Discussion :

[Yepazix]

Bonjour,

J'ai un petit site en PHP, je voudrais faire une zone dans laquelle il y aurait des documents genre Word et Excel mais qui ne serait pas accessible aux users qui n'ont pas un login et un pass.
Je n'ai aucune idée de comment faire ça.
Pouvez vous m'aider sachant que je ne veut pas faire un truc genre Banque Nationale. Ce sont juste des docs que je n'ai pas envie que tout le monde voit mais rien de vraiment secret.

Merci.

[imikado]

Vous pourriez utiliser un framework php

[mode autopromo]
Vous pouvez utilisez mon framework mkframework

Il y a des tutoriels pour faire une page d'authentification, vous pouvez facilement faire un module CRUD gérant l'upload de fichiers ...

Il y a même des tutoriaux vidéos
http://mkdevs.com/screencasts.html
[mode autopromo]

[bob633]

imikado > Une solution bien compliquée pour une seule page d'authentification

Pourquoi tu ne fais tout simplement pas un petit formulaire pour accéder à cette page ? Soit tous les users ont le même login et pwd que tu leur donnes, auquel cas tu vérifies juste l'exactitude de ces ID, soit ils peuvent s'inscrire auquel cas tu dois faire une page d'inscription. Pour cela tu créés une petite table en base de données et le tour est joué.

Si tu ne sais pas comment faire, tu auras la section PHP pour poser tes questions.

[imikado]

Si c'était juste une page d'authentification, oui

Mais c'est
- une partie authentifié
- un CRUD documentaire
- avec fonction d'upload

C'est un peu plus que ça

[bob633]

Peut-être, mais c'est pas ce qu'il demande

Il demande juste comment restreindre l'accès. Un simple formulaire de vérification suffit pour cela, et éventuellement une page d'inscription. Si sa demande est en effet gérer l'upload, la suppression des fichiers, etc peut-petre qu'une solution de Framework est envisageable. Et encore si son site est déjà développé (certainement même), je trouve ça bancale d'utiliser un dév maison pour une partie, et un framework pour l'autre

[imikado]

Autant pour moi, si c'est juste ça, un simple .htaccess fera l'affaire dans ce cas la

Le .htaccess à mettre dans le répertoire protégé:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
AuthName "Ma partie privée"
AuthType Basic
AuthUserFile "/le/chemin/vers/ton/fichier/deMotDepasse"
Require valid-user

Pour créer un fichier de mot de passe, utiliser la commande htpasswd (d'apache)

[Yepazix]

Bon je crois que je me suis mal expliqué.
J'ai une page qui affiche le contenu d'un dossier.
Par exemple cette page http://www.imagiscene.be/support.php

Si vous la visitez vous voyez plusieurs lignes :
EI-Jerome de Warzee - hautes tensions
EI-Jerome de Warzee - The chauve Must Go One
HS-Couleur cafe - Tours et taxis
(...)

Si vous cliquez sur une ligne vous arrivez sur une page simplifiée ou vous accédez à des images, des pdf des, docs, etc...

Maintenant imaginons que je veuille que certains doc, pdf ou images au lieu d'être visibles pour tous soient secrets.

J'avais pensé dans un premier temps à simplement créer une page au nom super fouillis genre http://www.monsite.be/pagesecrete156...8787987460465/ et bien sur aucun lien vers cette page.
Du coup il aurait fallu pour consulter cette page que l'user connaisse cette adresse fouillis.

Après je me suis dit oui mais :
1/ Si Google référence la page je suis mal.
2/ Si quelqu'un aspire le site, je suis mal aussi.

Du coup j'ai regardé un peu les truc pour contrôler l'accès.
Dans ce cas je peux dire qu'il faut un login et un PASS pour accéder à une page.
Mais ca ne m'aide pas vu que la restriction est sur la page qui va afficher la liste des documents et images mais pas sur les documents et images eux même.

Et donc voila ou j'en suis.
Est ce que vous comprenez mieux ?

Merci en tous cas de votre aide.

[Vil'Coyote]

sois tu effectue une association user / compte avec un htacess ce qui une fois identifier permettrais de limiter l'accès au fichier ayant les droit de l'utilisateur soit un truc tout bête identification, et derrière tu stock tes fichiers en base de données (fichier blob) à cela tu gère une seconde table accès permettant d'indiquer qui peut lire quel document de ta base ....

[imikado]

Ou tu créés une table contenant la liste des fichiers

par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
table docs
- id
- title
- path (chemin vers le fichier)
- user_id (proprietaire du fichier)

Puis pour visualiser un fichier tu fais une page php pour visualiser le fichier

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<?php
$id_doc=(int)$_GET['id'];
//requete pour recuperer le doc en base
if( $oDoc->user_id != $user_id_connecte){
die('acces interdit');
}
//on ouvre le fichier
//peut etre ajouter un header() pour indiquer le type de fichier 
readfile($oDoc->path);exit;

[Yepazix]

Bon, je vais être un peu direct :
Je ne comprends rien !

En fait oui je comprends que mes fichiers doivent être stockés dans une BD et qu'ils sont alors illisibles pour les users et puis que c'est une page PHP qui va les lires.

C'est pas le tout de comprendre le principe, il est clair que c'est TRES largement au dessus de mon niveau et totalement inaccessible à moins d'y consacrer des mois.

Du coup ce que je me demandais c'est s'il n'existe pas des trucs tout faits (même payants) qui permettent d'héberger des documents avec une protection de l'accès ?

Quoi qu'il en soit merci pour vos infos car même si je n'ai pas compris ça à l'air cool et ça servira peut être à d'autres moins cons que moi qui passeront par ici

[imikado]

Si vous souhaitez une solution clé en main, chercher du coté des GED (Gestion Electionique de Document)

Si vous souhaitez le faire, vous pouvez simplement avec le mkframework crééer
une application utilisation l'authentification,
créer une base de donnée pour stocker les documents et leurs adresse
générer un CRUD* pour cette table avec gestion d'upload (ceci en 2 clic)

Plus qu'a modifié le CRUD pour permettre le téléchargement du fichier

*CRUD: Create Read Update Delete : les pages de listage, affichage,edition suppression d'enregistrement en base

[Yepazix]

J'ai trouvé ceci sur Google :

Créer un fichier .htaccess
Sur votre ordinateur, ouvrez le bloc note et coller le texte çi-dessous :
AuthName "Zone protégée de mon serveur pourri"
AuthType Basic
AuthUserFile /volume1/web/proxy/passwd/.htpasswd
Require valid-user
Remplacez le chemin vers .htpasswd par le chemin absolu vers votre .htpasswd [1]. Pour connaitre ce chemin, copiez ce fichier dans le répertoire où vous allez placer le .htpasswd renommez le en chemin.php et taper sur votre navigateur internet l’adresse suivante http://votre_serveur/dosier_contenan...swd/chemin.php il doit vous donner le chemin vers le dossier en question.
Enregistrez avec le nom .htaccess [2], copiez le à la racine du dossier à protéger à l’aide de votre client ftp [3].
Créer un fichier .htpasswd
Tout d’abord vous allez devoir crypter votre mot de passe. Pour cela entrez votre login et votre mot de passe à l’aide de mon outil de cryptage
[4]. Validez, vous obtiendrez ceci par exemple :
login : test
passwd : test
Résultat : test :$1$ujF9HnqF$eGQB40ROy4CLMnnny3fdX0
Copiez le résultat et collez le dans le bloc note. Enregistrez votre fichier avec le nom .htpasswd. Copiez ce fichier à l’aide de votre client ftp sur votre serveur dans le dossier précisé dans le fichier .htaccess .
La protection devrait fonctionner.

Qu'en pensez vous ?

[imikado]

Autant pour moi, si c'est juste ça, un simple .htaccess fera l'affaire dans ce cas la

Le .htaccess à mettre dans le répertoire protégé:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
AuthName "Ma partie privée"
AuthType Basic
AuthUserFile "/le/chemin/vers/ton/fichier/deMotDepasse"
Require valid-user

Pour créer un fichier de mot de passe, utiliser la commande htpasswd (d'apache)

Le htaccess: je l ai proposé plus haut
Et oui ça peut répondre à votre besoin

[Yepazix]

Hello,
J'expérimente un peu ce truc de htaccess.

Ca marche +/-. J'ai réussi à faire en sorte que quand on va au dossier "protégé" www.imagiscene.be/ressources il y a la fenêtre qui s'affiche pour demander le mot de passe.

par contre quand je met le login et le pass j'ai ce message :

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, postmaster@www.imagiscene.be and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

J'ai pourtant bien créé les fichiers comme il faut je crois.
Mon htacces qui se trouve dans le répertoire www.imagiscene.be/ressources est comme ceci :

AuthName "Accès limité"
AuthType Basic
AuthUserFile "http://www.imagiscene.be/.htpasswd"
Require valid-user

J'ai aussi essayé avec AuthUserFile "../.htpasswd".

et à la racine de mon site j'ai un fichier .htpasswd
qui contient juste ceci

admin : test

pourtant quand je tape admin comme login et test comme pass ça ne marche pas :-(

Je dois surement me planter quelque part mais ou ?

D'autre part si je ne me trompe n'importe qui pourrait allez lire mon fichier .htpasswd et du coup connaitre tous mes mots de passe non ? Il y aurait une méthode pour éviter ça ?


Merci :-)

[imikado]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AuthUserFile "http://www.imagiscene.be/.htpasswd"

il faut mettre une adresse locale et non une adresse distante
genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AuthUserFile "monrepertoire/.htpasswd"

ET regarder bien les droits du fichier .htpasswd qu'il soit bien lisible par le user du serveur apache

note: les mots de passe ne doivent pas etre stoquee en clair, passer par htpasswd pour hasher ceux-ci

[Yepazix]

Donc quand je fais

AuthName "Accès limité"
AuthType Basic
AuthUserFile "../.htpasswd"
Require valid-user

Ca devrait être bon non ? puisque je dis ../ ?

Tu dis qu'il faut vérifier les droits pour le server appache. Comment fait on ça ? J'ai été voir dans "permissions" et là j'ai :



Donc je crois que c'est bon niveau permission.

Je me dis donc que le problème doit venir de ce que tu évoque en 3ème lieu :

les mots de passe ne doivent pas etre stoquee en clair, passer par htpasswd pour hasher ceux-ci

Qu'entends tu par là ? Je ne comprends pas ce que ça veut dire passer par htpasswd pour hasher.

Pour finir j'ai encore un autre problème, quand je modifie des trucs je voudrais réessayer de voir si ça marche. J'ouvre donc mon navigateur (chrome) et je tape : www.imagiscene.be/ressources. Et là il me met direct le message d'erreur sans me redemander un LOGIN et un PASS. DU coup pas moyen de réessayer. Je me suis dit que c'était peut être une sorte de cache et j'ai effacé tout l'historique de Chrome mais c'est pareil...

Encore merci de ton aide.

[imikado]

htpasswd est un binaire apache qui permet d'ajouter/modifier un utilisateur apache

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htpasswd fichierHtPassword tonUtilisateur

Il doit etre dans un repertoire bin d'apache

Pour le "cache" des htpassword: change de page (va sur developpez par exemple: aucune page ne doit pointer sur ton site) vide tout cache... ferme le navigateur et rouvre le sur ton site

ps:oui tes droits sont corrects

[imikado]

Je pense à un truc tout bête:
Dans le virtualhost, allowOverride ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Options Indexes FollowSymLinks MultiViews
AllowOverride All

[imikado]

J'ai essayé chez moi: mets le chemin de ton htpassword en absolue et la ca tourne

note: en faisant un tail du fichier de log (/var/log/apache2/error.log je voyais qu'apache n'arrivait pas à ouvrir le fichier htpassword

[error] [client 127.0.0.1] (2)No such file or directory: Could not open password file: /etc/apache2/.htpasswd

[Yepazix]

Pour le cache de Chrome ça marche :-)

Tu dis :

en faisant un tail du fichier de log (/var/log/apache2/error.log je voyais qu'apache n'arrivait pas à ouvrir le fichier htpassword

Je pense donc qu'on peut considérer que le problème vient de là.

Tu dis aussi :

htpasswd est un binaire apache qui permet d'ajouter/modifier un utilisateur apache
(...)
Il doit etre dans un repertoire bin d'apache

Là j'ai un souci ! De ce que j'avais compris htpasswd est un fichier texte qui contient les LOGIN et les PASS sous la forme login : pass et on peut placer ce fichier ou on veut pourvu qu'on indique le chemin d'où il se trouve dans le htacces qu'on place dans le dossier qu'on veut protéger.

De ce que je comprends maintenant :

1/ Le fichier htpasswd n'est pas un simple fichier texte --> comment le générer pour qu'il soit conforme et contienne mes logins et pass ?

2/ Le fichier hpasswd doit être placé à un endroit précis que tu identifie comme le répertoire bin d'apache. --> Je ne suis pas très au fait de la structure des dossiers et fichiers sur un serveur appache, je vois bien les grandes lignes mais dans les faits je me contente de ce qu'OVH met à ma disposition. Lorsque je me LOG sur OVH et que je suis à la racine de cet hébergement je vois :



la j'ouvre généralement www et j'arrive sur ceci :



les dossier qu'on voit correspondent à plusieurs sites.
par exemple dans le dossier jdwphp2 on trouve le site http://www.jeromedewarzee.be
et dans le dossier a_imagiscene on trouve le site http://www.imagiscene.be
C'est pour ce site que je veux faire le répertoire caché qui serait dans le sous dossier www/a_imagiscene/ressources qui est donc accessible par http://www.imagiscene.be/ressources

Bon maintenant il faut que je place le fichier htpasswd dans le bin, oui mais c'est lequel ? De ce que je crois savoir c'est celui qui est tout au début, celui là :

OK mais mon problème c'est que je n'ai pas la moindre idée de quelle adresse introduire pour pointer vers ce dossier "racine".
Si je tape http://espaceimy.cluster010.ovh.net/ je suis déjà dans le www !
Du coup je suis un peu coincé là.

Et pour finir tu dis :

Je pense à un truc tout bête:
Dans le virtualhost, allowOverride ?

C'est quoi le virtualhost ?

Désolé de t'embêter avec des trucs qui doivent surement être hyper simples mais je n'ai encore jamais été confronté à ce genre de chose, j'ai commencé à écrire un peu d'HTML il y a deux ans et depuis j'essaye d'évoluer comme je peux...