Dos sitios web con diferentes CMS, el usuario debe escribir login & contraseña en un sitio web y debe registrarse en el segundo sitio web automáticamente. Ahora tengo este método, funciona pero quiero saberlo. ¿Es lo suficientemente seguro?
1er sitio:
- El usuario ha iniciado sesión correctamente con su inicio de sesión & contraseña
- nombre de usuario cifrado con php mcrypt (MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC,)
- hash sha1 generado a partir de un nombre de usuario cifrado, marca de tiempo, clave secreta
- nombre de usuario cifrado, hash y tiempo de caducidad insertado en la base de datos
- redirigir al segundo sitio web con el parámetro hash (método GET)
2do sitio:
- obtenga datos de la solicitud e intente encontrar una fila en la base de datos con este hash
- si se encuentra la fila: obtenga datos de la fila (nombre de usuario cifrado, hash, tiempo) y elimine la fila de la base de datos
- compruebe si el usuario inició sesión hace unos segundos
- cree un nuevo hash, compárelo con el hash en la url y el hash en la base de datos (no es necesario porque ya hemos encontrado el hash en la base de datos pero ...)
- si no se encuentran errores: inicie sesión con un usuario descifrado