Cookie & SQL basiertes Authentifizierungssystem

Unser Ansatz basiert auf einer SQL-basierten AUTH-Methode, die Cookies (Tokens) verwendet, da herkömmliche Cookies nicht server- oder domänenübergreifend funktionieren und aus Sicherheitsgründen nicht für Login- oder Session-Funktionen verwendet werden sollten. Hier ist eine Beschreibung, wie unser Ansatz funktioniert:

1. Wenn ein Benutzer auf Domain A / Server 1 einen speziellen Button betätigt, werden Cookies mit eindeutigen Token-Werten erstellt. Diese Token-Werte werden im Browser des Benutzers gespeichert und zusätzlich in einer SQL-Datenbank gespeichert.

2. Anschließend werden diese Token-Werte an Domain B / Server 2 weitergegeben. Dort werden sie erneut überprüft und verifiziert, indem die Datenbank nach dem Token-Wert durchsucht wird.

3. Wenn der Token und das Cookie korrekt sind und in der Datenbank übereinstimmen, wird auch auf Domain B ein identisches Cookie erstellt. Dadurch erfolgt eine Synchronisierung der Cookies zwischen den Domänen. Dieses synchronisierte Cookie kann dann für Sessions, den Login-Prozess oder andere cookiebasierte Funktionen auf Domain B verwendet werden.

Durch diese Methode ermöglichen wir eine sichere und effektive Nutzung von Cookies für Login- und Session-Funktionen, ohne die üblichen Einschränkungen von herkömmlichen Cookies zu haben.

Funktioniert auf allen System / Webseiten. Da keine systemspezifischen Tags / Hooks genutzt werden. Und wäre schnell in ein WordPress Plugin umgewandelt.
Das Auth-System funktioniert aktuell durch die Nutzung von 2 Domains / Servern, es wäre aber möglich noch einen weiteren Server / eine weitere Domain zwischenzuschalten (AUTH-SERVER/AUTH-DOMAIN). Damit die AUTH-Funktionen ausgelagert wird, dann wäre eine mehrfache Verschlüsselungen möglich, welche eine extrem hohe Sicherheit bieten würden.

Domain / Server 1

<!DOCTYPE html>
<!--
Name: HNP Cookie & Token Auth-System
Description: Erstellt ein Cookie-basiertes SQL Authentifizierung-System. Domain- und Serverübergreifend.
Author: Homepage-nach-Preis
Version: 1.0
Author URI: https://homepage-nach-preis.de/
License: Creative Commons Non-Commercial - CC-NC 4.0
-->
<html>
<head>
    <title>HNP Auth-System</title>
</head>
<body>
    <h2>HNP Cookie & Token Auth-System</h2>
<?php

// Funktion zum Generieren eines Tokens
function hnp_generate_token() {
    $token = bin2hex(random_bytes(32)); // Generiert einen zufälligen Token-Wert

    // Zeige Error Logs
    ini_set('display_errors', 1);
    ini_set('display_startup_errors', 1);
    error_reporting(E_ALL);

    // Überprüfen, ob das Cookie bereits gesetzt ist
    if (isset($_COOKIE['hnp_auth_token'])) {
        $cookieToken = $_COOKIE['hnp_auth_token'];
        echo "Das Cookie 'hnp_auth_token' ist bereits gesetzt.";
        hnp_redirectWithToken($cookieToken); // Weiterleitung zur Ziel-Domain mit dem vorhandenen Token-Parameter
        return; // Abbruch der Funktion, wenn das Cookie bereits gesetzt ist
    }

    // Speichern des Tokens in der MySQL-Datenbank auf der Auth-Domain
    $dbHost = 'XXXXXXXXXXXXXX'; // Hostname der MySQL-Datenbank auf der AUTH-Domain
    $dbUser = 'XXXXXXXXXXXXXX'; // Benutzername der MySQL-Datenbank
    $dbPass = 'XXXXXXXXXXXXXX'; // Passwort der MySQL-Datenbank
    $dbName = 'XXXXXXXXXXXXXX'; // Name der MySQL-Datenbank

    // Verbindung zur MySQL-Datenbank herstellen
    $conn = new mysqli($dbHost, $dbUser, $dbPass, $dbName);

    // Überprüft die Verbindung auf Fehler
    if ($conn->connect_error) {
        die('Verbindungsfehler zur MySQL-Datenbank: ' . $conn->connect_error); // Beendet das Skript und zeigt die Fehlermeldung an
    }

    // Tabelle erstellen, falls sie nicht existiert
    hnp_create_hnp_tokens_table($conn);

    // SQL-Befehl zum Einfügen des Tokens in die Datenbank
    $sql = "INSERT INTO hnp_tokens (token) VALUES ('$token')";

    // Führt den SQL-Befehl aus
    if ($conn->query($sql) === TRUE) {
        // Cookie mit dem Token erstellen
        setcookie('hnp_auth_token', $token, [
            'expires' => time() + 3600,
            'path' => '/',
            'domain' => 'DOMAIN-A.COM',
            'secure' => true,
            'httponly' => true,
            'samesite' => 'None' // Hier wird das SameSite-Attribut auf "None" gesetzt
        ]);
        echo 'Cookie mit dem Token wurde erstellt und in die Datenbank gespeichert.';
        hnp_redirectWithToken($token); // Weiterleitung zur Ziel-Domain mit dem neuen Token-Parameter
        exit;
    } else {
        die('Fehler beim Speichern des Tokens in der Datenbank: ' . $conn->error); // Beendet das Skript und zeigt die Fehlermeldung an
    }

    // Schließe die Verbindung zur MySQL-Datenbank
    $conn->close();
}

// Funktion zum Erstellen der Tabelle 'hnp_tokens'
function hnp_create_hnp_tokens_table($conn) {
    $tableName = 'hnp_tokens';

    // SQL-Befehl zum Erstellen der Tabelle, falls sie nicht existiert
    $sql = "CREATE TABLE IF NOT EXISTS $tableName (
                id INT(11) UNSIGNED AUTO_INCREMENT PRIMARY KEY,
                token VARCHAR(64) NOT NULL
            )";

    // Führt den SQL-Befehl aus
    if ($conn->query($sql) === TRUE) {
        echo 'Die Tabelle ' . $tableName . ' wurde erfolgreich erstellt oder existiert bereits.';
    } else {
        die('Fehler beim Erstellen der Tabelle ' . $tableName . ': ' . $conn->error); // Beendet das Skript und zeigt die Fehlermeldung an
    }
}

// Funktion zur Weiterleitung zur Ziel-Domain mit dem Token-Parameter
function hnp_redirectWithToken($token)
{
    header('Location: https://DOMAIN-B.COM/index.php?token=' . urlencode($token));
    exit;
}

// Funktion zur Weiterleitung zur Ziel-Domain mit einem ungültigen Token
function hnp_redirectWithInvalidToken()
{
    // Generiere einen ungültigen Token-Wert
    $invalidToken = bin2hex(random_bytes(32));

    // Leite zur Ziel-Domain mit dem ungültigen Token weiter
    header('Location: https://DOMAIN-B.COM/index.php?token=' . urlencode($invalidToken));
    exit;
}

// Funktion zum Löschen des Cookies
function hnp_deleteCookie() {
    setcookie('hnp_auth_token', '', time() - 3600, '/', 'DOMAIN-A.COM', true, true); // Löscht das Cookie
    echo 'Cookie wurde gelöscht.';
    sleep(0); // Wartezeit von 0 Sekunden
    hnp_redirectWithDelay(0); // Weiterleitung zur selben Seite
}

// Funktion zur Weiterleitung zur selben Seite nach einer Verzögerung
function hnp_redirectWithDelay($delay) {
    $redirectUrl = $_SERVER['REQUEST_URI'];
    header("Refresh: $delay; url=$redirectUrl");
    exit;
}

// Überprüfen, ob der Button zum Generieren des Tokens geklickt wurde
if (isset($_POST['generate_token'])) {
    hnp_generate_token();
}

// Überprüfen, ob der Button zum Löschen des Cookies geklickt wurde
if (isset($_POST['delete_cookie'])) {
    hnp_deleteCookie();
}

// Überprüfen, ob der Button zur Weiterleitung mit ungültigem Token geklickt wurde
if (isset($_POST['redirect_with_invalid_token'])) {
    hnp_redirectWithInvalidToken();
}
?>

<?php
if (isset($_COOKIE['hnp_auth_token'])) {
    echo "Das Cookie 'hnp_auth_token' wurde gesetzt oder ist bereits vorhanden.";
} else {
    echo "Das Cookie 'hnp_auth_token' wurde nicht gefunden.";
}
?>

<!-- Formular mit Button zum Generieren des Tokens -->
<?php if (!isset($_COOKIE['hnp_auth_token'])) { ?>
<h4> Dieser Button wird nur angezeigt, falls das Cookie/ der Token noch nicht vorhanden ist: </h4>
<form method="post">
    <input type="hidden" name="generate_token" value="1" />
    <input type="submit" value="Token generieren" />
</form>
<?php } else { ?>
<h4> Diese Button werden nur angezeigt, falls das Cookie / der Token bereits vorhanden ist: </h4>
<form method="post">
    <input type="hidden" name="delete_cookie" value="1" />
    <input type="submit" value="Cookie löschen" />
</form>
</br><form method="post">
    <input type="hidden" name="redirect_with_token" value="1" />
    <input type="submit" value="Weiter" />
</form>
<?php }

// Überprüfen, ob der Button zur Weiterleitung mit Token geklickt wurde
if (isset($_POST['redirect_with_token'])) {
    hnp_redirectWithToken($_COOKIE['hnp_auth_token']);
}
?>
<h4> Ungültiger Token: </h4>
<p>Hierbei wird versucht eine Anfrage zu manipulieren, indem ein Token simuliert wird und eine korrekte Anfrage gestartet wird. Das System erkennt aber, dass der Token-Wert ungültig ist, weil er nicht in der Datenbank ist</p>
<form method="post">
    <input type="hidden" name="redirect_with_invalid_token" value="1" />
    <input type="submit" value="Weiter mit ungültigem Token" />
</form>
</body>
</html>

Domain / Server 2

index.php

<!DOCTYPE html>
<!--
Name: HNP Cookie & Token Auth-System
Description: Erstellt ein Cookie-basiertes SQL Authentifizierung-System. Domain- und Serverübergreifend.
Author: Homepage-nach-Preis
Version: 1.0
Author URI: https://homepage-nach-preis.de/
License: Creative Commons Non-Commercial - CC-NC 4.0
-->
<html>
<head>
    <title>HNP Auth-System</title>
</head>
<body>
    <h2>HNP Cookie & Token Auth-System</h2>
	
<?php

function checkTokenAndSetCookie() {
    if (isset($_GET['token'])) {
        $token = $_GET['token'];

        // Zeige Error Logs
        ini_set('display_errors', 1);
        ini_set('display_startup_errors', 1);
        error_reporting(E_ALL);

        // Überprüft den Token in der Datenbank
        $dbHost = 'XXXXXXXXXXXXXX'; // Hostname der MySQL-Datenbank auf der AUTH-Domain
        $dbUser = 'XXXXXXXXXXXXXX'; // Benutzername der MySQL-Datenbank
        $dbPass = 'XXXXXXXXXXXXXX'; // Passwort der MySQL-Datenbank
        $dbName = 'XXXXXXXXXXXXXX'; // Name der MySQL-Datenbank

        // Verbindung zur MySQL-Datenbank herstellen
        $conn = new mysqli($dbHost, $dbUser, $dbPass, $dbName);

        // Überprüft die Verbindung auf Fehler
        if ($conn->connect_error) {
            die('Verbindungsfehler zur MySQL-Datenbank: ' . $conn->connect_error);
        }

        // Überprüft den Token in der Datenbanktabelle
        $tableName = 'hnp_tokens'; // Name der Tabelle, in der die Tokens gespeichert sind
        $sql = "SELECT * FROM $tableName WHERE token = '$token'";

        // Führt die Datenbankabfrage aus
        $result = $conn->query($sql);

        // Überprüft das Ergebnis der Datenbankabfrage
        if ($result && $result->num_rows > 0) {
            // Token ist gültig, erstellt das Cookie
            setcookie('hnp_auth_token', $token, [
                'expires' => time() + 3600,
                'path' => '/',
                'domain' => 'DOMAIN-B.COM',
                'secure' => true,
                'httponly' => false,
                'samesite' => 'None' // Hier wird das SameSite-Attribut auf "None" gesetzt
            ]);

            echo 'Authentifizierung erfolgreich. Bitte warten Sie...';

            // JavaScript-Weiterleitung nach 3 Sekunden
            echo '<script>
                    setTimeout(function() {
                        window.location.href = "index.html";
                    }, 3000);
                  </script>';

            exit;
        } else {
            echo 'Ungültiger Token oder Token nicht gefunden. Authentifizierung fehlgeschlagen.';

            // Button "Trotzdem weiter"
            echo '<button onclick="window.location.href = \'index.html\';">Trotzdem weiter</button>(Nicht vegessen, den Logout zuvor zu betätigen, falls bereits eine erfolgreiche Authentifizierung stattfand)';

            // Button "Zurück"
            echo '<button onclick="window.history.back();">Zurück</button>';
        }

        // Schließt die Verbindung zur MySQL-Datenbank
        $conn->close();
    } else {
        echo 'Token-Parameter fehlt.';
    }
}

// Funktion aufrufen
checkTokenAndSetCookie();
?>
</body>
</html>

index.html

<!DOCTYPE html>
<!--
Name: HNP Cookie & Token Auth-System
Description: Erstellt ein Cookie-basiertes SQL Authentifizierung-System. Domain- und Serverübergreifend.
Author: Homepage-nach-Preis
Version: 1.0
Author URI: https://homepage-nach-preis.de/
License: Creative Commons Non-Commercial - CC-NC 4.0
-->
<html>
<head>
    <title>HNP Auth-System</title>
</head>
<body>
    <h2>HNP Cookie & Token Auth-System</h2>

    <script>
        // Token aus dem Cookie lesen
        var token = document.cookie.replace(/(?:(?:^|.*;\s*)hnp_auth_token\s*=\s*([^;]*).*$)|^.*$/, "$1");

        // Überprüft den Token in der Datenbank
        var xhr = new XMLHttpRequest();
        xhr.open('GET', 'https://DOMAIN-B.COM/index.php?token=' + encodeURIComponent(token), true);
        xhr.onload = function() {
            if (xhr.status === 200 && xhr.responseText.includes('Authentifizierung erfolgreich')) {
                // Überprüfung erfolgreich, zeige "Erfolgreich eingeloggt" und Logout-Button
                var successMessage = document.createElement('p');
                successMessage.textContent = 'Erfolgreich eingeloggt';
                document.body.appendChild(successMessage);

                var logoutButton = document.createElement('button');
                logoutButton.textContent = 'Logout';
                logoutButton.onclick = logout;
                document.body.appendChild(logoutButton);

                document.body.appendChild(document.createElement('br'));
                document.body.appendChild(document.createElement('br'));

                var authDomainButton = document.createElement('button');
                authDomainButton.textContent = 'Zur Auth-Domain';
                authDomainButton.onclick = redirectToAuth;
                document.body.appendChild(authDomainButton);
            } else {
                // Überprüfung fehlgeschlagen, zeige "Login fehlgeschlagen"
                var errorMessage = document.createElement('p');
                errorMessage.textContent = 'Login fehlgeschlagen oder ausgeloggt.';
                document.body.appendChild(errorMessage);

                document.body.appendChild(document.createElement('br'));
                document.body.appendChild(document.createElement('br'));

                var authDomainButton = document.createElement('button');
                authDomainButton.textContent = 'Zur Auth-Domain';
                authDomainButton.onclick = redirectToAuth;
                document.body.appendChild(authDomainButton);
            }
        };
        xhr.send();

        function logout() {
            // Löschen des hnp_auth_token Cookies
            document.cookie = 'hnp_auth_token=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/; domain=DOMAIN-B.COM; secure';

            // Weiterleitung zur Startseite oder einer anderen Seite nach dem Logout
            window.location.href = "index.html";
        }

        function redirectToAuth() {
            // Weiterleitung zur Auth-Domain
            window.location.href = "https://DOMAIN-A.COM/";
        }
    </script>
</body>
</html>

Kostenloser Download:

Es müssen lediglich die Datenbank-Verbindungsdaten und die Platzhalter für Domain-A und Domain-B ausgetauscht werden. Anschließend ist das AUTH-System bereits voll nutzbar.
Zu beachten ist, weitere Sicherheitsfunktionen sollten hinzugefügt werden, wie zum Beispiel eine Verschlüsselung der Cookie/Token Daten.

Optional: Ansätze für Erweiterungsmöglichkeiten

Datenbank Daten Dauer:
Aktuell ist der Token / das Cookie eine Stunde im Browser des Besuchers gültig. Also eine Session von einer Stunde. In der Datenbank bleiben die Daten aber dauerhaft, damit diese aber auch nach einer Stunde gelöscht werden:

// Generiere das Ablaufdatum (1 Stunde ab dem aktuellen Zeitpunkt)
$expirationDate = date('Y-m-d H:i:s', strtotime('+1 hour'));

// SQL-Befehl zum Einfügen des Tokens mit dem Ablaufdatum in die Datenbank
$sql = "INSERT INTO hnp_tokens (token, expiration_date) VALUES ('$token', '$expirationDate')";

Verschlüsselung / Entschlüsselung der Token-Daten:

// Funktion zum Verschlüsseln eines Tokens
function encryptToken($token, $encryptionKey) {
    $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length('AES-256-CBC')); // Initialisierungsvektor generieren
    $encryptedToken = openssl_encrypt($token, 'AES-256-CBC', $encryptionKey, 0, $iv); // Token verschlüsseln
    return base64_encode($iv . $encryptedToken); // Verschlüsselten Token codieren und zurückgeben
}

// Funktion zum Entschlüsseln eines Tokens
function decryptToken($encryptedToken, $encryptionKey) {
    $encryptedToken = base64_decode($encryptedToken); // Codierten Token decodieren
    $ivLength = openssl_cipher_iv_length('AES-256-CBC');
    $iv = substr($encryptedToken, 0, $ivLength); // Initialisierungsvektor extrahieren
    $encryptedToken = substr($encryptedToken, $ivLength); // Verschlüsselten Token extrahieren
    $decryptedToken = openssl_decrypt($encryptedToken, 'AES-256-CBC', $encryptionKey, 0, $iv); // Token entschlüsseln
    return $decryptedToken; // Entschlüsselten Token zurückgeben
}

// Beispiel zur Verwendung der Funktionen
$encryptionKey = 'myEncryptionKey123';
$token = 'myToken123';

$encryptedToken = encryptToken($token, $encryptionKey);
echo 'Verschlüsselter Token: ' . $encryptedToken . '<br>';

$decryptedToken = decryptToken($encryptedToken, $encryptionKey);
echo 'Entschlüsselter Token: ' . $decryptedToken . '<br>';

$_POST anstatt $_GET nutzen
Der Unterschied zwischen $_POST und $_GET liegt in der Art und Weise, wie die Daten an den Server übermittelt werden.

$_POST:

    Die Daten werden über den HTTP-POST-Request an den Server gesendet.
    Die Daten sind im Body des Requests enthalten und werden nicht in der URL angezeigt.
    Geeignet für das Senden sensibler oder umfangreicher Daten, z.B. bei Formulareingaben wie Passwörtern, Texten oder hochgeladenen Dateien.
    Die Daten können im PHP-Skript über das $_POST-Array abgerufen werden.

$_GET:

    Die Daten werden über den HTTP-GET-Request an den Server gesendet.
    Die Daten werden als Teil der URL in der Adressleiste des Browsers angezeigt.
    Geeignet für das Senden von einfachen und nicht sensitiven Daten, z.B. Suchanfragen oder Parameter für Seitenaufrufe.
    Die Daten können im PHP-Skript über das $_GET-Array abgerufen werden.

Logik & Points erweitern

Roadmap (kommt bald):

Version 1.1

Neue Funktionen:
- OpenSSL Verschlüsselung für Token & Cookie
- Token wird auch automatisch aus der Datenbank enfternt
- CSS Styling

Version 1.2

Neue Funktionen:
- Logik erweitern auf 4 Points (also zusätzliche index.html für Entry Point)
- CSS Styling erweitern

Version 1.3

Neue Funktionen:
- Optionalen AUTH Server / AUTH Domain MID Point hinzufügen
- Weitere Verschlüsselung mit weiteren Verschlüsselungsverfahren

Version 2.0

Neue Funktionen:
- Finales Styling
- $_POST anstatt $_GET nutzen
- Weitere / zusätzliche Daten können "mitgesendet" werden (wie Usernamen, Passwörter, Alter usw)
- Zusätzliche Daten werden verschlüsselt