Bonjour, je m'explique :
 
Sur un site perso, j'ai déjà créé un système d'authentification, mais ce même site accede à un répertoire protégé par un .htaccess (authentification HTTP d'apache).
Je sais qu'il est possible de faire ce même système avec PHP (cf. http://php.ftp.cvut.cz/manual/fr/f [...] -auth.php), mais ce que je voudrais moi, c'est forcer cette authentification dans le code pour que des qu'un utilisateur accede au fichier dans le répertoire protégé par le .htaccess, il n'ait pas à ce ré-identifier une deuxième fois...
 
En gros, j'aimerais faire ca : $_SERVER['PHP_AUTH_USER']="gothico";, et hop, dans le cache, plus besoins de s'identifier (je précise bien évidemment que ca marche pas cet exemple   )
 
J'espere avoir été assez clair (ce qui n'est pas évident...).
 
Merci pour votre aide.

http://login:password@serveur/dossier/ ?
 
edit : finalement c'est ptet un peu con, ca marche plus de base sous IE avec leur super mise à jour de sécurité pour empêcher le fishing  :fou:

Merci pour la technique, mais c'est pas super sécurisé ca
Je préfererais pas mettre le mdp en clair
Quelqu'un a d'autres ici?

Bah de toute facon tu risque d'avoir besoin de donner le mdp au client donc je pense pas qu'il y ait vraiment un méthode sécurisée.

Peut-être, mais vraiment pas de la même manière, ici en faisant http://login:password@serveur/dossier/, après, sur chaque liens le login:password apparaitra en clair...

Salut,
 
j'ai le même problème, et merci microsoft pour leur patch de sécurité qui respectent pas les rfc ;(
 
As-tu réussi a trouver une solution ??
 
Merci

Le htaccess contient le meme champ Auth-Name, si ton user est pas trop con il aura retenu ..

Déjà, est ce que ta page en php et le répertoire protégé est sur le même serveur et est ce que ton système d'identification en php est basé sur l'autentification du serveur web?
Si c'est non pour l'un des deux et que tu ne veux pas utiliser de script php comme relais alors il n'y a pas de solution sécurisé (sans envoie du mot de passe au navigateur) à ta question.

Grosbin, dsl mais j'ai pas suivi ta réponse ...
 
Ma page PHP ne se trouve, bien entendu, pas au même endroit que la page finale à laquelle je souhaite accéder.
 
Mon authentification sur le serveur distant est bien du http basic, c confirmé.
 
Il n'existe pas de moyen de faire ??

La seule solution c'est de donner le lien du type : http://user:passwd@site.com/rep/
Ou alors faut revoir la manière dont est réalisée l'identification sur le "serveur distant".

Et oui, mais ce genre d'url n'est plus supporté par IE ;(
Je n'ai pas la main sur le système distant malheureusement.

Oui je sais que c'est problématique avec IE (comme toujours soit dit en passant) mais ya pas pas d'autre solution sinon donner les login/mdp à l'utilisateur suivit du lien à visiter.
 
Si t'as pas la main sur le serveur, tu peux rien faire d'autre.

Remarque, tu peux aussi à partir de ton script aller lire sur le serveur "distant" (ya tout ce qui faut niveau wrapper pour ouvrir des URL type http://user:mdp@site.com/rep/). Tu peux alors directement renvoyer le contenu que tu lis sur l'autre serveur et ce sans jamais dévoiler le mot de passe.
 
C'est pas excellent comme solution mais ça peut marcher (selon les cas en fait) et puis je que ça...

et sinon, développer un système classique d'identification avec des session ?

Il dit qu'il a pas la main sur le serveur donc spa possible

oups , j'avais pas vu

J'ai fait tout les forums, et je crois qu'il va falloir admettre que microsoft me fou bien dans la m....
J'ai essayer tout plein de truc, curl, fsockopen.
 
Y a bien un truc en java avec une classe Authenticator, mais elle requiert des modification sur un fichier en local sur le poste de l'utilisateur (et en plus faut le jre d'installé, alors c encore pire).
 
Merci quand même pour vos réponses

Sessions, cookies, sessions par url ?

Je suis pas sûr d'avoir tout suivi, mais si tu veux taper depuis ton serveur sur un autre et utiliser le htacess du répertoire sur ce serveur distant le tout avec une authentification transparente puisqu'elle est gérée sur ton serveur (et identique sur l'autre si je suis bien), alors pourquoi ne pas forger la requête http qui va bien avec les entête d'authentification
 
bonne lecture