Découper une appli sur plusieurs bases de données

Bonjour à tous

Je suis en train de réfléchir à l'architecture d'une petite appli web en Php/Mysql.

Je souhaiterais découper l'appli suivant le schéma suivant (tout est sur le même serveur hébergement), voir image jointe.
- un premier domaine (URL1) qui héberge l'appli1
- un deuxième domaine (URL2) qui héberge l'appli2
- une base de donnée BDD0 qui gère uniquement la connexion et la validation user/password
- dans le script d'URL1 il y aurait une autre connexion vers la BDD1 et idem pour URL2

Est ce que c'est faisable et ça renforce la sécurité, ou bien est ce que c'est complétement stupide??

Il pourrait aussi y avoir une URL3 avec un accès partiel vers une des deux applis...

-

(Avis perso et pas infaillible) Est-ce que c'est faisable ? Oui. Est-ce que découper renforce la sécurité ? Dans une certaine mesure, et comme bien souvent "tout dépend" de comment c'est réalisé et s'il n'y a pas de faille dans l'ensemble du système. Par exemple si les identifiants des bases de données sont répliqués partout, peu d'intérêt. Si l'authentification (BDD0) se fait par une API qui expose le minimum, c'est mieux. Il y a un bon nombre de services et d'applications construites sur ce principe d'auth externe. Mots clés : SSO, Auth0, IAM, keycloak...

Et l'eau,

Pour le coup, je ne connais pas vraiment cette architecture. Je m'avance peut être un peu trop et je suis de fait à côté de la plaque. Est ce faisable ? Je dirai oui aussi. Je pense que la tâche me parait ardue. en prenant du recul, imaginons que tu veuilles faire un système de partage d'images entres membres. Si tu fais bien les choses, tu auras d'un côté :
sgbd A :
- auth_group
- auth_group_permission
- auth_permission
- auth_user (le strict minimum)
- auth_user_group
- auth_user_permission
- log

sgbd B :
De l'autre côté :
tu pourrais avoir :
- images
- profile (liaison 1 - 1 -> avec des attributs supplémentaires comme la photo, la date de naissance, la fk du user, etc., mais rien qui identifie explicitement le auth_user)
- images_users_like

Par contre, si tu crées un système de contenu visible suivant des droits d'accès, ça doit être plus facile à mettre en place.
sgbd B :
- video
- livres
- article
- etc.
Modifié par niuxe (01 Sep 2021 - 01:41)

Cela ressemble à du SSO, c'est faisable (ici on a du CAS + LDAP derrière)

Pour la sécurité, oui et non.
L'avantage principale, c'est que ton utilisateur n'a besoin que d'un seul login/mot de passe pour aller sur toutes tes applis et qu'il peut passer d'une appli à l'autre de façon transparente.
Pour la sécurité on peut donc espérer qu'il n'utilisera ce couple login/mot de passe que sur tes applis.
L’inconvénient c'est que si il se fait voler son login/mot de passe, le voleur aura accès à toutes tes applis (mais tu pourras changer son password en un seul coup pour toutes les applis)