Discussion :

[Invité]

Bonjour tout le monde
Je me posais quelques questions dans le cadre de mon stage. Je suis cense developper un petit script php qui doit remplacer le popup de login des .htaccess mais avoir le meme comportement.. c'est a dire authentifier le client aupres d'Apache. En gros, ca donnerait ca :


script.php ____authentification___ .htaccess ___enregistrement___ Apache

La finalite etant donc de substituer un script php a la fenetre des .htaccess tout en gardant l'authentification aupres d'Apache (et non pas du mecanisme de sessions de php)...

Quelqu'un aurait il une idee, ou me suis-je mal exprime ?

Merci d'avance

[_Mac_]

Oui oui, c'est clair. Mais tu es sûr que c'est faisable ? A mon avis non : la petite pop-up, c'est le navigateur qui l'affiche (et donc qui la gère) quand le serveur Web lui renvoie un statut 401 (unauthorized). Alors, quand l'utilisateur clique sur OK, le navigateur construit un en-tête HTTP Authorization qu'il rajoute ensuite à toutes les requêtes qu'il fait sur le serveur. A ma connaissance, on ne peut pas forcer un navigateur à rajouter cet en-tête. Y a peut-être moyen de faire croire à Apache que cet en-tête existe via un module spécifique mais il n'empêche que pour que ce module marche le navigateur doit envoyer au serveur le login et le mot de passe. Et là, y a qu'un cookie (de session ou non) ou des paramètres d'URL/POST qui permettent de le faire.

Tiens, une petite doc qui explique le mécanisme d'authentification basic : http://www.themanualpage.org/http/http_auth_basic.php.

[Invité]

Tout d'abord, merci d'avoir repondu
Concernant le mecanisme d'authentification, j'etais arrive a la meme conclusion...
J'avais pense a eventuellement faire un .htaccess avec une regle MATCH (enfin, l'equivalent FILES en regexp) permettant de bloquer l'acces a tous les fichiers SAUF un index.php qui remplacerait de part son fonctionnement le pop up... Peut etre faire un coup de socket qui jouerait l'intermediaire entre le client et le serveur en "emulant" une connection avec identification ? Genre on recupere les body & post recus du client, on cree notre propre packet qu'on envoie au serveur avec les infos qui vont bien (genre ip, login, pass, toussa toussa) et apres, oh magie, le client n'aurait plus les messages 401 en accedant aux fichiers proteges...?