Connexion distante forumactif via Http

[Amnesiye]

Détails techniques

Version du forum : AwesomeBB
Poste occupé : Fondateur
Navigateur(s) concerné(s) : Opera
Personnes concernées par le problème : Tous les utilisateurs
Lien du forum : http://lordofdrenai.forumactif.com

Description du problème

Bonjour,
Actuellement en train d'effectuer des tests pour personnaliser un forum de jeux de rôles, j'utilise un backend permettant de gérer des fiches de personnages, sorts, donjons, etc... seulement, j'aurais voulu aimé intégrer les call api directement depuis le forum de sorte à ce que les utilisateurs du forum aient accès à leurs informations de personnage directement sur le forum (via une des appels api permettant de remplir des champs sur le forumactif).

Pour ceci, j'essaie de me connecter directement du back à forumactif en utilisant le cookie *_fdata. Le but étant que les utilisateurs puissent utiliser leur compte forumactif en étant connectés pour avoir accès à leurs infos de personnage (J'utilise le cookie *_fadata, le cookie *_fsid se remplit automatiquement si valide et ainsi je parse la réponse pour vérifier le joueur connecté, si la réponse renvoie sur la page de login, c'est que les cookies ne sont pas bons). Les appels ajax fonctionnent bien, que ce soit sur le forum, ou depuis un front hébergé Angular ou Postman. Seulement les appels du back ne fonctionnent pas, le *_fdata n'est pas suffisant, il faut absolument le *fsid pour que le back soit en succès.

Y a-t-il un moyen plus simple auquel je n'ai pas pensé pour que le back puisse vérifier qu'un utilisateur est bien connecté au forum ? Le problème du javascript côté client étant que je ne peux pas y stocker de clef de sécurité et que le cookie *_fsid est accessible en HttpOnly, impossible donc pour moi de transmettre au back le *_fsid pour qu'il vérifie qu'un utilisateur est connecté. Quels seraient les moyens possibles pour qu'un utilisateur puisse transmettre au back qu'il est bien connecté et avec quel compte, autre chose que les cookies ? Ou peut-être ai-je loupé un cookie accessible via javascript qui permettrait à l'utilisateur de vérifier sa connexion ? Le but étant qu'il n'ait pas à rentrer son mot de passe pour faire un appel au back, pour des questions de sécurité.

En espérant pouvoir être éclairé sur des façon de faire, j'analyse encore comment est fait forumactif, ça fait longtemps que je n'avais pas essayé cet outil.

Merci d'avance.

[Toryudo]

Bonjour !
Je ne suis pas fan d'utiliser les cookies de connexion, encore moins le fsid... surtout si c'est pour les transférer à une autre adresse. Plus simple du coup, vous pouvez utiliser les variables suivantes :
_userdata["session_logged_in"] ==> est égal à 1 si la personne est connectée, 0 sinon
_userdata["user_id"] ==> l'id de l'utilisateur, égal à -1 pour les invités et l'ID de la personne connectée sinon
_userdata["username"] ==> le pseudo de la personne si besoin

Rien qu'avec ça, vous devriez pouvoir vous débrouiller normalement.
On fait au plus simple !

[Amnesiye]

Bonjour, merci de la réponse rapide !

Effectivement, j'ai pu voir ces variables là que je prévois d'utiliser au sein du JS du forum pour du comportement.
Néanmoins, je ne sais pas si cette unique méthode là est viable. Je m'explique, la partie back va exposer une route vers laquelle un utilisateur pourra aller chercher les informations qui lui sont propres, ou un jwt si le besoin s'en ressent. Mais voilà, utiliser les variables présentées au sein du javascript ne m'aide pas car un utilisateur peut très bien regarder le JS ou la partie network du navigateur et faire un appel Postman directement, en outrepassant ces variables. Ainsi, chaque petit malin a la possibilité de chercher les informations des autres, prendre un jwt avec leur profil, etc...

C'est pourquoi je pensais à faire une connexion distante côté back à forumactif, afin que le back vérifie lui-même la connexion avec des infos qu'il ne peut pas vraiment tricher (cookies de connexion fournis par forumactif par exemple) avant de traiter les informations et de renvoyer le json de retour de la route.

Néanmoins, je note ces variables dans un coin pour la partie comportementale JS.

Si vous avez autre chose à proposer ou que j'ai potentiellement mal compris la réponse, n'hésitez pas !

[Amnesiye]

J'ai finalement trouvé une solution alternative pour gérer la connexion ! Merci de la réponse qui m'aidera pour autre chose