Discussion :

[Yakasan]

Bonjour,

j'ai une application basée sur angularJS dont l'authentification s'effectue via le serveur apache 2.2 en utilisant un annuaire ldap existant.

l'authentification se passe correctement , mais je souhaite pouvoir permettre à l'utilisateur de se déconnecter via un bouton au lieu de devoir vider le cache et de quitter son navigateur.

Quelqu'un aurait une idée ?

Merci a tous

[mathieu]

comment est configurée l'authentification dans Apache ?

[sekaijin]

Deux choses
la première est que ça n'a rien à voir avec LDAP
le client http se connecte en HTTP sur le serveur
Le serveur récupère les info de l'utilisateur et contacte LDAP pour valider l'authentification.
L'utilisateur est autorisé et la session ouverte.
à partir de là il n'y a plus de connexion à LDAP tout se passe entre le client et le serveur.

La deuxième est de savoir comment ton serveur gère la session de l'utilisateur et comment le client dialogue avec le serveur.
le serveur peu géré la session à deux niveau
- au niveau du serveur http (apache)
- au niveau de l'application (php java etc.)
dans les deux cas le serveur garde les informations de session et les référence avec un id de session.
cet id est transmis au client
Le client doit transmettre cet id à chaque échange avec le serveur il doit donc garder cet id quelque part.
- au niveau de l'url (la pire de solution utilisée lorsque aucune autre solution n'est disponible)
- au niveau des cookies (robuste et universel mais falsifiable)
- au niveau du localstorage
- au niveau du sessionstorage

un dernier point est le mode de connexion. lorsque l'utilisateur arrive sur l'application, soit la boite de connexion du navigateur s'ouvre soit c'est un formulaire http.
si c'est un formulaire l'authentification est gérée par l'appli (les pages)
si c'est la fenêtre du navigateur l'authentification est géré par le navigateur.

que faire pour se déconnecter
côté client supprimer l'id de session, il faut donc savoir où il est stocké.
côté serveur si la session est géré dans l'application supprimer la session ou l'invalider.

si la session est gérée par le navigateur l'invalidation (suppression de l'id) va faire apparaitre la boit de connexion. il faut savoir que dans ce cas l'utilisateur est toujours authentifié. s'il clique sur annuler il n'est pas déconnecté sa session courante est réactivée. en effet le navigateur renvoi les mêmes infos de login le serveur reconnait le même user et n'a aucun moyen de savoir que c'est annulé qui à été cliqué.

ce signifie que le bouton n'est pas un bouton "déconnecter" mais un bouton "changer d'utilisateur"
login dialog userA => connect => userA connected => "changeUser" => login dialog userB => connect => userB connected
login dialog userA => connect => userA connected => "changeUser" => login dialog userB => cancel => userA connected

si la session est gérée par le serveur http (apache) et non par l'application.
suivant le serveur la techno il n'est pas toujours possible d'invalider une session. là seule la doc du serveur peut t'aider.

Voilà
quasiment rien en javascript et rien avec LDAP.
A+JYT

[Yakasan]

Bonjour,

Concernant l'authentification dans apache , elle utilise les modules mod_authnz_ldap, mod_ldap .

Merci c'est bien ce que je pensais il est impossible de demander à apache ou au navigateur de déconnecter le user .

Je vais passer par un formulaire d'authentification basé sur ldapJs

Merci Beaucoup sekaijin tes explications et propositions sont très parfaites


Bonne continuation à tous .