Riconoscimento utente loggato in joomla da pagina esterna

[smino89]

Buongiorno a tutti.
Mi rendo conto che il titolo non è particolarmente esplicativo, ma cerco di spiegare il mio problema:

Ho creato una mini-applicazione lato web in php, che permette di gestire (inserire, modificare e cancellare) una tabella appositamente creata all'interno del database joomla (la tabella si chiama 'crab', non è utilizzata dal cms...).
Ho implementato una sorta di connettore, che prende gli utenti del cms, e li "duplica" in una tabella 'usr', e per ogni utente viene assegnato un codice di 3 cifre.

Facendo un esempio, se in joomla ho un utente "utente1", questo viene inserito nella mia tabella 'usr' e gli viene assegnato un codice xxx. Grazie a questo codice l'utente avrà accesso solo ad alcuni record della tabella 'crab'.

Il mio obiettivo (non so nemmeno se sia fattibile) è questo:
L'utente iscritto accede al sito (fatto con joomla ovviamente..) e si logga. Nel menu principale compare la voce "area riservata", che manda ad una cartella, 'admin' (che contiene la mia applicazione), presente nella directory principale in cui è installato joomla. Vorrei che la mia applicazione riconosca l'utente loggato, identificando quindi l'id, o il nome utente, o la mail, passati come variabili di sessione o parametri direttamente da joomla alla mia applicazione...

Detto in poche parole, vorrei evitare di far loggare l'utente 2 volte, una sul sito e una sulla mia applicazione, rischiando magari di perdere la sessione aperta in una o nell'altra parte..

Spero di essere stato chiaro, e che qualcuno mi possa aiutare..

[mau_develop]

lascia perdere, se riesci usa un bridge ma nn avventurarti in qs cose.

M.

[smino89]

Non si potrebbe magari creare una pagina "intermedia" (una pagina php apposita o un plugin o altro) che raccoglie i dati dell'utente (con le classi di joomla) e li passa con un form (campi hidden) all'applicazione??

La mia applicazione si apre in un altra finestra, quindi la sessione di joomla potrebbe comunque restare intatta..

Ovvero, quando l'utente clicca sul link "area riservata", accede ad una pagina che raccoglie i dati dell'utente e, una volta fatto, lo reindirizza all'applicazione vera e propria..

In ogni caso, se mi dite che proprio non si può fare lascio perdere...

[mau_develop]

una pagina "intermedia"
----------------------------------
il problema è proprio quello, i dati di autenticazione che fanno avanti e indietro rischiano proprio il MITM (..mamma che fantasia )

La mia applicazione si apre in un altra finestra, quindi la sessione di joomla potrebbe comunque restare intatta.
--------------------------------------------------------------------------------------------------------------------------------------------------------
questa invece si chiama CSRF

Ovvero, quando l'utente clicca sul link "area riservata", accede ad una pagina che raccoglie i dati dell'utente e, una volta fatto, lo reindirizza all'applicazione vera e propria..
--------------------------------------------------------------------------------------------
e questo potrebbe essere un buon grabbing

....scherzo ovviamente, però stai facendo cose che solitamente vengono osteggiate in quanto solitamente provengono da tentative malevoli.

Il mio "lascia stare" voleva dire che corri il rischio di permettere cose che possono essere sfruttate malevolmente.

Ho creato una mini-applicazione lato web in php, che permette di gestire (inserire, modificare e cancellare) una tabella appositamente creata all'interno del database joomla (la tabella si chiama 'crab', non è utilizzata dal cms...).
------------------------------------------------------------------------------------------------------------------------------------------------
...quindi basta un errore (e su tutto quel "giro" ti garantisco che lo hai fatto) che hai mandato a pallino tutta la sicurezza di joomla, i suoi token i suoi md5 etc.

Il mio consiglio è di seguire un tutorial e scrivere un componente da inserire all'interno di joomla.
Le autorizzazioni avanzate le gestisci con acl e aro

M.

[smino89]

guarda....riflettendoci un attimo hai perfettamente ragione...il rischio è di compromettere la sicurezza...

seguirò il tuo consiglio....proverò a creare un componente..tra l'altro mi pare che "docman" si avvicini molto alla gestione dei permessi che mi serve..

per ora grazie della consulenza...

[giacomobe]

Ciao,
se ti può essere d'aiuto anche io ho avuto a che fare con lo stesso problema.

Ne sono uscito utilizzando l'estensione JUMI per joomla, ovvero un componente che fa eseguire uno script (da cui recuperi nome utente e password dal framework di joomla) e lo passa come variabile globale alla pagina custom in php.

Se vuoi ti posto un esempio più dettagliato..

In realtà mi sono imbattuto nel tuo post perché ho un altro problema.. ho anche io fatto una pagina php custom appunto, scritta con delphi for php da richiamare nel modo detto sopra nel mio sito joomla.
Tutto funziona se non fosse che come clicco sul primo pulsante della mia form (che legge dei dati dal db e li popola sulla pagina) popola e torna subito sulla home page del sito.. qualche suggerimento?

ciao e grazie.

[smino89]

ciao e grazie per la segnalazione.. l'estensione che mi hai indicato mi permetterebbe di utilizzare le classi e le funzioni del framework joomla per recuperare i dati dell'utente, senza dover implementare un componente a parte...potrebbe essere utile..

Riguardo al tuo problema, non conosco delphi for php...istintivamente, se si tratta di un form, credo che il problema sia nell'action..dato che il codice è incorporato nella pagina, prova a mettere come action del form "#SELF" (che però cancella le variabili passate nell'url) oppure addirittura l'url completo della pagina (es. http://www.tuosito.it/index.php?option=com_content&view=category&id=2&Itemid=25 )..

spero di essere stato utile..
ciao

[mau_develop]

da cui recuperi nome utente e password dal framework di joomla e lo passa come variabile globale alla pagina custom in php.
-----------------------------------------------------------------------------------------------------------------

il problema non era riuscire a farlo... col codice si può tutto.... era quanto era sano farlo.
Jumi non ha risolto i problemi

M