Discussion :

[laurentSc]

Bonjour,
souhaitant affecter une authentification à mon site, j'ai vite compris que le mieux serait de faire ça avec un fichier .htaccess et un fichier .htpasswd. Je me suis appuyé sur ce tuto : https://www.securiteinfo.com/conseils/htaccess.shtml et je génère le fichier .htpasswd avec https://www.web2generators.com/apach...sswd-generator.

Mon fichier .htaccess :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user

Mon fichier .htpasswd :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

arnaud:$apr1$d4s3ik0u$A37e7RRm6RkHDrs7vfz2O.

Ces 2 fichiers sont placés à la racine du site. Mais y a aucune authentification. Le site est directement affiché. Où est le bug, SVP ?

[laurentSc]

Bonjour,

le problème est toujours là. Je pense n'avoir pas été assez précis : je n'ai pas de formulaire d'authentification. J'en déduis que le fichier .htaccess n'est pas bon. Peut-on me dire pourquoi ?

[silfun1]

Hello Laurent,

Peux-tu nous montrer l'ensemble de ton fichier .htaccess ?

Si tu n'as mis que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user

Alors, effectivement, il manque des infos pour le serveur Web Apache. Il ne sait pas quelle page , ou quel répertoire tu souhaite protéger.
Tu peux spécifier le répertoire global (celui indiqué dans le paramètre "DocumentRoot"):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Directory /var/www/vhosts/pasdpanique.fr/>
 
AllowOverride none
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user
 
</Directory>

Par contre, évite d'avoir ton fichier .htpasswd au sein de ton site web. Perso je ferai plutôt ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AuthUserFile /var/www/vhosts/.htpasswd_pasdpanique.fr

J'espère que ton site web n'héberge pas de données sensible, et n'est pas ouvert sur le Web. Il faut être conscient que ce type d'authentification est vraiment basique. Il faut au moins mettre un certificat SSL pour passer en "HTTPS".
Sinon, passe au moins en mode Digest (toujours en HTTPS). c'est le même type, mais avec quand même un hachage.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
### Methode Digest
 
# Creation du mot de passe
htdigest -c /var/www/vhosts/.htdigest_pasdpanique.fr "Restricted Access" laurent
 
# on defini le user qui lance le service Apache (ex:www-data) comme proprietaire de ce fichier, afin qu'il puisse le lire
chown www-data:www-data /var/www/vhosts/.htdigest_pasdpanique.fr
# On restreint les droits sur ce fichier, pour plus de securite
chmod 0660 /var/www/vhosts/.htdigest_pasdpanique.fr
 
# Paragraphe à ajouter dans ta configuration apache
 
<Directory /var/www/vhosts/pasdpanique.fr/>
 
AllowOverride none
 
AuthType Digest
AuthName "Restricted Access"
AuthUserFile /var/www/vhosts/.htdigest_pasdpanique.fr
Require valid-user
 
</Directory>

Sil

[ABCIWEB]

Bonjour,
souhaitant affecter une authentification à mon site, j'ai vite compris que le mieux serait de faire ça avec un fichier .htaccess et un fichier .htpasswd.

Oui enfin c'est le plus simple, mais pas le mieux car cela ne te permet pas beaucoup de choses, genre gestion des droits un peu évoluée. Disons que c'est le mieux si cela te suffit mais comme disait silfun1 c'est vraiment basique et il faut prendre des précautions (suivre ses conseils).

[laurentSc]

Hello,
je n'ai pas vu tout de suite vos messages (pourtant, je suis abonné à cette discussion...).

@silfun1 : tout d'abord, je me suis trompé de copier-coller car mon .htaccess est :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/test.pasdpanique.fr/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user

sachant que l'authentification ne doit porter que sur le sous-domaine qui est localisé dans un répertoire du domaine.

Vu cela, j'ai essayé d'adapter ta proposition :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Directory /var/www/vhosts/pasdpanique.fr/test.pasdpanique.fr/>
 
AllowOverride none
AuthUserFile /var/www/vhosts/pasdpanique.fr/test.pasdpanique.fr/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user
 
</Directory>

mais erreur 500. Peux-tu me dire où est l'erreur ?

[laurentSc]

Bonjour,

je poursuis cette discussion sachant que j'ai exactement le même problème...

Je souhaite protéger un répertoire par un mot de passe (afin que les fichiers de ce répertoire ne soient pas visités par les moteurs de recherche). Donc, même si c'est basique, une protection htaccess+htpasswd doit suffire.
Si je commence par ce .htaccess placé dans le répertoire test:

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user

je n'ai aucun formulaire d'authentification.

Alors, me fiant au post #3 de silfun1, j'ai fait :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<Directory /var/www/vhosts/pasdpanique.fr/test/>
 
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user
 
</Directory>

mais toujours aucun formulaire d'authentification. Quelle est mon erreur, SVP ?

[ABCIWEB]

Je souhaite protéger un répertoire par un mot de passe (afin que les fichiers de ce répertoire ne soient pas visités par les moteurs de recherche).

Si c'est uniquement pour éviter que l'on puisse lister les fichiers de ce répertoire, la création d'un fichier index.html dans ce répertoire devrait suffire. Pour aller plus loin, si tu veux que l'on ne puisse pas avoir accès à ces fichiers depuis une adresse internet sans être authentifié, tu peux aussi mettre un .htaccess avec deny from all dans ce répertoire, et faire lire ces fichiers par php avec simplement un header + readfile pour les fichiers image, pdf etc.

Je ne répond pas exactement à ta demande car je ne l'utilise jamais les .htpasswd, donc je passe mon tour pour cette méthode.

[laurentSc]

Merci pour ta réponse. Ce que je souhaite, en effet, c'est éviter de pouvoir accéder aux fichiers du répertoire sans être authentifié. J'ai essayé d'ajouter une ligne deny from all dans mon fichier .htaccess.

Mes 2 essais sont les suivants :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Directory /var/www/vhosts/pasdpanique.fr/test/>
 
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user
deny from all
 
</Directory>

et

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user
deny from all

Mais dans les 2 cas, ça se termine par une erreur 403 : Server Error
403
Forbidden

Par contre, après moults essais,

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user

fonctionne, donc (pour ce soir en tous cas)

[ABCIWEB]

Merci pour ta réponse. Ce que je souhaite, en effet, c'est éviter de pouvoir accéder aux fichiers du répertoire sans être authentifié. J'ai essayé d'ajouter une ligne deny from all dans mon fichier .htaccess.

Comme je te disais plus haut, si tu mets un "deny from all" dans un ".htaccess" ces fichiers ne seront lisibles que par php, et non pas par un accès direct. De plus cette solution était pour remplacer l'authentification par .htpasswd et non pas pour la compléter. Cela supposait que tu fasses une authentification classique avec la définition d'une variable de session pour restreindre l'accès du script php (nécessaire pour lire ces fichiers) à certains utilisateurs.

Enfin bon tu as trouver une solution à ton problème, c'est l'essentiel.

[laurentSc]

OK,
je commence seulement à comprendre le mécanisme : dans un répertoire REPA, on a un fichier avec un formulaire d'authentification et si la réponse est correcte, l'action fait : $_SESSION['connected']=true;, et dans le répertoire REPB, on met un .htaccess avec deny from all (mais rien que ça) et dans le fichier d'entrée (disons index.php) if ($_SESSION['connected']) {/* etc */};, et pour atteindre ce fichier index.php, on met un autre fichier dans le répertoire REPA avec un lien vers index.php. Est-ce ton idée ?

[ABCIWEB]

OK,
je commence seulement à comprendre le mécanisme : dans un répertoire REPA, on a un fichier avec un formulaire d'authentification et si la réponse est correcte, l'action fait : $_SESSION['connected']=true;, et dans le répertoire REPB, on met un .htaccess avec deny from all (mais rien que ça) et dans le fichier d'entrée (disons index.php) if ($_SESSION['connected']) {/* etc */};, et pour atteindre ce fichier index.php, on met un autre fichier dans le répertoire REPA avec un lien vers index.php. Est-ce ton idée ?

Pas tout à fait. Le principe d'un espace administrateur (ou protégé) avec des variables de session est le suivant :
1/ Un formulaire d'authentification placé où tu veux dans ton site, et si la réponse est correcte, tu déclares une variable de session comme tu l'as dit, soit $_SESSION['connected']=true;, et juste à la suite de ce code tu fais une redirection avec un header vers l'adresse d'un fichier php qui la plupart du temps contient un menu avec des liens vers différents fichiers php qui seront protégés par cette variable de session.

2/ Le début typique du code de ces fichiers protégés, qui seront donc lisibles uniquement par ceux qui se sont authentifiés, est le suivant :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php
session_start();
if(!(isset([$_SESSION['connected']) && $_SESSION['connected'] === true)) {
exit('Vous devez être authentifié pour accéder à cette partie du site');// Sort du script en envoyant un message d'erreur si l'utilisateur n'est pas authentifié
}
// ... tout le code qui suit cette condition ne sera donc accessible qu'aux seuls visiteurs authentifiés.

L'avantage de ce principe est que tu peux avoir beaucoup de fichiers protégés à différents endroits de ton site puisque les variables de session sont globales et lisibles depuis n'importe où. C'est plus souple qu'une protection par répertoire qui utilise htpasswd.

____________

Maintenant admettons que tu aies par ailleurs un répertoire nommé IMAGESP qui contient des photos et que tu souhaites que ces photos ne soient visibles que par les seuls visiteurs authentifiés. Tu peux protéger ce répertoire en mettant à l'intérieur de ce répertoire (en plus de tes photos), un fichier .htaccess qui contient la mention deny from all. A partir de maintenant ces photos ne pourront plus êtres lues par un accès direct à ce dossier, ce qui veut dire que les liens de type <img src="IMAGESP/maphoto.jpg"> ne fonctionneront plus, et non plus les adresses de type https://monsite/IMAGESP/maphoto.jpg.

Mais tu peux faire lire ces photos par php avec un header pour spécifier le type de l'entête et un readfile pour les lire. Pour ce faire on utilise un autre fichier php protégé par la variable de session définie lors de l'authentification, qui servira à afficher ces photos. Admettons que tu nommes ce fichier readphotosp.php, il pourra avoir comme contenu le code suivant :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
session_start();
if(!(isset([$_SESSION['connected']) && $_SESSION['connected'] === true)) {
exit;
}
// Récupère la variable get file (chemin vers l'image)
$file = isset($_GET['file'])? $_GET['file'] : null;
// Récupère l'extension
$extension = isset($file) ? pathinfo($file,PATHINFO_EXTENSION) : null;
// Teste l'extension
if(!empty($extension)) {
	$image = true;
	// On défini le header suivant l'extension en minuscule (pour ne pas avoir à tester les variantes en majuscules)
	switch (strtolower($extension))
	{
		case 'jpg' :
		case 'jpeg' : header("Content-Type: image/jpeg");
						break;
		case 'png' : header("Content-Type: image/png");
		 				break;
 
		default : $image = false;
	}
	if($image) {
		readfile($file);
	}
}
// Ce code permettra de lire uniquement des images de type jpg, jpeg et png pour les seuls utilisateurs authentifiés par la variable de session $_SESSION['connected']
?>

Maintenant tu pourras faire afficher les photos de ton répertoire protégé "IMAGESP" depuis n'importe quel fichier de ton site avec un lien de type <img src="readphotosp.php?file=IMAGESP/maphoto.jpg">. Mais pour que l'image s'affiche il faudra que les visiteurs se soient préalablement authentifiés avec ton formulaire d'authentification, sinon ils ne verront rien.

Enfin quand je dis "depuis n'importe quel fichier de ton site", il faudra quand même faire attention à bien cibler le fichier "readphotosp.php" suivant la position de tes fichiers dans ton site. Par contre l'adresse de la variable file=IMAGESP/... restera identique et sera bien celle-ci si ton fichier "readphotosp.php" est au même niveau que le répertoire "IMAGESP" dans l'arborescence de ton site.

Voilà comment l'on peut protéger des scripts php ou même des répertoires avec des variables de session

[laurentSc]

pour cette explication nocturne et détaillée (j'en avais bien besoin)