Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

authentifier un utilisateur

fredouille

Bonjour a tous,

depuis hier je suis sur le meme probleme et j'espere que vous allez pouvoir m'aider.

j'explique :
j'ai une page php dans laquelle un user distant peut s'identifier (cette page fonctionne et je recupere bien les donnees de l'utilisateur).
voici le code de la page d'identification :

if (isset($_POST['user_name']) AND isset($_POST['user_passwd']))
{
if ($_POST['user_name'] != NULL AND $_POST['user_passwd'] != NULL) // Si on a quelque chose à enregistrer
{
// D'abord, on se connecte à MySQL
mysql_connect("srvr", "login_table", "mdp_table") or die(mysql_error());
mysql_select_db("ma_base") or die(mysql_error());

// On utilise les fonctions PHP mysql_real_escape_string et htmlspecialchars pour la sécurité
$user_name = mysql_real_escape_string(htmlspecialchars($_POST['user_name']));
$user_passwd = mysql_real_escape_string(htmlspecialchars($_POST['user_passwd']));

// on verifie que le login utilisateur n'est pas deja utilisé
$login = mysql_query('SELECT COUNT(*) AS nom FROM user_info WHERE user_name=\'' . $user_name . '\'') or die(mysql_error());
$donnees_login = mysql_fetch_array($login);
if ($donnees_login['nom'] == 1) // Le login est dans la table
{
// on verifie le mot de passe de l'utilisateur
$mot_de_passe = mysql_query('SELECT user_passwd FROM user_info WHERE user_name=\'' . $user_name . '\'') or die(mysql_error());
$donnees_mot_de_passe = mysql_fetch_array($mot_de_passe);

if ($donnees_mot_de_passe['user_passwd'] == $user_passwd) // Verification si le mdp est correct
{
// on enregistre le groupe de l'utilisateur
$group = mysql_query('SELECT user_group FROM user_info WHERE user_name=\'' . $user_name . '\'') or die(mysql_error());
$donnees_group = mysql_fetch_array($group);

$_SESSION["user_name"] = $user_name;
$_SESSION["user_passwd"] = $user_passwd;
$_SERVER['PHP_AUTH_USER'] = $user_name;
$_SERVER['PHP_AUTH_PW'] = $user_passwd;
$_SESSION["user_group"] = $donnees_group['user_group'];
$_SESSION["last_access"] = time();
}
}

// On se déconnecte de MySQL
mysql_close() or die(mysql_error());
header('Location: http://berok.no-ip.org');
}
}

ensuite je vais comparer ces donnees à celles existantes sur le serveur mysql, et si ok j'enregistre le login_user dans une variable ainsi que le mdp_user dans une autre.

Depuis hier, j'essais d'utiliser les variables $_SERVER['PHP_AUTH_USER'] et $_SERVER['PHP_AUTH_PW'] afin que l'utilisateur n'est plus a remplir a nouveau le pop-up d'authentification basic.

le souci, c'est que ca marche pas bien ( 1 fois sur 20, pourquoi ????)

de plus il semblerait que ces variables $_SERVER ne soient plus utiliser sur les versions recentes de php et que en plus elles ne sont disponible que si le safe_mode est desactivé (qu'est ce que le safe_mode ????)

la possibilité de passer par un "header('Location: http://' . $_SESSION['user_name'] . ":" . $_SESSION['user_passwd'] . '@berok.no-ip.org' . $_SERVER['REQUEST_URI']);" a la fin de l'identification n'est pas plus pratique car le serveur renvoit au client un message par lequel une authentification pour la connexion n'est pas nécessaire.

d'ailleurs, chose qui me surprend, c'est que en passant par ce header, les variables $_SERVER['PHP_AUTH_USER'] et $_SERVER['PHP_AUTH_PW'] sont bien renseignées (je fais un echo pour voir leur valeur) alors que pas si l'utilisateur passe par la page d'identification.

quelqu'un pourrait il m'aider pour resoudre mon probleme ????

alexip

T'es encore là-dessus ?

Si ton script ne fonctionne pas, ca doit être que les variables $SERVEUR sont en lecture seule !

sinon, il y a, comme je te l'ai déja dit, la solution de créer un fm toi même ...

je t'ai fait un petit exemple :

http://z.alexip.1k.fr/test/

.htaccess

Options +FollowSymlinks
RewriteEngine on
RewriteRule   ^test/$   /fm.php?path=/test/  [L]
RewriteRule   ^test/(.*)/$   /fm.php?path=/test/$1/  [L]

Nb: tu peux aussi mettre ca dans la config de apache (/etc/httpd/conf.d/)
fm.php

<?php $path=$_GET['path'];
// vérification des users et passwd ici...
if(is_dir('./'.$path)) {
  echo "<html>\n<head>\n<title>".$path."</title>\n<style type=\"text/css\">\ndiv { border-bottom:1px solid; }\nspan { position: absolute; left: 250px; }</style>\n</head>\n</body>\n<h3>".$path."</h3>\n";
  if ($dir=opendir('./'.$path)) {
    while ($file = readdir($dir)) {
      echo '<div>[URL='.$path.$file.']'.$file.'[/URL]   <span>'.filetype('./'.$path.'/'.$file)."</span></div>\n";
    }
  } else {
    echo "erreur d\'ouverture du dossier\n";
  }
  echo "</head>\n</body>";
} else {
  header('location: /'.substr($path,0,-1));
} ?>

fredouille

a alexip,

merci bien pour ta reponse, qui me confirme que j'ai encore beaucoup a apprendre (je ne comprends tout ce que tu fais dans tes scripts).

pour ce qui est de mon souci sur lequel je suis, il doit bien y avoir une solution pour declarer ces variables $_SERVER.... en passant par un header ou autre.

maintenant, depuis le debut j'essais de penser à la securité, et selon toi : est-il plus sur de passer par les authentifications php ou http, ou alors juste limiter les affichages des pages si les droits des utilisateurs sont inssuffisants ??

meme si les données n'ont rien de capitales, c'est juste pour le principe de ne pas tout permettre a n'importe qui......

selon toi que dois-je faire ?????

merci encore pour ta reponse

alexip

fredouille wrote:pour ce qui est de mon souci sur lequel je suis, il doit bien y avoir une solution pour declarer ces variables $_SERVER.... en passant par un header ou autre.

Oui, il y a une solution avec les headers (par redirection, par exemple), mais l'utilisateur recevra une demande de confirmation ...

fredouille wrote:maintenant, depuis le debut j'essais de penser à la securité, et selon toi : est-il plus sur de passer par les authentifications php ou http, ou alors juste limiter les affichages des pages si les droits des utilisateurs sont inssuffisants ??

Pour voler une session php, il sufit de créer soi-même un cookie contenant l'identification de session, or si tu as laissé la config par default et que tu ne donne pas toi même le SESSION-id, celui-ci est généré automatiquement par session_regenerate_id(), il est donc très dur a trouver !
Pour les sessions http, c'est beacoups moin documenté ... je ne sais donc pas exactement comment ca fonctionne ...

Mais, si j'ai bien compris, tu cherche a créer deux sessions, une php et une http, ca fait donc deux moyens d'authentification, donc deux fois plus de failles possibles ...

fredouille

a alexip,

pour le redirection, c'est celle que tu m'as proposé au début, et qui fonctionne, mais est-il possible de la forcer sans que l'utilisateur n'est a cofirmer la proposition envoyée par le serveur ?

pour le session_id() tu as raison, je laisse le serveur faire sa "sauce", donc si je te comprends bien c'est le plus sur.
mais non, je ne cerche pas a creer 2 sessions http et php(c'etait un exemple), actuellement je suis avec une authentification faite par le biais d'une table de données du serveur mysql et cette config dans mon fichier de conf :

<Location /HUMOUR>
Options +Indexes +Includes +FollowSymLinks
AuthType Basic
AuthName "ACCES PRIVE"
AuthMySQLHost localhost
AuthMySQLDB ma_database
AuthMySQLUserTable ma_table
AuthMySQLEnable On
# require valid-user
AuthMySQLUser utilisateur
AuthMySQLPassword mon_mdp
AuthMySQLNameField user_name
AuthMySQLPasswordField utilisateur_mdp
AuthMySQLNoPasswd Off
AuthMySQLPwEncryption none
AuthMySQLGroupTable ma_table
AuthMySQLGroupField utilisateur_group
# AuthMySQLKeepAlive Off
AuthMySQLAuthoritative On
<Limit GET POST>
require group utilisateur
</limit>
</Location>

ce que je voudrais faire c'est ca :
le user arrive sur le site, il s'identifie et de la il a acces aux dossiers du groupe dont il est membre.

c'est tout ce que je veux faire.....

maintenant, je pensais que utiliser l'authentification PHP etait la chose la plus sure et la plus simple puisque proposée par le serveur, mais a chaque fois il renvoit le pop-up d'authentification a cause de ma conf.

que penses-tu que je doive faire ?

alexip

Ca fait combien de temps que tu es là-dessus ?
2 semaines ?
Tu ferais bien de mettre une simple authentification php et passer à autre chose ...

Je ne connais pas de moyen d'authentifier d'utilisateur sur le serveur par php,
tu peux toujours chercher sur google, si tu as du temps à perdre !!
à la limite, poses ta question sur un site comme developpez.com ou dans un forum de support apache/php ...

fredouille

a alexip,

tu as surement raison, merci en tout cas pour ton aide....

@++++++++++++