 12. 2014 20:30:31

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076197

Pavel Janků

(94 hodnocení)

21. 12. 2014 20:48:27

Napsal GAMELASTER;1151924
Mám urobené už to prihlasovanie cez MojeID, len som teda nevedel ako teda urobiť prepojenie. Lenže, kedže si niesom istý či sessions sú u klienta, a ak teda sú, čo ak si ich zmení na enkódovaný hash ? (napr. mailu) Teda hlavná otázka, SESSIONS sa ukladá u servera alebo u klienta?

Lol, na serveru. U klienta jsou jen sušenky, v nich je mimochodem i session identifikátor, ale žádná data ze sessions.

21. 12. 2014 20:48:27

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076196

GAMELASTER

21. 12. 2014 21:04:53

Napsal Pavel Janků;1151928
Lol, na serveru. U klienta jsou jen sušenky, v nich je mimochodem i session identifikátor, ale žádná data ze sessions.

Hh, dík :D lebo viem že sušienky sú 100% u klienta, no naposledy ma jedna dotyčná osoba presviedčala že SESSIONS sú u klienta, tak som si nebol istý :D a asi to našiel ten SESSION identifikátor. Už si nejak poradím, vďaka ;)

21. 12. 2014 21:04:53

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076195

Jan Matoušek

(12 hodnocení)

21. 12. 2014 21:30:27

Mám takové podezření, že ta osoba tě přesvědčila spíše o tom, že session id lze ukrást.

To je celkem jednoduchá věc, pokud nemáš ošetřené výstupy pomocí htmlspecialchars. Potom ti někdo do diskuze (a nejen tam) může hodit script, který mu bude logovat session id lidí, co si stránku prohlédnou. Díky tomu může ukrást i tvoje session id. Když si v prohlížeči potom toto session id nastaví, tak se stane v podstatě tebou.

Další dobrá věc je používání i regenerace session id.

Tyto věci velice často řeší frameworky, proto jsem také jejich zastánce:-)

21. 12. 2014 21:30:27

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076194

GAMELASTER

21. 12. 2014 21:48:40

Však ak sa to "odohráva" na servere tak to nemôže zmeniť nie predsa? Ošetrené výstupy a vstupy samozrejme mám, ale zvyčajne MySQLi real escape string alebo proste podla logickosti čo treba.

áno, na to sú frameworky dobré, ale samozrejme má to svoje výhody. Zatiaľ som framework nepoužil , no zrejme to zmením :)

21. 12. 2014 21:48:40

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076193

Jan Matoušek

(12 hodnocení)

21. 12. 2014 21:59:38

session změnit nemůže, ale může si vybrat, jaké session použije, pokud se mu povede ukrást:-)

session máš uložené na serveru, defaultně v souboru sess_{ID}

pokud už má návštěvník tvé stránky session ID uložené v cookies, tak řekne serveru, hele mám session ID x123. No a script se mrkne po souboru sess_x123 a otevře ho. No a tam jsou uložené ty informace.

No a když tedy zjistím, že ty máš sess_x123. Tak můžu říct serveru, hele, já mám sess_x123 a server, jasně použiju ho.

Je to hodně zjednodušené, ale snad z toho je jasná podstata věci:-)

PS: pokud tedy máš vše dobře ošetřené, tak se nemusíš ničeho bát. SESSION ti změnit nemůže.

21. 12. 2014 21:59:38

https://webtrh.cz/diskuse/popis-mojeid-php-api#reply1076192