Discussion :

[laurentSc]

Bonjour,
souhaitant affecter une authentification à mon site, j'ai vite compris que le mieux serait de faire ça avec un fichier .htaccess et un fichier .htpasswd. Je me suis appuyé sur ce tuto : https://www.securiteinfo.com/conseils/htaccess.shtml et je génère le fichier .htpasswd avec https://www.web2generators.com/apach...sswd-generator.

Mon fichier .htaccess :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user

Mon fichier .htpasswd :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

arnaud:$apr1$d4s3ik0u$A37e7RRm6RkHDrs7vfz2O.

Ces 2 fichiers sont placés à la racine du site. Mais y a aucune authentification. Le site est directement affiché. Où est le bug, SVP ?

[laurentSc]

Bonjour,

le problème est toujours là. Je pense n'avoir pas été assez précis : je n'ai pas de formulaire d'authentification. J'en déduis que le fichier .htaccess n'est pas bon. Peut-on me dire pourquoi ?

[silfun1]

Hello Laurent,

Peux-tu nous montrer l'ensemble de ton fichier .htaccess ?

Si tu n'as mis que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user

Alors, effectivement, il manque des infos pour le serveur Web Apache. Il ne sait pas quelle page , ou quel répertoire tu souhaite protéger.
Tu peux spécifier le répertoire global (celui indiqué dans le paramètre "DocumentRoot"):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Directory /var/www/vhosts/pasdpanique.fr/>
 
AllowOverride none
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user
 
</Directory>

Par contre, évite d'avoir ton fichier .htpasswd au sein de ton site web. Perso je ferai plutôt ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AuthUserFile /var/www/vhosts/.htpasswd_pasdpanique.fr

J'espère que ton site web n'héberge pas de données sensible, et n'est pas ouvert sur le Web. Il faut être conscient que ce type d'authentification est vraiment basique. Il faut au moins mettre un certificat SSL pour passer en "HTTPS".
Sinon, passe au moins en mode Digest (toujours en HTTPS). c'est le même type, mais avec quand même un hachage.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
### Methode Digest
 
# Creation du mot de passe
htdigest -c /var/www/vhosts/.htdigest_pasdpanique.fr "Restricted Access" laurent
 
# on defini le user qui lance le service Apache (ex:www-data) comme proprietaire de ce fichier, afin qu'il puisse le lire
chown www-data:www-data /var/www/vhosts/.htdigest_pasdpanique.fr
# On restreint les droits sur ce fichier, pour plus de securite
chmod 0660 /var/www/vhosts/.htdigest_pasdpanique.fr
 
# Paragraphe à ajouter dans ta configuration apache
 
<Directory /var/www/vhosts/pasdpanique.fr/>
 
AllowOverride none
 
AuthType Digest
AuthName "Restricted Access"
AuthUserFile /var/www/vhosts/.htdigest_pasdpanique.fr
Require valid-user
 
</Directory>

Sil

[ABCIWEB]

Bonjour,
souhaitant affecter une authentification à mon site, j'ai vite compris que le mieux serait de faire ça avec un fichier .htaccess et un fichier .htpasswd.

Oui enfin c'est le plus simple, mais pas le mieux car cela ne te permet pas beaucoup de choses, genre gestion des droits un peu évoluée. Disons que c'est le mieux si cela te suffit mais comme disait silfun1 c'est vraiment basique et il faut prendre des précautions (suivre ses conseils).

[laurentSc]

Hello,
je n'ai pas vu tout de suite vos messages (pourtant, je suis abonné à cette discussion...).

@silfun1 : tout d'abord, je me suis trompé de copier-coller car mon .htaccess est :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/test.pasdpanique.fr/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user

sachant que l'authentification ne doit porter que sur le sous-domaine qui est localisé dans un répertoire du domaine.

Vu cela, j'ai essayé d'adapter ta proposition :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Directory /var/www/vhosts/pasdpanique.fr/test.pasdpanique.fr/>
 
AllowOverride none
AuthUserFile /var/www/vhosts/pasdpanique.fr/test.pasdpanique.fr/.htpasswd
AuthName "arnaud"
AuthType Basic
Require valid-user
 
</Directory>

mais erreur 500. Peux-tu me dire où est l'erreur ?

[laurentSc]

Bonjour,

je poursuis cette discussion sachant que j'ai exactement le même problème...

Je souhaite protéger un répertoire par un mot de passe (afin que les fichiers de ce répertoire ne soient pas visités par les moteurs de recherche). Donc, même si c'est basique, une protection htaccess+htpasswd doit suffire.
Si je commence par ce .htaccess placé dans le répertoire test:

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user

je n'ai aucun formulaire d'authentification.

Alors, me fiant au post #3 de silfun1, j'ai fait :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<Directory /var/www/vhosts/pasdpanique.fr/test/>
 
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user
 
</Directory>

mais toujours aucun formulaire d'authentification. Quelle est mon erreur, SVP ?

[ABCIWEB]

Je souhaite protéger un répertoire par un mot de passe (afin que les fichiers de ce répertoire ne soient pas visités par les moteurs de recherche).

Si c'est uniquement pour éviter que l'on puisse lister les fichiers de ce répertoire, la création d'un fichier index.html dans ce répertoire devrait suffire. Pour aller plus loin, si tu veux que l'on ne puisse pas avoir accès à ces fichiers depuis une adresse internet sans être authentifié, tu peux aussi mettre un .htaccess avec deny from all dans ce répertoire, et faire lire ces fichiers par php avec simplement un header + readfile pour les fichiers image, pdf etc.

Je ne répond pas exactement à ta demande car je ne l'utilise jamais les .htpasswd, donc je passe mon tour pour cette méthode.

[laurentSc]

Merci pour ta réponse. Ce que je souhaite, en effet, c'est éviter de pouvoir accéder aux fichiers du répertoire sans être authentifié. J'ai essayé d'ajouter une ligne deny from all dans mon fichier .htaccess.

Mes 2 essais sont les suivants :

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
<Directory /var/www/vhosts/pasdpanique.fr/test/>
 
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user
deny from all
 
</Directory>

et

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user
deny from all

Mais dans les 2 cas, ça se termine par une erreur 403 : Server Error
403
Forbidden

Par contre, après moults essais,

Code apache :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
AuthUserFile /var/www/vhosts/pasdpanique.fr/httpdocs/test/.htpasswd
AuthName "L'accès à ce répertoire est sécurisé."
AuthType Basic
Require valid-user

fonctionne, donc (pour ce soir en tous cas)