CÓMO FUNCIONA PAPI
¿Cómo funciona? - Cookies
PAPI basa su funcionamiento en el uso de tokens, identificadores opacos que se asocian exclusivamente a cada usuario que hace uso del sistema. Estos "tokens" se almacenan en el navegador del usuario en forma de "cokies". Este sistema se encuentra centralizado bajo la URL https://as.uv.es/ (el servidor de identificación de la UV), y obliga al usuario a comunicarse de manera cifrada para mayor seguridad.
¿Cómo funciona? - La aplicación delega la identificación
Cuando un usuario intenta acceder a una aplicación (p.e. "consigna"), la aplicación comprueba si ya le conoce. Si no es así, le manda al servidor de identificación (http://as.uv.es) para que se valide allí.
El servidor de identificación comprueba las credenciales del usuario (usuario/contraseña p.e.) y le devuelve a la aplicación con un "ticket". La aplicación comprueba que ese ticket es válido (comprobando la firma digital del servidor de identificación) y si todo es correcto, abre una sesión para el usuario. Acto seguido, la aplicación le proporciona al navegador del usuario una "llave" para que pueda entrar a partir de ese momento. La "llave" se almacena en un cookie encriptado que sólo puede leer la aplicación:
Name: Lcook Content: GJU2jbBvMk%2B8iIkG3jHqyVWMaU1KluwRBNSI4qvYELxI37%... Domain: .consigna.uv.es Path: / Send For: Any type of connection Expires: At end of session
¿Cómo funciona? - La identificación es única
A la misma vez, el servidor de identificación le ha dado otra llave al navegador del usuario, para que en la siguiente ocasión no tenga que volver a proporcionarle sus credenciales. Esta llave también está encriptada y sólo la puede leer el servidor de identificación:
Name: PAPIAuthNcook Content: l0Kp7t8G%2FCuQhVy245D06ZFLP1qet5sKgCNT8ACT%2BemH3... Domain: .as.uv.es Path: /cgi-bin/ Send For: Any type of connection Expires: At end of session
Fijarse que esta "llave" es válida sólo para el servidor de identificación as.uv.es. Cuando el usuario quiera entrar en otra aplicación asociada con PAPI, la aplicación le mandará al servidor de identificación y éste comprobará dicha "llave". Si es correcta, le mandará sin más a la aplicación con su "ticket".
¿Cómo funciona? - Otros atributos
Asimismo, el servidor PAPI puede proporcionar a la aplicación otros atributos incluidos en su perfil (relación con la Universitat de València, titulación, etc,...) para que la aplicación actué en función de éstos atributos, sin tener que consultarlos por su cuenta. NOTA: esto aún no está implementado.