[Sécurité] authentification http et sous repertoires [Résolu]

arginine · 21/09/2006, 19h05

Bonjour,

Pour restreindre l'accès à une interface d'administration, j'utilse une authentification HTTP via (.htaccess).
voici le code d'authentification:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
<?
$auth = false; // On initialise $auth comme fausse
 
if (isset( $_SERVER['PHP_AUTH_USER'] ) && isset($_SERVER['PHP_AUTH_PW']))
{   $filename = "./pass/.htpasswd";
 
    $fp = fopen( $filename, 'r' );
    $file_contents = fread( $fp, filesize( $filename ) );
    fclose( $fp );
    $lines = explode ( "\n", $file_contents );
    foreach ( $lines as $line ) {
    list( $username, $password ) = explode( ':', $line );
    if ( ( $username == $_SERVER['PHP_AUTH_USER'] ) &&
         ( $password == $_SERVER['PHP_AUTH_PW']) ) {
           $auth = true;
            break; }}
}
 
if ( ! $auth )
{header( 'WWW-Authenticate: Basic realm="Restricted Zone"' );
 header( 'HTTP/1.0 401 Unauthorized' );
 echo 'Accès restreind';
 exit;} 
 
?>

Le fichier (index.php) est dans un repertoire (./admin/) avec plusieurs fichiers et sous repertoires.

Ainsi, si je vais sur www.monsiteweb.com/monscript/admin/index.php ---> j'ai bien la fenetre d'authentification demandant le login/pwd.
Fine !! supper !!

Mon probleme est que si je vais sur www.monsiteweb.com/monscript/admin/panier.php ou sur
http://www.monsiteweb.com/monscript/...tos/photo1.jpg .... ====> point de demande de login/pwd.

Alors question : comment faire pour que l'authentification soit "etendue" a tous les fichiers et sous repertoires du repertoire admin ?

par avance merci,

Francis

Sub0 · 21/09/2006, 22h05

Il s'agit d'une commande dans le fichier htaccess :
http://cchatelain.developpez.com/art...ache/htaccess/

Peut-être serait-il nécessaire de nous montrer son code...

Hephaistos007 · 21/09/2006, 22h35

Ta façon de faire consiste à envoyer au client les entêtes adéquates, par l'intermédiaire du code PHP contenu dans une page. Ainsi, ce mécanisme ne concerne que les pages PHP qui contiennent ce code.
Pour étendre l'authentification à tout un dossier, on place un fichier .htaccess et .htpasswd dans le dossier en question. Ainsi, tu laisses le serveur intercepter les requêtes clientes et retourner automatiquement les entêtes adéquates.

Sub0 · 30/09/2006, 17h23

Ça marche !

21/09/2006, 22h35	#3
Hephaistos007 Membre Expert Inscription : décembre 2004 Messages : 1 303 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 1 303 Points : 1 386 Points : 1 386	Ta façon de faire consiste à envoyer au client les entêtes adéquates, par l'intermédiaire du code PHP contenu dans une page. Ainsi, ce mécanisme ne concerne que les pages PHP qui contiennent ce code. Pour étendre l'authentification à tout un dossier, on place un fichier .htaccess et .htpasswd dans le dossier en question. Ainsi, tu laisses le serveur intercepter les requêtes clientes et retourner automatiquement les entêtes adéquates. __________________ Mieux vaut mobiliser son intelligence sur des conneries que sa connerie sur des choses intelligentes. [SHADOKS] Cours sur la programmation pour SmartPhones Android (Requière la lecture du cours sur la programmation Java)
	00

21/09/2006, 22h05	#2
Sub0 Expert Confirmé Inscription : décembre 2002 Messages : 3 468 Détails du profil Informations personnelles : Sexe : Âge : 39 Informations forums : Inscription : décembre 2002 Messages : 3 468 Points : 3 115 Points : 3 115	Il s'agit d'une commande dans le fichier htaccess : http://cchatelain.developpez.com/art...ache/htaccess/ Peut-être serait-il nécessaire de nous montrer son code...
	00

30/09/2006, 17h23	#4
Sub0 Expert Confirmé Inscription : décembre 2002 Messages : 3 468 Détails du profil Informations personnelles : Sexe : Âge : 39 Informations forums : Inscription : décembre 2002 Messages : 3 468 Points : 3 115 Points : 3 115	Ça marche !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email