Authentification par Htaccess : Déconnexion ?

brieucsbrieucs Member
septembre 2015 modifié dans Entraide
bonjour,
dans le wiki : "Authentification par Htaccess" ,
Dans votre fichier "/core/admin/auth.php", rechercher et remplacer :
if(!empty($_POST) AND !empty($_POST))
Il s'agit de confier l'authentification au mécanisme "htaccess & htpasswd" d'Apache, et de remplacer $_POST par $_SERVER

Mais, une fois dans la partie "administration", la b][em]déconnexion[/em][/b ne marche plus ! il faut fermer le navigateur.
J'essaie de bricoler "/index.php" et "/core/admin/auth.php", mais est-ce que ça vaut le coup ?

Réponses

  • newicnewic Member
    Salut je ne sais pas si c'est très prudent d'utiliser ça,

    je pense que le sujet rejoint l'utilisation des chmod(s) et les problèmes liés à la sécurité.
    on en parle ici http://forum.pluxml.org/viewtopic.php?id=5220

    As tu besoin de cette fonctionnalité ou est ce expérimental ?
  • kowalskykowalsky Member
    Salut,

    doit manquer un morceau dans le wiki, car il y a le code à "rechercher" dans le fichier "auth.php" mais ça ne dit pas par quoi le "remplacer".

    Ce qui explique sans doute que la déconnexion depuis la page admin ne fonctionne pas.

    Si je comprends bien le but est de désactiver le mécanisme d'authentification interne de pluxml pour utiliser celui du serveur apache ; il y a sans doute un soucis au niveau de la gestion de la session authentifiée au niveau du navigateur.
  • brieucsbrieucs Member
    bonjour, merci pour ces remarques.

    @newic : si le blog est protégé par htaccess, il n'y a que ceux à qui a été communiqué un i]login/pw[/i qui connaissent l' URL du blog, ou presque. La sécurité est celle de htaccess, la déconnexion d'une entrée par htaccess ne se fait qu'en fermant complètement le navigateur, en déclenchant un 401, ou se connectant à un autre dossier (autre login) protégé par un autre htaccess. Je ne vois pas à ce niveau le role de chmod, car à travers http, le visiteur apparait comme faisant partie du groupe 'www-data', pour autant que j'aie compris.

    @kowalsky : oui, le wiki est "succinct" ! Le module "auth.php", pour entrer dans l'administration, demande et vérifie un i]login/pw[/i. Il suffit de modifier la vérification, en remplaçant le 'login' par le 'remote-user' et en vérifiant uniquement ce "user", sans s'occuper d'un "pw", déjà controlé par htaccess.
    On bénéficie du niveau de sécurité fourni par htaccess. Bien entendu, seuls les 'remote-user' autorisés dans le blog peuvent entrer dans la partie administration.

    Le problème est la "déconnexion" : dans le cas présent, si un 'user' est dans les tables du blog, il est immédiatement reconnu, donc il n'y a pas de déconnexion , qui devrait être une déconnexion de l'identification par htaccess, ou un mécanisme du blog qui désactive la reconnaissance automatique du "remote-user". Je n'ai pas trouvé comment faire, sans faille.

    Je voulais savoir si quelqu'un avait rencontré le problème, sachant qu'il s'agit en fait de faire un "blog privé", réservé à un groupe délimité de visiteurs connus (un groupe de travail, un club, une gestion d'association, des membres d'une famille, ou d'amis).
  • kowalskykowalsky Member
    @brieucs : Peut-être seras-tu intéressé par le plugin Adhésion qui a l'air de correspondre à ton besoin.
  • brieucsbrieucs Member
    septembre 2015 modifié
    @kowalsky : le plugin em]adhesion[/em fait beaucoup plus de choses que ce dont j'ai besoin, mais à l'occasion, je ferais un test dans mon rasPI. Merci pour cette information sur ce plugin "non officiel" :)
Connectez-vous ou Inscrivez-vous pour répondre.