Je m'excuse d'avance si c'est une question évidente: l'authentification de base Apache 2.0 + SSL + peut-elle être utilisée pour sécuriser un site web? La façon dont je le vois, SSL crée une connexion sécurisée entre le client et le serveur et ainsi toutes les demandes HTTP contenant le mot de passe en clair ne devrait pas être un problème de sécurité.Apache basic authentication
grâce, S.
Merci Jim, se révèle malheureusement je devra utiliser une authentification basée sur la session puisque je dois aussi pouvoir me déconnecter des utilisateurs. –
Vous devriez toujours forcer SSL. Les mêmes mises en garde s'appliquent à l'authentification basée sur un formulaire, car un mot de passe doit être transmis. –
Vous pouvez vous déconnecter des utilisateurs avec Basic Auth, en quelque sorte. Ce n'est pas très joli et Apache n'a aucune méthode pour le faire. Ce que vous devez faire est POST à un script '/ logout' qui renvoie 401 lorsque l'utilisateur passe * correct * auth. Vous demandez ensuite à l'utilisateur de soumettre des détails erronés au dialogue d'authentification (généralement, nom d'utilisateur/mot de passe vide). Votre script répond 200 ou 303, à quel point le navigateur renvoie l'authentification correcte en faveur du non-auth. – bobince