Discussion :

[KeKeMaN]

Bonjour,

J'aimerais avoir vos avis / retours d'expérience / expertises sur un projet simple que je voudrais mettre en place.
J'aimerais simplement donner accès à une interface web à des utilisateurs dans lequel ils trouveraient une liste de fichiers leur étant destiné et seulement les leur.
De quel manière peut-on simplement faire ça de manière sécurisé (ok pour la partie formulaire d'authentification) ? Y a-t-il une conf Apache ou des fonctions PHP simples que je pourrais utiliser ?

Merci d'avance

[ABCIWEB]

Tu peux utiliser une table pour assigner à chaque utilisateur une liste de fichiers visibles.

Ensuite pour protéger tes fichiers soit tu les met dans un répertoire protégé (en dehors du www, ou alors dans le www mais dans un dossier protégé par un .htaccess) et seul php pourra lire ces fichiers. Sinon il y a aussi la possibilité d'ajouter un suffixe aléatoire très long au nom du fichier mais dans ce cas cela ne protège pas d'un accès extérieur si quelqu'un venait à connaître le nom d'un fichier.

[bretus]

Bonjour,

Dans le même esprit que ABCIWEB, tu peux générer dès le début une clé pour le fichier "toto.txt" (a1ea484d874e4r23d41) et stocker cet identifiant dans une table (user_file), le nom du fichier et son extension (toto.txt) et l'utilisateur.

Sur le serveur, tu stockes physiquement "a1ea484d874e4r23d41" (éventuellement en faisant des dossier du type "a1" pour éviter d'avoir 200 000 fichiers dans un fichier dans un dossier ce que certains systèmes de fichier n'aime pas).

Après, tu donnes un accès par le web du type :

http://monsite/file/a1ea484d874e4r23d41

où tu simuleras le téléchargement à coup de "header"/"readfile" http://php.net/manual/fr/function.header.php

Niveau sécurité, soit tu considères que la clé est suffisamment secrète, soit tu ajoutes une couche de contrôle au niveau du téléchargement (l'utilisateur est bien le propriétaire du fichier)

Dans tous les cas, ne stockes pas des fichiers avec des noms en clair du type "dis-adieu-ton-site.php" en donnant un accès direct dessus du style http://monsite/file/dis-adieu-ton-site.php

[KeKeMaN]

J'étais parti sur une génération / dépôt automatique des fichiers (un par jour) dans un répertoire home de l'utilisateur.
Après connexion, j'aimerais en gros "chrooter" l'utilisateur et afficher simplement le répertoire (listing apache de base).