تعاریف کلیدی

1. Automatic Login (ورود خودکار)
   مکانیزمی برای دسترسی به Plesk بدون وارد کردن نام کاربری و رمز عبور مجدد.
2. Session Token (توکن نشست)
   رشته‌ای یکتا که توسط Plesk ایجاد می‌شود و فقط یک‌بار برای ورود معتبر است. (روش توصیه‌شده برای امنیت بیشتر).
3. XML API Request (درخواست XML API)
   فرمتی برای ارسال دستورات مدیریتی به Plesk از طریق اسکریپت‌ها و برنامه‌ها.
4. create_session
   دستور API برای ساخت یک Session Token.
5. rsession_init.php
   اسکریپتی در Plesk که با دریافت Session Token، ورود خودکار کاربر را انجام می‌دهد.
6. success_redirect_url / failure_redirect_url
   آدرس‌هایی برای هدایت مرورگر بعد از ورود موفق یا ناموفق.
7. trustedRedirectHosts
   لیستی از هاست‌هایی که Plesk اجازه می‌دهد به آن‌ها Redirect شود (برای جلوگیری از Open Redirect و مسائل امنیتی).
8. login_up.php3
   فایل لاگین مستقیم به Plesk با ارسال نام کاربری و رمز عبور در URL (روش ناامن).

ورود خودکار به Plesk برای یکپارچه‌سازی مفید است. این قابلیت باعث می‌شود کاربرانی که قبلاً در یک سیستم دیگر وارد شده‌اند، دوباره مجبور به ورود در Plesk نباشند.

برای پیاده‌سازی ورود خودکار، شما باید یک اسکریپت یکپارچه‌سازی (Integration Script) داشته باشید که شامل یک درخواست XML API برای ایجاد یک Session Token باشد. این اسکریپت، کاربر را به یک URL تک‌بار مصرف هدایت می‌کند و به صورت خودکار وارد Plesk می‌شود.

دو روش برای این کار وجود دارد:

1. ✅ استفاده از Session Token (توصیه‌شده)
2. ❌ استفاده از نام کاربری و رمز عبور در URL (ناامن)

🔐 ورود خودکار با Session Token (روش توصیه‌شده)

1. اسکریپت خود را طوری تنظیم کنید که یک Session Token بسازد.
   برای این کار، یک درخواست XML API مانند نمونه زیر ارسال کنید:

<packet version="1.6.9.1">
  <server>
    <create_session>
      <login>admin</login>
      <data>
        <user_ip>192.0.2.1</user_ip>
        <source_server></source_server>
      </data>
    </create_session>
  </server>
</packet>

📌 توضیح پارامترها:

• login → نام کاربری Plesk که باید توکن برای او ایجاد شود (مثل admin، reseller یا customer).
• user_ip → آی‌پی کاربر (به صورت متن ساده یا Base64).
• source_server (اختیاری) → نام هاست مبدا (به صورت Base64).

⚠️ توجه:

• ادمین می‌تواند توکن برای خودش، reseller و مشتریان بسازد.
• reseller می‌تواند برای خودش و مشتریانش بسازد.
• مشتری فقط برای خودش می‌تواند بسازد.

2. ارسال درخواست XML از طریق curl:

curl –kLi \
  -H "Content-Type: text/xml" \
  -H "HTTP_AUTH_LOGIN: admin" \
  -H "HTTP_AUTH_PASSWD: password" \
  -H "HTTP_PRETTY_PRINT: TRUE" \
  -d @request.xml \
  https://<server-hostname-or-ip>/enterprise/control/agent.php

• admin و password → اطلاعات ورود ادمین Plesk
• request.xml → فایلی که درخواست XML در آن ذخیره شده است
• server-hostname-or-ip → آی‌پی یا هاست سرور Plesk

3. پاسخ API شامل Session Token خواهد بود، مثلاً:

<packet version="1.6.9.1">
  <server>
    <create_session>
      <result>
        <status>ok</status>
        <id>df9d386ee5ef13dbcd583c1f616857a2</id>
      </result>
    </create_session>
  </server>
</packet>

📌 مقدار داخل id همان Session Token است.

4. هدایت کاربر به Plesk با Session Token:

https://<server-hostname-or-ip>:8443/enterprise/rsession_init.php?PLESKSESSID=<session_token>&success_redirect_url=<success_redirect_url>&failure_redirect_url=<failure_redirect_url>

• PLESKSESSID → همان Session Token
• success_redirect_url → مسیر بعد از ورود موفق (مثلاً /admin/customer/list)
• failure_redirect_url → مسیر بعد از خروج یا خطا

مثال:

https://192.0.2.1:8443/enterprise/rsession_init.php?PLESKSESSID=df9d386ee5ef13dbcd583c1f616857a2&success_redirect_url=/admin/customer/list

📌 اگر می‌خواهید Redirect به دامنه‌ای غیر از Plesk داشته باشید، باید آن دامنه را در فایل panel.ini اضافه کنید:

[security]
trustedRedirectHosts = example.com,portal.mydomain.com

❌ ورود خودکار با نام کاربری و رمز عبور (روش ناامن)

شما می‌توانید اطلاعات ورود را مستقیماً در URL بفرستید، اما به دلیل خطرات امنیتی این کار توصیه نمی‌شود.

الگوی URL:

https://<server-hostname-or-ip>:8443/login_up.php3?login_name=<login>&passwd=<password>&success_redirect_url=<success_redirect_url>&failure_redirect_url=<failure_redirect_url>

📌 پارامترها:

• login_name → نام کاربری Plesk
• passwd → رمز عبور کاربر
• سایر پارامترها مثل روش قبل

📝 توضیحات تکمیلی

1. چرا Session Token امن‌تر است؟
   چون فقط یک‌بار استفاده می‌شود و در URL رمز عبور کاربر ذخیره نمی‌شود.
2. کاربرد ورود خودکار (SSO – Single Sign-On):
   • یکپارچه‌سازی با پورتال مشتریان
   • یکپارچه‌سازی با سیستم‌های CRM یا Billing (مثل WHMCS)
   • تجربه کاربری بهتر بدون نیاز به ورود چندباره
3. موارد امنیتی مهم:
   • همیشه از Session Token استفاده کنید.
   • Redirect به دامنه‌های غیرمجاز را ممنوع کنید (با trustedRedirectHosts).
   • در صورت استفاده از URL-based login، حتماً HTTPS فعال باشد (رمزگذاری).

کیان پور