passer des paramètres login/mot de passe htaccess par un lien php de façon invisible [Fait]

[flo08]

passer des paramètres login/mot de passe htaccess par un lien php de façon invisible

bonjour.

dans mon site, j'ai un sous-dossier 'doc' comprenant uniquement des pages html (ces pages possèdent plein de liens html entre elles, donc très difficile de les renommer en php pour inclure la vérification de session php, car il faudrait aussi renommer tous les liens dans les pages. en plus, ces pages sont actualisées 2 fois par jour par un logiciel qui fait la mise à jour du dossier 'doc' automatiquement par ftp).
ce sous-dossier doit être en accès restreint uniquement aux utilisateurs du site.
donc, j'ai pensé à utiliser un .htacess et un .htpasswd, avec un login unique et un mot de passe unique.

je souhaite donc, à partir de mon menu, ouvrir mon sous-dossier 'doc', en passant le login et le mot de passe htaccess.
j'ai essayé:
<a href="http://login:motdepasse@www.monsite.fr/doc/index.html">consulter les docs</a>
les 2 problèmes:
- dans firefox, le passage n'est pas automatique, il ouvre une fenêtre et demande "êtes-vous sûr de vouloir ouvrir cette page avec l'identifiant login ?
- et surtout: le login/mot de passe apparait en clair dans la source coté client, ce qui n'est pas extra

donc, je souhaiterais passer le login/mot de passe htaccess de façon invisible et transparente pour le visiteur connecté à travers la session php.

je voudrais savoir s'il est possible de passer en POST le login mot de passe dans une url, ou à travers la fonction header d'un script php ?

là, je coince...
si quelqu'un a une autre stratégie de sécuriser des fichiers html à partir d'une session php, je suis preneur.

a+
flo08

[gerald2545]

une idée peut-être.
dans ton ficier htaccess, tu peux faire de l'url rewriting. Je n'en ai pas de connaissance pratique mais je crois que si le nom de tes pages html suit une nomenclature déterminée, tu peux utiliser cette technique pour rediriger la requete de l'utilisateur blabla_1.html vers page.php?page=blabla_1.html.
et dans ton script page.php tu vérifies ta session?
ça te semble jouable?
PS : passer les identifiants dans l'url n'est pas une bonne idée je pense

[N1bus]

Si tu protèges un répertoire avec un login/mot de passe par htaccess, tu as juste besoin de mettre un lien vers la page d'accueil de ce répertoire.
A l'ouverture de cette page, une fenetre de connexion apparaîtra et c'est à l'utilisateur de rentrer les codes.

http://cchatelain.developpez.com/art...e/htaccess/#L2

[gerald2545]

très juste

mais en relisant le poste du départ j'ai une petite interrogation :
les utilisateurs du site sont-ils déjà authentifiés (je veus dire avant d'accéder au répertoire doc)?
Ton but est de ne pas leur demander 1 2eme fois de s'authentifier?

[flo08]

salut.
effectivement, les utilisateurs sont déjà authentifiés par un session php.
et, oui, je voudrais pouvoir consulter le dossier 'doc' sans avoir à re-saisir un login / mot de passe.
afin que tout Internet ne consulte pas ces données, et comme ces données ne sont pas "top-secret", j'ai pensé à mettre un simple et unique login/ mot de passe en htaccess, et le passer en paramètre lors de l'appel de la page 'doc/index.html'.
ça marche très bien avec le <a href..... /a>, mais mon problème, c'est que le login / mot de passe est en clair dans la source.
je voudrais donc passer ce paramètre comme un POST, afin qu'il soit invisible pour l'utilisateur.
j'ai regardé la redirection en htaccess, mais une fois la redirection faite, quand on clique sur un lien dans la page html (qui renvoit sur une autre page html du dossier 'doc', ça marche plus. je vais quand même creuser dans ce sens...)

merci pour les infos. je suis testeur de tout autre idée.

a+
flo

[gerald2545]

tu peux donner des exemples de noms de fichiers html de ron repertoire "doc".
Ont-ils une nomenclature commune?
qu'as tu comme redirection dans ton htaccess?