Discussion :

[Leduc08]

Bonjour à tous,

Je vais essayer de faire simple:
Je développe un site web pour lequel j'utilise Zend et ExtJs.
Ce site est hébergé sur mon serveur Web (Linux et Apache).

J'appel un contrôleur à l'aide d'une requête Ajax.
code JS:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
...
	Ext.Ajax.request({
	url: 'user/signin',
...

Extrait de mon UserController.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
...
public function signin()
{
	$this->_helper->layout->disableLayout();
        $this->_helper->removeHelper('viewRenderer');
 
	include('./../USERS/ADMINS/test.php');
 
        $this->getResponse()->clearBody();
        $this->getResponse()->setBody($component);
 
}
...

Le répertoire /srv/www/htdocs/USERS/ADMINS est limité en accès aux personnes du groupe adminis

Extrait de mon default-server.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
 
# ADMINS
<Directory /srv/www/htdocs/USERS/ADMINS>
   <Limit GET POST>
     require group admins
   </Limit>
</Directory>

Vous me voyez arriver? Non?

Et bien me voila bien stupéfait de pouvoir récupérer la réponse du contrôleur avec le contenu du fichier test.php sans avoir besoin de rentrer mes identifiants Apache...

Est-ce Normal?
Comment faire pour que apache me demande une identification?

D'avance merci à ceux qui m'auront lu, et encore plus à ceux qui pourront m'aider !!!

[Leduc08]

En fait je peux simplifier mon problème:

Lors d'un include apache ne fait pas appel aux règles d'accès.
--> Est-ce que l'on peut modifier ce fonctionnement?

[_Mac_]

Je n'ai pas la réponse mais attention à ne pas confondre ce qui est exécuté par le serveur en PHP et ce qui est exécuté en JavaScript par le navigateur. Ce qui est exécuté en PHP n'est pas soumis aux .htaccess car include et require passent par les mécanismes système de lecture de fichiers. En aucun cas cela repasse par le serveur Web donc n'est jamais susceptible de déclencher des authentifications. Pour repasser par le serveur Web, il faut faire des require('http://...') mais dans ce cas, c'est au script PHP de s'authentifier et pas au navigateur/utilisateur, donc aucun mot de passe ne serait demander à l'utilisateur. Ma réponse, si je dois en formuler une, serait de revoir la façon dont les pages sont construites pour s'assurer que les requêtes nécessaires sont faites par les utilisateurs vont au bon endroit (dans le bon chemin/répertoire) pour déclencher les bonnes authentifications.

[Leduc08]

Bonjour Mac,
Merci pour ta réponse. Tu as mis une explication sur une constatation.
En fait je voulais justement utiliser ce principe pour forcer l'authentification, je vais voir pour faire ça autrement...

Merci pour ton aide.