[php] Weiterleitung mit push

[M. Tiedemann]

Michael Ziegert schrieb: 
 
>Es sollen zwei Server miteinander kommunizieren, ohne daß Parameter in 
der 
>url sichtbar werden. Parameter ist beispielsweise ein User-ID. Diese ID ist 
>zwar nicht unbedingt sicherheitsrelevant, aber für den User und in 
Proxies 
>soll dieser Parameter nicht sichtbar sein. 
 
Ich glaube zu verstehen. Du möchtest ein zweiseitiges Verhältnis 
zwischen Server A und Client X zu einem dreiseitigen Verhältnis ausbauen, 
an dem Server B beteiligt ist; Server B soll den Request schließlich 
bearbeiten. Dabei sind aber nur zweiseitige Verbindungen möglich - die 
sind allerdings unabhängig voneinander. 
 
Server A kann aus den von Client X übertragenen Daten eine ID 
verifizieren und soll Server B darüber informieren. Es spricht ja nichts 
dagegen, daß dafür "zwei Server miteinander kommunizieren, ohne daß 
Parameter in der url sichtbar werden" - und zwar direkt, da braucht es den 
Client nicht als Vermittler. Server A kann problemlos die ID eines 
unmittelbar bevorstehenden Request an Server B kommunizieren, bevor er den 
Redirect an Client X zurückgibt. Allerdings müßte B vorbereitet sein, 
diese Daten zu erinnern und zuzuordnen. 
 
Eine kleine Unsicherheit ergibt sich durch das Zeitfenster während der 
Laufzeit des Redirect an X und Request-Wiederholung an B - ein zufälliger 
Request von Client Y mit identischen Daten könnte die ID von X 
übernehmen. Das kann eigentlich nicht problematisch sein, da identische 
Request-Daten auch gleichartige Rechte beinhalten. Du müßtest ggf 
sicherstellen, daß gleichartige Requests unterschiedlicher Clients 
niemals datenidentisch sind, etwa indem Du eine Request-ID (nicht identisch 
mit User-ID) als hidden-field im form mitgibst. 
 
Am Aufwand gemessen ist das Preis-Leistungsverhältnis vermutlich 
miserabel, aber als Fingerübung ganz interessant. 
 
Grüße 
 
TJ