Hallo,

ich hab folgende Frage zu Sessions:

Also ich habe eine Website www.xyz.de von einer Firma die Browsergames programmiert.
Jetzt möchte man das auf www.xyz.de eine zentrale Benutzerdatenbank ist und wenn man sich auf www.xyz.de einloggt und von dort aus auf das Spiel www.einbrowsergamederfirma.de geht, welches sich auf einem zweiten Server befindet, dass man dort dann auch gleich eingeloggt ist.

Also muss man doch quasi die Session in der die Benutzerdaten festgehalten sind irgendwie weitergeben oder?
Geht das? Oder wie kann man sowas sonst realisieren?

Danke schonmal

Nun die Session wird auf dem WebServer gespeichert.

Man könnte es so machen das man auf xyz.de auf einen button klickt der ein post formular an browsergame.de abschickt in dem die Daten drin sind. browsergame.de wertet diese daten dann aus.

mfg, Björn

Oder mit einem Link von xyz zur Browsergameseite, in welchem die Daten mitgegeben werden.

edit: Aber achtung, immer schön alles verschlüsseln Die Methode von arbu man, soweit sie möglich ist, ist wahrscheinlich "saubrer"

Und es ist auch gut so, dass es nicht direkt geht!

Stell dir mal vor du speicherst in der Session von dem Spiel nur den Benutzernamen und überprüfst anhand von dem Namen ob derjenige Adminrechte auf der Seite hat. Dann erstellst du dir einfach auf einer anderen Seite eine Session wo der Benutzername vom Admin drin ist und übergibst die dem Spiel und schon bist du dort Admin. Du bist also auf einfachstem Wege um die Passwortabfrage herum gekommen, was natürlich eine riesige Sicherheitslücke wäre.


Flare

So wie ich das sehe kommst nicht drum herum, auf der seite des Spiels zumindest eine Tabelle mit Hashs zum prüfen anzulegen. Dann kannst du ohne Probleme z.B. den Benutzernamen und einen dazugehörenden Hash im Link senden und prüfen ob das ein "berechtigter User" ist.

mal wieder edit: Den Hash natürlich nicht aus dem Benutzernamen erzeugen sonst kann jeder unter jedem Namen ne Runde zocken

ginge das vllt auch über cookies? oder greifen die automatisch auf verschiedene cookies zu?

Ich würde es ungefähr folgendermaßen machen:

Die SID, die ja ruhig der Browser wissen darf, wird übertragen, z.B. duch einen Link oder durch POST Felder. Dann kann auf den entfernten Server eine DB-Anfrage gemacht werden, an den xyz-Server, und die Daten können aus der Session-tabelle geholt werden.

Nein. Cookies können nur von einer Webseite verwendet werden, nähmlich die Seite, die das Cookie erstellt.