Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 6 sur 6
  1. #1
    Invité de passage
    Inscrit en
    mars 2007
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : mars 2007
    Messages : 2
    Points : 0
    Points
    0

    Par défaut passer des paramètres login/mot de passe htaccess par un lien php de façon invisible

    passer des paramètres login/mot de passe htaccess par un lien php de façon invisible

    bonjour.

    dans mon site, j'ai un sous-dossier 'doc' comprenant uniquement des pages html (ces pages possèdent plein de liens html entre elles, donc très difficile de les renommer en php pour inclure la vérification de session php, car il faudrait aussi renommer tous les liens dans les pages. en plus, ces pages sont actualisées 2 fois par jour par un logiciel qui fait la mise à jour du dossier 'doc' automatiquement par ftp).
    ce sous-dossier doit être en accès restreint uniquement aux utilisateurs du site.
    donc, j'ai pensé à utiliser un .htacess et un .htpasswd, avec un login unique et un mot de passe unique.

    je souhaite donc, à partir de mon menu, ouvrir mon sous-dossier 'doc', en passant le login et le mot de passe htaccess.
    j'ai essayé:
    <a href="http://login:motdepasse@www.monsite.fr/doc/index.html">consulter les docs</a>
    les 2 problèmes:
    - dans firefox, le passage n'est pas automatique, il ouvre une fenêtre et demande "êtes-vous sûr de vouloir ouvrir cette page avec l'identifiant login ?
    - et surtout: le login/mot de passe apparait en clair dans la source coté client, ce qui n'est pas extra

    donc, je souhaiterais passer le login/mot de passe htaccess de façon invisible et transparente pour le visiteur connecté à travers la session php.

    je voudrais savoir s'il est possible de passer en POST le login mot de passe dans une url, ou à travers la fonction header d'un script php ?

    là, je coince...
    si quelqu'un a une autre stratégie de sécuriser des fichiers html à partir d'une session php, je suis preneur.

    a+
    flo08

  2. #2
    Membre chevronné
    Avatar de gerald2545
    Inscrit en
    février 2003
    Messages
    655
    Détails du profil
    Informations forums :
    Inscription : février 2003
    Messages : 655
    Points : 685
    Points
    685

    Par défaut

    une idée peut-être.
    dans ton ficier htaccess, tu peux faire de l'url rewriting. Je n'en ai pas de connaissance pratique mais je crois que si le nom de tes pages html suit une nomenclature déterminée, tu peux utiliser cette technique pour rediriger la requete de l'utilisateur blabla_1.html vers page.php?page=blabla_1.html.
    et dans ton script page.php tu vérifies ta session?
    ça te semble jouable?
    PS : passer les identifiants dans l'url n'est pas une bonne idée je pense

  3. #3
    Rédacteur/Modérateur
    Avatar de N1bus
    Homme Profil pro Thierry Godin
    Dev. Web & OpenERP
    Inscrit en
    janvier 2003
    Messages
    2 681
    Détails du profil
    Informations personnelles :
    Nom : Homme Thierry Godin
    Âge : 49
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Dev. Web & OpenERP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2003
    Messages : 2 681
    Points : 4 623
    Points
    4 623

    Par défaut

    Si tu protèges un répertoire avec un login/mot de passe par htaccess, tu as juste besoin de mettre un lien vers la page d'accueil de ce répertoire.
    A l'ouverture de cette page, une fenetre de connexion apparaîtra et c'est à l'utilisateur de rentrer les codes.

    http://cchatelain.developpez.com/art...e/htaccess/#L2

  4. #4
    Membre chevronné
    Avatar de gerald2545
    Inscrit en
    février 2003
    Messages
    655
    Détails du profil
    Informations forums :
    Inscription : février 2003
    Messages : 655
    Points : 685
    Points
    685

    Par défaut

    très juste

    mais en relisant le poste du départ j'ai une petite interrogation :
    les utilisateurs du site sont-ils déjà authentifiés (je veus dire avant d'accéder au répertoire doc)?
    Ton but est de ne pas leur demander 1 2eme fois de s'authentifier?

  5. #5
    Invité de passage
    Inscrit en
    mars 2007
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : mars 2007
    Messages : 2
    Points : 0
    Points
    0

    Par défaut

    salut.
    effectivement, les utilisateurs sont déjà authentifiés par un session php.
    et, oui, je voudrais pouvoir consulter le dossier 'doc' sans avoir à re-saisir un login / mot de passe.
    afin que tout Internet ne consulte pas ces données, et comme ces données ne sont pas "top-secret", j'ai pensé à mettre un simple et unique login/ mot de passe en htaccess, et le passer en paramètre lors de l'appel de la page 'doc/index.html'.
    ça marche très bien avec le <a href..... /a>, mais mon problème, c'est que le login / mot de passe est en clair dans la source.
    je voudrais donc passer ce paramètre comme un POST, afin qu'il soit invisible pour l'utilisateur.
    j'ai regardé la redirection en htaccess, mais une fois la redirection faite, quand on clique sur un lien dans la page html (qui renvoit sur une autre page html du dossier 'doc', ça marche plus. je vais quand même creuser dans ce sens...)

    merci pour les infos. je suis testeur de tout autre idée.

    a+
    flo

  6. #6
    Membre chevronné
    Avatar de gerald2545
    Inscrit en
    février 2003
    Messages
    655
    Détails du profil
    Informations forums :
    Inscription : février 2003
    Messages : 655
    Points : 685
    Points
    685

    Par défaut

    tu peux donner des exemples de noms de fichiers html de ron repertoire "doc".
    Ont-ils une nomenclature commune?
    qu'as tu comme redirection dans ton htaccess?

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •