User Session manuell starten

[thoba]

Hallo,

kann mir jemand einen Tipp geben, wie ich einen User einloggen kann, ohne das dieser Benutzername und Passwort eingeben muss (Session manuell starten)?

Hintergrund der Frage:
1. Daten aus einem RSS Feed werden automatisiert auf Facebook gespostet.
2. Die Einträge enthalten Daten zu einem phpbb Thread als Link.
3. Beim klicken auf einen der Links, landet man auf einer Seite, die die Facebook ID holt.
4. Die Facebook ID wird mit einer Tabelle abgeglichen, die die phpbb User-ID erhält. Es wird also geprüft, ob der Facebook-User im phpbb-Forum existiert. Wenn ja, soll er eingeloggt werden.
5. Wenn der User existiert, wird er mit den Daten aus 2. auf die Seite des entsprechenden Threads in phpbb weitergeleitet.

Mir ist bekannt, dass es diverse mitunter auch sehr umfangreiche Mods für Social-Network-Integration gibt. Diese sind mir jedoch zu komplex, da es sich um ein Forum mit geschlossenem Benutzerkreis handelt. Es soll ausschließlich Facebook nach o.g. Schema verwendet werden und das ganze auch nur für bestehende Accounts, bei denen ich manuell die Facebook ID hinterlegt habe. Eine Registrierung neuer Nutzer ist nicht möglich und soll somit auch nicht über Social-Networks ermöglicht werden.

Kann mir jemand sachdienliche Hinweise zur Problemlösung geben?

[Miriam]

Wenn Du Cookies aktiviert hast und beim Einloggen anhakst, daß Du eingeloggt bleiben möchtest, bist Du eingeloggt, wenn Du eine URL des Forums aufrufst.
Das sollte doch genau das sein, was Du möchtest.

[thoba]

Das ist zwar richtig, Problem an der Sache ist aber, dass die meisten Nutzer in Unternehmensnetzwerken sitzen, in denen Cookies und sonstige Sitzungsdaten des Browsers aufgrund geltender Gruppenrichtlinien nicht lange leben (meistens erfolgt die Löschung beim Schließen des Browsers oder beim Abmelden der Benutzersitzung um Speicher und Traffic beim Laden und Speichern des Profils zu sparen). Insofern nutzen mir die Autologin Cookies nicht viel.

Die meisten Leute checken aber regelmäßig ihr Facebook-Profil, erhalten dort eine Mitteilung über neuste Postings und können diese so direkt im Forum lesen (eine direkte Übermittlung der Beitragsinhalte an Facebook möchte ich aus Datenschutzgründen nicht).

[Miriam]

Ich habe keine Ahnung, wie eine solche FaceBook URL aussieht, die nur vom jeweiligen User aufgerufen werden kann.
Das scheint mir aber eine mehr als unsichere Kiste zu sein.
Du mußt auf jeden Fall die Request URL verifizieren, damit nicht jeder die (dann Fake-FaceBook-) URL per Hand eingeben kann und somit automatisch eingeloggt ist.
Du könntest dann die SID des Users auslesen, dann hast Du schon einmal eine Session, die auch verifiziert war. Das setzt voraus, daß dieser sich einmal eingeloggt hat und ggf. auch die Cookies (für einen AutoLogin) aktiv waren.

Am besten, Du suchst mal nach externem Login. Dort solltest Du zumindest Hinweise finden, wie Du herangehen könntest.

[thoba]

Die URL kann jeder aufrufen. Sie liegt auf meiner Website. Sie leitet dann auf die Facebook-Anwendung weiter, dort muss man dann einmal sein OK für den Zugriff auf seine Facebook Daten geben und sofern man das getan hat, leitet Facebook wieder auf meine Seite zurück und hängt an die URL entsprechende Informationen an, mit denen ich wiederrum einmalig von Facebook die ID, den Namen, etc. abrufen und dann in meinem Script weiterverarbeiten kann.

So unsicher ist es also nicht.