PHP + HTACCESS - GET, POST ? Fermé

Question

Bonjour,

Je souhaiterai savoir si il est possible de protèger un dossier par htaccess mais tout en utilisant un formulaire (html+php) comme interface d'authentification.

Ce la nous donnerai le shéma suivant :

Page d'authentification -> Protection htaccess transparente -> Page privé souhaitée.

Les mot de passe en clair ne fond pas partis de la problématique, ce n'est donc pas la question de ce post.
Il n'est nulement question de l'opignion concernant la sécurité des connexion par session ou par htaccess.
Ce choix technologique doit absolument être maintenu, nous souhaitons simplement rendre plus digeste l'authentification qui actuellement est double (formulaire + login htaccess).

On est parvenu à garder la seule authentification htaccess qui se décline ensuite en session mais ce n'est pas le formulaire de connexion que l'on veut retirer, mais la fenêtre htaccess ! On garde cette possibilité mais je souhaiterai ne pas avoir à l'envisager ^^

D'avance merci à tous.

gabriel gray · Accepted Answer

Si j'ai bien compris c'est ça que tu cherches : Bienvenue : {$_SERVER['PHP_AUTH_USER']}
"; echo "Ancien : {$_REQUEST['OldAuth']}"; echo "

"; } ?>

P@t@ch0n · Answer

Regarde du côté de auth_digest, si tu as la chance que ce mod soit activé sur ton server.

https://www.php.net/features.http-auth

guismojames · Answer

Bonjour,

Bien que cela ne réponde pas à ma problématique, elle m'a apporté une connaissance technologique supplémentaire que je ne connaissais pas. Je pensais en effet que la fenêtre d'authentification était propre à la technologie htaccess, j'ignorai qu'elle pouvait être appeler depuis php. (du coup sa m'a aider sur un autre problème ^^)

Toutefois, pour préciser ma problématique, j'expose ma situation :

/root
  + /administrator
    - .htaccess
    - .htpasswd
    - index.php
- index.php

Je souhaite passer l'authentification basic de htaccess, sans afficher la fenêtre login/password ! (passer de index de la racine a celui du dossier administrator).

Je souhaiterai donc connaître si cela est réalisable par formulaire html (GET, POST ...) ou via une fonction php quelconque (peut être header(), mais je n'ai pas trouvé).

Si cela n'est pas réalisable, je garderai la fenêtre d'authentification de htaccess, mais je souhaiterai que les utilisateurs connecté sur le site, et ayant les droits d'accès (via session php + mysql) n'est pas a s'authentifier à nouveau pour accéder au dossier administrator !

Ma contrainte est que l'authentification htaccess du dossier administrator ne peut pas être supprimé !

htaccess ne peut-il pas récupérer des variables passés en GET qu'il comparerai dans le but d'une authentification ?
PHP ne peut il pas envoyer le login+password d'une méthode qui permette de franchir de façon transparente cette sécurité ?

guismojames · Answer

Ok,

header('WWW-Authenticate: Basic realm="private"');

En alignant mon "realm" à mon AuthName (dans le fichier htaccess) j'arrive a faire que l'utilisateur se connecte par l'intermédiaire de la fenêtre de conexion que je veux supprimer, et peux a n'importe quel moment franchir le dossier administrator puis se que l'entête http est la bonne !

Je ne gagne rien comparé à le simple fait de m'authentifier par htaccess.

Est il possible de rajouter un login + password directement dans le header ?

header('WWW-Authenticate: Basic realm="private" login="user" pass="password") ?????

P@t@ch0n · Answer

Je ne comprend pas pourquoi tu veux garder ton .htaccess si tu utilises une session.

Alain_42 · Answer

tu peux protéger un dossier par un .htaccess sans authentification par exemple pour empêcher l'accès à des fichiers de configuration

il suffit de mettre seulement 

DenyForAll dans le .htaccess
(vérifies le libellé exact je te mets ça de mémoire)

personne ne pourra ecéder à ce dossier sauf les scripts php pour des include et toi en ftp bien sur

guismojames · Answer

La maîtrise de htaccess n'est pas du tout la problématique !

Moi j'ai une contrainte client, qui est le htaccess (mis à jour et gèré par un CRM tiers), pareil pour la gestion des comptes autorisés...

Se que je souhaite faire, c'est franchir ce htaccess par l'intermédiaire d'un formulaire d'authentification et non par la fenêtre classique de cette technologie !

Je garde la technologie des session, qui est une contrainte de développement, car il nous est plus facile de personnaliser le site au convenance des utilisateur par l'intermédiaire des variable et de mysql.

Seulement, quand le client veux atteindre certain dossier, il doit se ré-authentifier par l'intermédiaire de la boite de dialogue du navigateur pour htaccess, alors qu'il était authentifier sur le site par php.

Ma problématique est d'additionner les deux en toute transparence tout en gardant mon formulaire comme seul et unique moyen de connexion, et non la boite de dialogue du navigateur.

Personnellement, j'ai essayé de pomper les codes du CRM, mais toutes les sources sont cryptés et nécéssitent des clés de licence pour être lisible, se qui nous a déjà coûté une lourde extension sur apache pour rendre le CRM compatible, mais nadat pour reproduire quoi que se soit !!!! HORS LE CRM PARVIENT A FAIRE SE QUE JE SOUHAITE !!! (CRM développer pour mon client et non mutualisé)

Cute-issime · Answer

Bonjour, J'ai le même probleme que toi Guismojames, mes utilisateurs se connecte déjà via un formulaire, ext ( j'utilise des sessions aussi) je voudrais leur épargner une 2em identification au moment du htaccess. Tu as l'aire d'avoir trouver grâce à la réponse de gabriel gray, j'ai donc tenté de m'en inspirer pour mon probleme, mais j'arrive pas a voir en quoi ça aide >< je doit chercher dans la mauvaise direction. J'ai fait qqch dans l'esprit Ici J'espérais que les 2 variables Serveur permettraient la confection via htacess ps : vue mon poste, inutile de vous dire que je début dans l'utilisation de htaccess $: Merci =} ;

guismojames · Answer

Malheureusement, après divers recherche, et surtout, prise de renseignement auprès d'une communauté de professionnels, la manoeuvre tenté est impossible.

Je pensais que renseigner l'entête http (car c'est par ce biais que voyage le login htaccess) cela permettrai d'y intégrer l'authentification et ainsi, me permettrai de franchir htaccess ... Mais non !

PHP ne peut créer une entête complète, la fenêtre d'authentification reste présente, j'ai donc utiliser l'authentification basic derrière SSL et transférer tout cela a une session php.

Une seconde solution consiste dans le passage des variables de sessions par get dans l'url, celle-ci étant ensuite traité directement dans le fichier htaccess. Mais dans ce dernier cas, il faut un serveur apache sur linux compatible full htaccess et modifier efficacement et dynamiquement le(s) fichier(s) de mot de passe. (impossible sous apache/win32, qui est mon environnement d'exécution).

@++

matlamis · Answer

salut! Moi j'ai la solution simple comme bonjour 1) Pour la solution il faut oublier htaccess pour ta page à proteger 2) tu protege ta page avec PHP. 3) solution. Example: A) Dans ton formulaire tu ajoute un INPUT. NB: ton formulaire devrai avoir comme Action="ta_page_à_proteger" et comme Method="Post" Pour ton formulaire C tout. B) Pour ta page à proteger tu ajoute un scripte PHP avant. Vous devez entrer un identifiant et un mot de passe valide pour accéder à cette ressource."; exit; } if (!isset($_POST['un_nom'])==1) { authenticate(); } else { unset ($_POST['un_nom']); } ?> ici ta page bla bla bla............... C tout ta page est protegé avec un User et un mot de passe inconnue. avec le formulaire tu passe sans demande du authentification. pcq le scripte controle s'il ya $_Post['un_nom'] du formulaire. solution touver moi meme. NB: il ne faut pas utiliser htaccess et ta page doit avoir comme extension PHP non html. Voila la solution trouver par moi. Lamis

guismojames · Answer

Bonjour, Cet un vieux sujet de moi même mais vu que j'ai trouvé une solution, je l'expose quand même. Sa peu aider ceux qui souhaiterai réaliser un système similaire. Pour franchir un htaccess sans l'authentification basic par le popup classique : PHP n'est pas du tout la solution. AJAX par contre oui : Dans l'exemple, il suffit d'afficher la page pour être redirigé au bout de 3 secondes var le dossier "admin" que l'on sous entend protègé par .htaccess avec les identifiant "login" et "password". Placer ce petit code dans les balises et voila !!! Testé Chome, IE7 et IE8 uniquement. (a voir pour les autres)

test124 · Answer

http://www.grummfy.com/Authentification_http_et_php-32

PHP + HTACCESS -> GET, POST ?

12 réponses

Discussions similaires