CodeS-SourceS est hébergé par Frontier.fr

Cliquez ici pour mettre ce site au démarrage de votre navigateur

AccueilCodesTutorielsForumsEmploiLivresConnexion

begin process at 2008 10 08 09:40:43

MONITORING ET PATRON DE MéTHODE par mranchin

ADO.NET DATA SERVICES HOOKING POC V2 par Matthieu MEZIL

BACK FROM NYC ! par sebmafate

HELLO WORLD! par hamid

MSBUILD EXTENSION PACK SUR CODEPLEX par Miiitch

RE : INSERTION ET CONSULTATION D'UN DOCUMENT PDF DANS LA BASE DES DONNéES MYSQL par fatimadouimy

RE : INSERTION ET CONSULTATION D'UN DOCUMENT PDF DANS LA BASE DES DONNéES MYSQL par neigedhiver

RE : BESOIN D'AIDE... par MyDreams

TABLEAU MODIFIABLE par Firemetal

+ de logiciels à télécharger

1 257 883 membres
98 nouveaux aujourd'hui
14 401 membres club

Trouver une ressource

Trouvez une ressource parmi 38 803 codes, 1 184 350 messages d'aide etc...

Recherche: dans [ Dernières recherches ]

Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

FENETRE LOGIN HTTP AVEC HEADER

Information sur la source

Catégorie :Tutoriaux Niveau : Débutant Date de création : 12/10/2004 Vu : 8 405

Auteur : mortiis

Site perso

Ecrire un message privé

Ce membre participe au partage de revenus publicitaires

Note :

7,43 / 10

Commentaire sur cette source (14)

Ajouter un commentaire et/ou une note

Description

Cette source montre comment faire afficher la fenetre de login du browser sans utiliser les fichiers htaccess.
Sa se fait avec la fonction header de php

Source

if(!isset($_SERVER['PHP_AUTH_USER']))
{
header('WWW-Authenticate: Basic realm="t qui"');
header('HTTP/1.0 401 Unauthorized');
print("contenu si l'utilisateur appuy sur annuler ou ferme la fenetre");
exit;
}
else
{
/*
$_SERVER['PHP_AUTH_USER'] --> Contient le nom d'utilisateur fourni
$_SERVER['PHP_AUTH_PW'] --> Contient le mot de passe fourni
Valider ces informations avec votre liste d'utilisateur dans une base de données
ou dans un fichier
*/
if(nom d'utilisateur et ou mot de passe invalide)
{
print("vous n'etes pas autorisé a voir cette page.");
exit;
}
}
/*
Ici sera placé le contenu de votre page.
*/

     if(!isset($_SERVER['PHP_AUTH_USER']))
     {
        header('WWW-Authenticate: Basic realm="t qui"'); 
        header('HTTP/1.0 401 Unauthorized');
        print("contenu si l'utilisateur appuy sur annuler ou ferme la fenetre");
        exit;
     }
     else
     {
           /*
           $_SERVER['PHP_AUTH_USER']     -->  Contient le nom d'utilisateur fourni
           $_SERVER['PHP_AUTH_PW']        -->  Contient le mot de passe fourni
           Valider ces informations avec votre liste d'utilisateur dans une base de données
           ou dans un fichier
           */

        if(nom d'utilisateur et ou mot de passe invalide)
        {
              print("vous n'etes pas autorisé a voir cette page.");
              exit;
        }
     }

/*
Ici sera placé le contenu de votre page.
*/

Conclusion

Quand l'utilisateur charge la page, $_SERVER['PHP_AUTH_USER'] n'existe pas, alors on entre dans le bloc vrai du if(!isset($_SERVER['PHP_AUTH_USER']))
Ensuite la ligne  :   header('WWW-Authenticate: Basic realm="t qui"');
envoi un message au browser d'afficher la fenetre de login
Puis la ligne  :  header('HTTP/1.0 401 Unauthorized');
Intercepte le message si l'utilisateur appuy sur annuler ou ferme la fenetre de login.
Les lignes  :
      print("contenu si l'utilisateur appuy sur annuler ou ferme la fenetre");
        exit;
ne sont exécutés que si l'utilisateur ferme la fenetre ou appuy sur le bouton annuler.

Si l'utilisateur entre un nom d'utilisateur ou un mot de passe, la page est automatiquement rappelée, mais cette fois   $_SERVER['PHP_AUTH_USER'] contiendra le nom d'utilisateur  et  $_SERVER['PHP_AUTH_PW']  contiendra le mot de passe.

Donc cette fois on entre dans le bloc faux du  :  if(!isset($_SERVER['PHP_AUTH_USER']))
Ensuite vous validez si le nom d'utilisateur et le mot de passe sont valide et vous faites l'action que vous voulez dans ce cas j'ai fait  :

if(nom d'utilisateur et ou mot de passe invalide)
{
         print("vous n'etes pas autorisé a voir cette page.");
         exit;
}

Sources de la même categorie

N/X API: GOOGLE MAPS DEPUIS PHP VALID W3C par GillesWebmaster

PHP EXTRAIRE DES MAILS D'UN GROS FICHIER LOCAL OU DISTANT par cosmoswarezone1

FORMULAIRE PHP + VERIFICATION + ENVOI DU MAIL par cosmoswarezone1

CODE BARE!!! par toutoos

MULTISONDAGE V1.0 par souidi

Toutes les sources de la catégorie Tutoriaux

Commentaires et avis

Commentaire de Magidev le 14/10/2004 02:17:09

Super, tout ce que je cherchais !

Commentaire de neox_974 le 14/10/2004 12:48:44

tu n'aurais pas été inspiré d'un certain magazine portant l'éfigie d'un certain tux !! :-)

en tout cas bravo. ça me fera gagner du temps pour l'espace membre de mon site. 10/10

Commentaire de mathieumg le 14/10/2004 13:51:01

Cela semble très intéressant mais je n'ai pas encore testé ;p

Mathieu M-G
mathieumg@qc-net.com

Commentaire de mortiis le 14/10/2004 16:13:12

tux c'est qui sa ???

Commentaire de DaMonkey le 18/10/2004 14:26:26

et comment on fait pour se délogguer ? Ca a toujours été ma question depuis longteeeemps lorsqu'on utilise ce système de login... j'ai tout essayé, tant qu'on ne ferme pas le navigateur, on reste loggé koi qu'il en soit.

Merci d'avance pour tyoute réponse...

PS : $_SERVER['PHP_AUTH_USER'] = ""; NE FONCTIONNE PAS ;)

Commentaire de neox_974 le 18/10/2004 19:18:41

Ben Tux c'est la mascotte de Linux !!!

Commentaire de mortiis le 18/10/2004 19:50:52

En utilisant seulement ce système il est impossible de se déloguer à moin que le client ferme le navigateur
Puisque même si on efface les variables $_SERVER['PHP_AUTH_USER']  et  $_SERVER['PHP_AUTH_PW']
Bien le navigateur les garde en memoire.

Par contre pour gérer un délog, tu peut ajouter les session à sa.

Au début du code tu débute une session
session_start();
ensuite tu vérifi si la variable logge existe.
if (isset($_SESSION['logge']))
{
     ici le code d'identification
     et si l'utilisateur entre un nom d'utilisateur et un
    mot
    de passe valide tu fait
    $_SESSION['logge'] = $_SERVER['PHP_AUTH_USER']
}

Si l'utilisateur change de page ou si l'utilisateur clique sur le bouton "se déconnecter" alors tu fait une
session_start();
session_destroy();

Je crois que si tu fait sa alors sa devrait fonctionné.
Sa serait à tester, j'ai pas vraiment tester.

Commentaire de mortiis le 18/10/2004 19:53:08

Ah dacord pour tux je ne connaissait pas, car je ne travaille pas sous linux, je travaille seulement sous windows.

Peut-être qu'un jour j'essaierai linux.

Commentaire de DaMonkey le 19/10/2004 08:19:54

oui mais ce systeme ne permet plus a un autre utilisateur de se connecter a partir de ce pc sans avoir a fermer le navigateur... c'est ca l'ennui.

Commentaire de kankrelune le 06/01/2005 16:24:03

Le probleme avec cette technique c'est que...

1 sauf si on le met dans un fichier à part appelé par un include on ne peut protéger qu'une page...

2 à moins de rajouter des elseif à la volée on ne peut mettre qu'un user/pass

3 il faut veiller à ce que la page en question ne soit pas downloadable un clic droit "enregistrer sous" sur un lien fait au chaud à la maison... et c'est foutu le login et le pass sont dans le fichier... il faut alors la mettre dans un fichier à part avec un htaccess denie from all et l'appeler par un include (par ex... ça doit pas etre la seule technique)... .. .

Conclusion il est plus simple et plus pratique (multitache et multiuser) d'utiliser un htaccess sauf si on veux protéger un include... je m'explique (au cas où) par exemple là je suis sur l'integration d'une sorte de mode debug dans un petit site l'appel du mode debug se faisant par inclusion si définit... à ce moment là la premiere chose qui apparait c'est notre demande d'authentification... si elle échoue une page apparait expliquant que le site est en maintenance pour x temps et si l'authentification est ok le site se charge avec la fonction de debug inclue... .. . ;o)

Ce code est donc à utiliser dans certaines condition et avec certaines précautions sinon mieux vaux un htaccess (avec un générateur pour l'administrer par exemple dans le cas d'une admin ou d'un espace membre demandant pusieurs user/pass)... mais sinon il est nikel... .. .

Ce que je trouve top par contre c'est que contrairement aux autres sources du même type qui ont été postée toi tu explique le fonctionnement et la logique de ce code ce qui est appréciable... et instructif... .. . ;o)

^_^

@ tchaOo°

Commentaire de mortiis le 06/01/2005 18:48:20

Je ne suis pas daccord avec toi.
l'utilisation de ce code peut se faire conjointement avec une base de données mysql qui contient tous les user et password possible, donc est multiuser aussi.

On peut y ajouter les sessions.
Un fichier de session qui vérifi si l'utilisateur est loggé, et si l'utilisateur n'est pas loggé, il est alors redirigé vers la page de loggin.
Ce fichier est inclus au début de chaque pages avec un simple include("securite.php");

Moi je préfère cette technique aux htaccess, parcequ'elle offre toutes les mêmes choses.
De plus cette technique est plus flexible.

Merci pour ton commentaire.

Commentaire de kankrelune le 07/01/2005 01:51:50

biensur qu'il peut etre multiuser... mais avec plus que 2 3 modifs c'est comme ça que je l'entendais... je me suis mal exprimé... désolé... .. .
mais je suis tout à fait d'accord qu' avec un peu d'imagination... tu peux imaginer un stockage des log/pass sur base de données ou sur texte ou même dat... tu peux y integrer les sessions, même les cookies... etc... .. . ;o)

Mais comme tu l'as dis toi même je pense que les deux on leur interet dans des conditions differentes... le .htaccess protegera tout un dossier là où ce code protegera quelques pages... mais dans le cas d'un dossier à proteger le htaccess reste plus pratique pour un efficacitée similaire (générateur de htaccess multiuser sans sql... http://www.toulouse-renaissance.net/c_outils/htaccess_cod.zip) ça évite quand même des includes... mais là ou ce script peut se reveler plus interessant c'est que tu dois pouvoir créer plusieurs niveau d'accès alors que le htaccess c'est clair c'est passe/passe pas... .. . :oD

Je n'ais jamais dit que ce code était ininteressant, au contraire... mais je maintiens qu'il faut faire gaffe au fait que le code contient les logs et pass en dure non crypté... donc la meilleurs solutions c'est quand même de mettre le code à part dans un fichier protéger par htaccess et comme tu le disais l'appeler en include... .. .
qui plus est ça évitera de retaper le code à chaque fois (:oS) et ça centralisera le log et le pass en un exemplaire au même endroit (en cas de mise à jour)... .. .

Enfin je pense que c'est la meilleur solution... je sais pas ce que t'en pense... .. .

Voili voilou... .. .

@ tchaOo°

ps : Après pour le "enregistré sous" je pensais que ça marchais mais à priori c'est bon... .. . :o)

Commentaire de subzero le 27/07/2005 19:59:58

Salut! Les deux variables sont toujours vides lorsque PHP tourne en mode CGI (exemple OVH). Pour solutionner le problème, il faut mémoriser la saisie dans la variable $_SERVER['REMOTE_USER'] et avertir le serveur en ajoutant un fichier .htacess dans le dossier :

<IfModule mod_rewrite.c>
   RewriteEngine on
   RewriteRule .* - [E=REMOTE_USER:%{HTTP:Authorization},L]
</IfModule>

Ensuite, pour utiliser les variables :

<?php
//============================================================
//  PARAMETRES DE CONFIGURATION
//============================================================
$cfg['adm_login']  = 'admin';  // Le login d'administrateur
$cfg['adm_pass']   = 'pass';   // Le mot de passe d'administrateur

//============================================================
//  FORMULAIRE ET TEST D'AUTHENTIFICATION
//============================================================
if((!isset($_SERVER['PHP_AUTH_USER']) ||
    !isset($_SERVER['PHP_AUTH_PW'])) &&
    preg_match('/Basic\s+(.*)$/i',$_SERVER['REMOTE_USER'],$matches)){
  list($name,$pass)=explode(':',base64_decode($matches[1]));
  $_SERVER['PHP_AUTH_USER']=strip_tags($name);
  $_SERVER['PHP_AUTH_PW']=strip_tags($pass);
}
if($_SERVER['PHP_AUTH_USER']!=$cfg['adm_login'] ||
   $_SERVER['PHP_AUTH_PW']!=$cfg['adm_pass']){
  header('WWW-Authenticate: Basic realm="Connexion..."');
  header('HTTP/1.0 401 Unauthorized');
  die('Erreur : Identification incorrecte !');
}

//============================================================
//  AUTHENTIFICATION ACCEPTEE
//============================================================
echo 'Authentification acceptée.';

//============================================================
?>

http://yetanothercommunitysystem.com/yacs/articles/view.php/321

a+ ☺