Discussion :

[splash44]

Bonjour, je fais un site Internet en PHP. J'utilise un script php et mysql pour que mes utilisateurs se connecte. Ils ont acces a des documents qui sont en ligne. Je voudrait proteger ces documents par un .htaccess.
Le probleme est le suivant, je veux que si mon user est connecte, il ne voit pas la fenetre d'authentification du .htaccess (= Passer outre la fenetre d'authentification quand je souhaite)

J'avais pensé a deux solutions, que je n'arrive pas a faire fonctionner :

1/ Utiliser quelque chose comme un require <variable d'environement>, que j'aurai préalablement initialiser lors de la connexion a mon site de mon user.

2/ Utiliser le HTTP_REFERER, si il n'est pas nul alors ok, sinon forbidden. Vu que qi on rentre une url a la main, cette variable d'environnement n'est pas initialiser, je pense que ca doit etre le plus simple.

Voila le souci si quelqu'un peut m'aider, je lui en serai très reconnaissant.

[_Mac_]

De mémoire, je crois que ce n'est pas possible de rendre l'authentification par .htaccess conditionnelle : il n'y a pas de bloc <IfEnv> ou un truc de ce genre dans Apache et les directives d'authentification ne prennent pas de paramètre supplémentaire pour vérifier une condition. J'avais essayé un moment mais sans succès. Il doit y avoir une discussion sur le sujet sur le forum mais je ne la retrouve plus

Peut-être une autre piste : faire une fausse réécriture d'URL vers une extension bidon et mettre les directives d'authentification dans un bloc <FilesMatch> sur cette extension, par exemple. La difficulté c'est de faire en sorte qu'ensuite l'extension bidon n'empêche pas le site de fonctionner, donc il faut sûrement mettre un Options +MultiViews. A tester.

[splash44]

ok merci, ca m'a l'air un peu compliqué ton histoire .
Il n'y a pas de balise <Ifenv> mais il y a le "require env" ou le "allow from env=". Mais bon j'ai pas réussi. Par contre j'ai trouvé une autre solution, c'est pas super mais c'est mieux que rien, voila en gros l'idée :

Mes liens dans mon site du style /doc/machin.txt , je vais les remplacer par doc.php?nom=machin.txt. Dans mon doc.php je pourrai tester si le fichier nécessite une connecion ou pas, et apres faire appel au document. Et dans un fichier .htacces je vais forcer le telechargement. Ainsi les gens ne veront jamais l'url (en bas dans la barre d'état, ou en haut dans la barre d'adresse). Donc apres ca sera au pifometre pour ouvrir un fichier !

Voila tu en pense quoi ?

[_Mac_]

Effectivement, il y a le allow from env, je l'avais oublié celui-là. Dans ce cas, on peut essayer en ajoutant un satisfy any qui dira globalement "si un allow passe (donc celui avec from env), alors pas d'authentification". C'est une bonne idée, à tester.

De toute façon, si tu veux désactiver l'authentification basique selon des critères propres à PHP (variable de session par exemple), tu n'y arriveras pas. Donc le mieux, dans ce cas c'est effectivement de passer par un script PHP (explicitement indiqué dans l'URL ou provenant d'une réécriture) qui vérifie cette variable de session ou le cookie et qui autorise ou non le téléchargement. La difficulté sera de déclencher une authentification basique si le critère n'est pas satisfait : c'est faisable en renvoyant les bons en-têtes HTTP au navigateur mais ce sera aussi à ton script de vérifier que cette authentification est correcte. Autrement dit, tu gères tout par PHP, plus de .htaccess avec des AuthUserFile, etc.

[splash44]

En faite j'ai laissé tomber la solution du script php, en faite je faisait un header(location le probleme c'est que ca ne supporte pas les accents.

Donc par la suite j'ai essayer avec du javascript location.href=, la ca marche, mais en faite en regardant la source de la page on voir l'adresse, donc c'est naze aussi.

J'aimerais persister sur l'idée du htaccess, mais j'ai un peu de mal a comprendre la logique. Est ce que tu pourrait m'aider, je pense que ca doit etre quelque chose du genre ?? :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<LIMIT GET POST>
satisfy any
allow from env=HTTP_REFERER
</LIMIT>

[splash44]

J'ai vu une de tes réponses d'une autre discussion similaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^<a href="http://.*\.monsite\.com/" target="_blank">http://.*\.monsite\.com/</a> [NC]
RewriteRule \.(flv|Flv)$ - [F,NC]
</IfModule>
SetEnvIfNoCase Referer "^https?://([^/]*)?fmonsite\.com/" local_ref=1
SetEnvIf Referer ^$ local_ref=1
 
<FilesMatch "\.(flv|Flv)$">
Order allow,deny
Allow from env=local_ref
</FilesMatch>

Mais moi j'aimerais pour tous les fichiers que il y ai un HTTP_REFERER. Tu crois que tu arriverai a formuler ca en langage .htaccess