Version complète: sur le forum Webmaster Hub : Probleme etrange d'authentification
Webmaster Hub > Création et exploitation de Sites Internet > Les langages du Net > PHP
destroyedlolo
lundi 30 avril 2007 à 12:23
Bonjour,

J'ai un probleme plutot etrange :
J'ai une page qui est authentifiee grace a un simple .htaccess comme suit :
CODE
AuthUserFile /quelquepart/.htpasswd
AuthType Basic

AuthName "Mais qui etes vous"
require valid-user


Maintenant, j'ai des utilisateurs qui partagent le meme PC et il faudrait donc qu'ils puissent changer d'utilisateur sans fermer le navigateur.
J'ai donc ajouter un lien comme suit :
CODE
<div class='admin zdroite centre encadree'>
<a href='?action=deloggue&prevu=<?= rawurlencode($_SERVER['REMOTE_USER']) ?>'>Je ne suis pas "<?= $_SERVER['REMOTE_USER'] ?>"</a>
</div>


qui lance le code PHP suivant qui se trouve bien evidement au debut du code de la page :
CODE
    if(isset($_REQUEST['prevu']) && $_REQUEST['action'] == 'deloggue' && $_REQUEST['prevu'] == rawurldecode($_SERVER['REMOTE_USER'])){
        header('WWW-Authenticate: Basic realm="Pages d'."'".'administration"');
        header('HTTP/1.0 401 Unauthorized');
    }
.

Le code semble bien fonctionner car si je suis logger une permiere fois en temps que Laurent, si je clique sur le lien, je peux devenir Sonia par le popup d'autentification.
Et c'est apres que ca devient completement barge : si je reclique encore sur le lient, je deviens alternativement Laurent et Sonia sans qu'aucun POPUP ne s'affiche wacko.gif wacko.gif
J'ai rajouter des date('r') et je suis sur qu'il m'affiche une nouvelle page, et non pas un cache.
C'est comme si le navigateur avait memorise que http://.../?action=deloggue&prevu=Laurent doive me faire devenir Sonia et que http://.../?action=deloggue&prevu=Sonia doive m'authentifier en tant que Laurent.

Je suis sur FireFox 2.0 et j'ai aussi essaye avec la derniere version de Mozilla et c'est pareil.

Merci pour vos idee.

Laurent
f_trt
lundi 30 avril 2007 à 15:50
A mon avis non tu ne devient pas Sonia pour le serveur, mais ta session de navigation est toujours valable c'est tout.
Pour verifier cela interdit le user Sonia dans ton .htpassword pour voir a mon avis cela fonctionnera toujours.
Sauf erreur de ma part il faut quitter la session de navigation pour provoquer une autre identification du navigateur,
avec header tu agis sur ce que le serveur envoi à ton navigateur mais pas sur ce que ton navigateur renvoi au serveur
enfin c'est ce que je crois savoir... note bien que je n'affirme par a 100% je vais donc suivre ce fils avec intérêt pour
ma connaissance perso.
destroyedlolo
lundi 30 avril 2007 à 23:51
Bon, alors j'ai trouve smartass.gif smile.gif cool.gif ... et c'etait parfaitement STUPIDE.

En fait, le bleme etait que le realm du .htpasswd ne correspondait pas a celui de l'entete whistling.gif ce qui fait que mon PHP essayait bien de me delogger ... mais dans un context different.

Il basculait alternativement d'un utilisateur a l'autre car, la page avait 2 contexts differents en meme temps, et suivant que mon code de deloggage etait appeler ou non, ce n'etait pas le meme qui etait actif.
Excellent si on veut faire devenir ses visiteurs completement singles.

Par contre f_trt, cette methode fonctionne pile poile bien : le navigateur efface l'authentification des qu'il recoit un 401 pour un context donne.

A+

Lolo
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.