Version 1 — Septembre 2005 — Dan Hetzel — Version initiale
[Erreur...2]
Pour vérifier l’identité de l’utilisateur, SPIP utilise un mécanisme en 2 étapes :
- Vérification du login. On vérifie que celui-ci existe dans la table des utilisateurs. Si c’est le cas, on passe à la seconde étape.
[Erreur...5]Remarque technique :
Comment s’assure-t-on qu’un tiers, interceptant une version cryptée du mot de passe avec le login en clair ne puisse pas s’authentifier directement ensuite en réenvoyant les même infos ?
[Erreur...7]- le formulaire d’authentification envoie le login, une version encryptée MD5(alea_actuel+password) (variable A), ainsi qu’une version encryptée MD5(alea_futur+password) (variable B).
[Erreur...9][Erreur...10]
Ici nous parlons de deux variables du fichiers mes_options.php3 (à ne pas confondre avec le fichier mes_fonctions.php3) :
- $ignore_remote_user
- $ignore_auth_http
Nous avons d’abord travailler sur la variable $ignore_remote_user
[Erreur...13]« »
AuthType Basic
AuthName "Le message à afficher dans le titre de la boite de dialogue"
AuthUserFile .htpasswd
require valid-user« »
La requête d’un fichier contenu dans ce répertoire ou dans n’importe lequel de ses sous répertoires est alors soumis à la présentation d’un couple login/password valide que doit fournir le navigateur client.
La première fois que votre navigateur demande un tel fichier, Apache répond par un message 401. Le navigateur ouvre alors une boite de dialogue vous demandant de fournir et nom et mot de passe. Puis il renvoie la requête au serveur avec cette fois le couple login/password que vous avez fourni. Apache vérifie que le nom et le mot de passe existe bien dans le fichier .htpasswd. Si c’est le cas il renvoie le fichier demandé.
Lorsque le navigateur demandera à nouveau un fichier depuis ce répertoire, il enverra le couple login/password automatiquement. Si vous fermez le navigateur, ce couple login/password sera perdu.
[Erreur...16][Erreur...17][Erreur...18]Remarques
Spip utilisera la méthode Apache ci-dessus si vous refusez le cookie.
Par ailleurs, vous pouvez à la fois utilisez la méthode standard de Spip tout en demandant à Spip de fabriquer les fichiers .htpasswd et .htpasswd-admin pour gérer l’accès à des répertoires non contrôlés par Spip : statistiques, fichiers à accès restreints, etc. Cependant vous devrez fournir le couple login/password même si vous vous êtes déjà identifiés par la méthode Spip : en effet celle-ci n’est pas extensible à la méthode Apache.
[Erreur...20][Erreur...21]