Discussion :

[Djakisback]

Bonjour,
je cherche à sécuriser un dossier via login/passwd en précisant une durée de session, pour plus de sécurité. HTTP Basic ne permet pas de faire cela, les infos sont renvoyées indéfiniment par le client à chaque requête HTTP.
Savez-vous si le protocole HTTP Digest Authentication permet cela et comment ? ou bien peut-être auriez-vous une autre méthode/piste à me transmettre ?
En vous remerciant d'avance.

[_Mac_]

Non, Digest ne le permet pas non plus. Il faut que tu utilises des sessions "applicatives" (avec cookie), genre PHP. Et dans ce cas, il faut faire une page HTML d'authentification.

[Djakisback]

Merci pour l'information
Si quelqu'une connait un module Apache qui permettrait de faire cela, ça m'intéresse.
Sinon effectivement je passerai par le middleware.

[_Mac_]

Tu ne trouveras aucun module Apache qui fait ça : c'est impossible par nature car les mécanismes Basic et Digest ne le permettent pas.

[Djakisback]

En fait j'ai trouvé ceci http://linuxbox.com/tiki/tiki-index....d_auth_timeout mais je me demande effectivement comment ça peut fonctionner vu que tout est géré du côté client. Peut-être en envoyant une 403 à la fin du timeout.

[_Mac_]

Tu peux envoyer une erreur 403 mais dans ce cas la plupart des navigateurs affichera une jolie page "forbidden". Il faudrait plutôt renvoyer un code 401 mais ce n'est pas exclut que des navigateurs se réauthentifient tous seuls sans intervention de l'utilisateur C'est à tester. Au mieux ça réaffiche la pop-up pour demander le mot de passe mais ce n'est pas garanti, et ça ne devrait marcher que pour une authentification basique et pas digest, je pense (c'est d'ailleurs ce que laisse suggérer le module que tu as trouvé).