Discussion :

[Tchupacabra]

Bonjour à toutes et à tous,

j'ai un site avec un htaccess à la racine redirigeant toutes les erreurs HTTP vers un script PHP erreur.php pour afficher un message à l'internaute et envoyer un mail à l'admin. Ceci fonctionne bien.
Cependant, il y a un section admin (url : http://www.monsite.com/admin/ ) qui est protégé par un second htaccess pour l'authentification. L'authentification marche normalement.
Le problème est que erreur.php s'exécute même si l'authentification a réussi. L'utilisateur n'a aucun message d'erreur mais l'admin reçoit une erreur 401 par mail via erreur.php !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
#--------------------------------------------------
# Répertoire : /
#--------------------------------------------------
 
ErrorDocument 400 /erreur.php?id=400
ErrorDocument 401 /erreur.php?id=401
ErrorDocument 402 /erreur.php?id=402
ErrorDocument 403 /erreur.php?id=403
ErrorDocument 403 /erreur.php?id=404

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
#--------------------------------------------------
# Répertoire : /admin/
#--------------------------------------------------
 
AuthName "Accès protégé"
AuthUserFile "M:/www/monsite.com/passwd/.htpasswd"
AuthType Basic
 
<LIMIT GET POST>
Require valid-user
</LIMIT>

Apparemment, y rien dans les logs Apache ou PHP...
Quelqu'un aurait une idée du pourquoi ?

Merci d'avance.
@+

[Tchupacabra]

D'après mes recherches, il est normal d'avoir en "fond de tâche" un code 401 car à ce que j'ai compris, l'authentification s'effectue en 3 temps :

1. Le client émet une requête à destination d'une ressource protégée, le répertoire identifié par l'URI /basic par exemple. La requête simple correspondante est : GET /basic/ HTTP/1.0
2. Le serveur répond avec le code d'erreur 401 (Unauthorized), et sa réponse comporte l'entête WWW-authenticate, spécifiant le type d'authentifcation attendue : HTTP/1.1 401 Authorization Required WWW-Authenticate: Basic realm="Basic realm"
3. L'entête renvoyé par le serveur est interprété par le navigateur. Celui-ci présente une fenêtre à l'utilisateur, l'invitant à entrer ses accréditations. Le navigateur réitère la précédente requête, en intégrant l'entête Authorization, suivie de la concaténation du nom d'utilisateur, de ":" et du mot de passe.

Alors si je ne suis pas à coté de la plaque... est-il possible de ne logguer QUE les mauvaises authentifications en php ou autre ?