[Sécurité] Déconnexion après authentification HTTP [FAQ]

**Olish** · 05/12/2005, 20h35

Bonjour à toutes et à tous!

Voilà pour mon site personnel, j'ai mis en place des authentifications HTTP. Seulement je ne sais pas vraiment comment déconnecter un utilisateur avec ce genre d'authentification. J'ai bien essayé de remplacer le contenu des variables globales $_SERVER["PHP_AUTH_USER"] et $_SERVER["PHP_AUTH_PW"] par des chaînes vides mais cela ne fonctionne pas. Je n'ai même pas de message d'erreur.

Quelqu'un peut-il m'aider?

Merci beaucoup.

**Zenol** · 05/12/2005, 20h41

Audentification HTTP, tu parle de POST et de get?
Dans ce cas ne cherche plus : $_POST & $_GET

Sinon il existe aussi $_COOKIE et $_SESSION ^^
Je croi que tu peut trouver quelque chose dessu dans la faq

**Olish** · 05/12/2005, 20h51

En effet, autant pour moi. Il convient de préciser que j'ai un serveur Apache et que mes fichiers sont gardés par un des fichiers du type .htaccess ... L'authentification se fait par une boîte de dialogue et elle est gérée par le serveur seul. Aucun script PHP n'intervient.

**Zenol** · 05/12/2005, 20h54

Alors la c'est plus du cotée d'apache quil faut se tourner. Peutètre utiliser une commande... La fason la plus silmple serais de rediriger vers une page externe au répertoire, ce qui devrais couper la connection.(mais je ne suis pas sur)
Je suis désoler mais je ne connais pas vraiment de solution.

**Olish** · 05/12/2005, 20h57

Non la redirection vers une page quelconque ne coupe la connexion. L'utilisateur est toujours connecté est peu retourner dans le répertoire...

**Mr N.** · 06/12/2005, 08h17

Il faut envoyer un header 403

**franculo_caoulene** · 06/12/2005, 09h33

Salut,

Il n'y a pas de moyen fiable. Même avec l'erreur 403 avec Firefox tu resteras connecté. Pour gérer correctement la déconnexion il faut plutôt utiliser les sessions.

**Mr N.** · 06/12/2005, 09h39

pardon c'est 401 ^^

**Mr N.** · 06/12/2005, 09h40

Démonstration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
 
if (!isset($_SERVER['PHP_AUTH_USER']) || isset($_REQUEST['logout'])) {
   header('WWW-Authenticate: Basic realm="My Realm"');
   header('HTTP/1.0 401 Unauthorized');
   echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
   exit;
} else {
   echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
   echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
   echo '<a href="'.$_SERVER['PHP_SELF'].'">continuer</a> | <a href="'.$_SERVER['PHP_SELF'].'?logout">deconnexion</a>';
}
 
?>

ou encore :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
 
if (!isset($_SERVER['PHP_AUTH_USER'])) {
   header('WWW-Authenticate: Basic realm="My Realm"');
   header('HTTP/1.0 401 Unauthorized');
   echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
   exit;
} else {
    if (isset($_REQUEST['logout'])) {
        header('HTTP/1.0 401 Unauthorized');
        echo 'Vous êtes déconnectez !';
        exit;
    }
    echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
    echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
    echo '<a href="'.$_SERVER['PHP_SELF'].'">continuer</a> | <a href="'.$_SERVER['PHP_SELF'].'?logout">deconnexion</a>';
}
 
?>