Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
HTTP Digest durée "session"
Bonjour,
je cherche à sécuriser un dossier via login/passwd en précisant une durée de session, pour plus de sécurité. HTTP Basic ne permet pas de faire cela, les infos sont renvoyées indéfiniment par le client à chaque requête HTTP.
Savez-vous si le protocole HTTP Digest Authentication permet cela et comment ? ou bien peut-être auriez-vous une autre méthode/piste à me transmettre ?
En vous remerciant d'avance.
Non, Digest ne le permet pas non plus. Il faut que tu utilises des sessions "applicatives" (avec cookie), genre PHP. Et dans ce cas, il faut faire une page HTML d'authentification.
Merci pour l'information
Si quelqu'une connait un module Apache qui permettrait de faire cela, ça m'intéresse.
Sinon effectivement je passerai par le middleware.
Tu ne trouveras aucun module Apache qui fait ça : c'est impossible par nature car les mécanismes Basic et Digest ne le permettent pas.
En fait j'ai trouvé ceci http://linuxbox.com/tiki/tiki-index....d_auth_timeout mais je me demande effectivement comment ça peut fonctionner vu que tout est géré du côté client. Peut-être en envoyant une 403 à la fin du timeout.
Tu peux envoyer une erreur 403 mais dans ce cas la plupart des navigateurs affichera une jolie page "forbidden". Il faudrait plutôt renvoyer un code 401 mais ce n'est pas exclut que des navigateurs se réauthentifient tous seuls sans intervention de l'utilisateurC'est à tester. Au mieux ça réaffiche la pop-up pour demander le mot de passe mais ce n'est pas garanti, et ça ne devrait marcher que pour une authentification basique et pas digest, je pense (c'est d'ailleurs ce que laisse suggérer le module que tu as trouvé).
Effectivement c'est pour du basic je pense. Je testerai peut-être le module à l'occase mais finalement je me suis aperçu entre temps que le timeout n'était pas forcément adapté à mes besoins car l'utilisateur doit pouvoir télécharger de très gros fichiers dans les répertoires protégés. J'ai opté pour un système de déco manuelle via ClearAuthenticationCache pour IE et envoi de mauvais credentials pour les autres navigateurs.
Merci encore pour les infos.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager