Protéger une partie de mon site avec .htaccess et .htpasswd

**cedric/copy** · 10/03/2009, 11h55

Bonjour,

Je souhaite protéger une partie de mon site en utilisant les .htaccess et .htpasswd. Mon site est en ASP, est-ce possible.

Si oui, pouvez-vous m'expliquer la procèdure à suivre.

Sinon comment faire pour sécuriser une partie de mon site.

Merci.

Cédric

**roro06** · 10/03/2009, 12h16

Bonjour

les fichiers .htaccess et .htpasswd, si je ne m'abuse, sont des fichiers de config pour Apache, or ASP tourne sous IIS.

Qu'entends-tu par sécuriser un site, et que veux-tu faire exactement, que veux-tu empêcher ?

**cedric/copy** · 10/03/2009, 12h40

Bonjour Roro06,

Voilà, j'ai un site et je compte créer une page gérer mon compte.

Donc je demande une identification de la personne par un mot de passe et un login, afin qu'il accède au contenu de son compte et qu'il puisse faire des modifs (ex : changer son mot de passe, imprimer sa facture...).

Actuellement, j'ai ce bout de code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
 
<%
	Select Case Request("Action")
	Case "","Erreur"
%>
<%
	If Request("Action")="Erreur" Then
		Response.Write("<font color='red'><b>" & Request("login") & "/" & Request("password") & " : DONNÉES D'IDENTIFICATION INCONNUES !!!</b></font>")
	End If	
%>	
 
	<form action="/index.asp" method="post">
		<table width="249">						
			<tr>
				<td width="50%" align="right" nowrap>Votre login</td>
				<td width="50%"><input type="text" name="login" size="20"  style="border-style: solid; border-width: 1"></td>
			</tr>
			<tr>
				<td width="50%" align="right" nowrap>Mot de passe</td>
				<td width="50%"><input type="password" name="password" size="20" style="border-style: solid; border-width: 1"></td>
			</tr>
			<tr>
				<td width="50%" align="right" nowrap></td>
				<td width="50%" colspan="2" align="center" class="Style4">
				<input type="submit" value="Valider" name="Action" style="border-style:solid; border-width:1; background-color: #64FEFD; border-color: #FFFFFF">    										
				<input type="reset" name="Reset" value="Annuler" style="border-style:solid; border-width:1; background-color: #64FEFD; border-color: #FFFFFF">
				</td>
			</tr>								
		</table>
  </form>
 
    <%
	Case "Valider"
		strRequete="SELECT * FROM Tbl_Abonnements WHERE identifiant='" & Request("login") & "' AND motdepasse='" & Request("password") & "'"
		Set RsAbonne=Server.CreateObject("ADODB.Recordset")
		RsAbonne.Open strRequete,Connexion
 
		If RsAbonne.Eof Then
			Response.Redirect "index.asp?Action=Erreur&login=" & Request("login") & "&password=" & Request("password")
		Else
			Session("user")=Session.SessionId
			Response.Redirect "/site/GICM1pages/accueil.asp"
		End If
end Select
%>

ce code ne protége rien. Car si je saisi directement l'adresse suivante
http://guide-congresmedicaux.com/sit...es/accueil.asp, n'importe qui peut y accéder.

Donc il me faut quelque chose de sur.

A+

Cédric.

**roro06** · 10/03/2009, 12h57

Il y a plusieurs possibilités de protéger une page, la première c'est d'utiliser des variables de session

Exemple : dans la page d'identification :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
' après que identification ok
session("identOk")=true
session("login")=Request.form("login")

Puis au début des pages que tu veux protéger :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
if session("identOk")<>true then response.redirect("login.asp")

Petite remarque au passage :

Response.Write("<font color='red'><b>" & Request("login") & "/" & Request("password") & " : DONNÉES D'IDENTIFICATION INCONNUES !!!</b></font>")

On ne fait JAMAIS apparaître un mot de passe en clair, fut-il erroné.

**cedric/copy** · 10/03/2009, 15h02

Bonjour Roro06,

Ok, j'ai appliqué ton exemple et ça marche bien. J'ai modifié mon code afin que le mot de passe et le login ne figurent plus en clair en cas d'erreur. J'ai crée un page de redirection "login.asp" pour ceux qui esssayent d'entrer directement sur le site.

Mais est-il possible de faire évoluer ce code, en y ajoutant un délai (au bout d'une heure de connection le login doit-être réactualisé), ou d'indiquer que M. Dupont est connecté avec la possibilité de se déconnecter...

Merci pour ton aide.

A+
Cédric

**vva** · 10/03/2009, 16h00

tu peux régler cela sur la console IIS en paramétrant le timeout de la connexion mais normalement c'est déjà 20 minutes ce qui veut dire que sans action de la part dde l'utilisateur sa session est close sur le serveur au bout de 20 minutes et les variables seront donc vides et au prochain clic il sera réorienté vers le login

**roro06** · 10/03/2009, 16h58

au bout d'une heure de connection le login doit-être réactualisé

Comme le dit vva, la session va expirer au bout du temps de session par défaut sans action de l'utilisateur.Cela veut dire que tant qu'il surfe sur le site (en fait tant que le serveur reçoit des requêtes), la session n'expirera pas. Cette valeur peut être modifiée par programmation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Session.timeout=60 '(en minutes)

.

Si tu veux qu'il soit déconnecté automatiquement et systématiquement au bout d'une heurre, quelque soit l'activité du client, il faut enregistrer l'heure de la connexion dans une variable de session

Code :

Sélectionner tout - Visualiser dans une fenêtre à part