Le critère déterminant n’est pas la présence d’un fichier .htpasswd mais, comme indiqué dans la nouvelle doc, la définition des variables PHP PHP_AUTH_USER
et PHP_AUTH_PW
, car SPIP les teste systématiquement pour loger l’auteur correspondant si yen a un qui matche – sauf si la variable « ignore_auth_http » est définie et true.
Pour cet automagisme, il faut et il suffit que ces variables soient définies. Et le fichier .htpasswd n’est qu’un des moyens de mettre en place une auth Basic et par exemple avec un curl
et CURLOPT_HTTPAUTH CURLAUTH_BASIC
il n’y a pas de fichier .htpasswd
mais l’auth Basic est là quand même et assure la définition des variables PHP.
La description de la variable était donc incorrecte. J’ai simplifié : « Cette variable globale permet de dissocier l’authentification de SPIP de celle assurée par http au moyen d’une auth Basic. » et j’ai à nouveau complété, par contre, Authentification http - Programmer avec SPIP 4 puisque visiblement ça n’est pas inutile.