[spip-dev] [auth HTTP] Désactivation partielle

Mesdames, Messieurs,

Pour un site, j'utilise une authentification en http (apache / htaccess)
indépendante de spip qui me permet de restreindre l'accès à l'espace public.
Le problème c'est que, je me fait jetter à chaque tentative de connexion à
l'espace privé.

En trifouillant un peu j'ai vu que c'était du au fait que si un login et un
mot de passe http était fournit, le logon de spip allait se baser uniquement
sur cette méthode pour authentifier les gens à l'espace privé.

Je voudrais donc désactiver partielement cette fonction pour que l'auth-http
n'agisse que comme un "plus" :
     - si le couple login/mot de passe fournit à la demande http
correspondent à un compte spip alors la personne se log sinon, on affiche la
fenêtre de login classique pour qu'elle se connecte à l'espace privé avec un
autre compte.

J'ai donc desactivé l'affichage du "connexion refusée" et la sortie dans le
cas où l'auth_http tourne à l'echec, pour que dans ce cas spip demande
classiquement l'auth. par le login spip.
Il le fait bien mais lorsque je donne le mot de passe "spip", l'appli boucle
et... plus rien (apparament sur des pages car je n'ai pas de "maximum exec
time)

Une idée?

En fait,
en desactivant completement le "if($PHP_AUTH_USER && $PHP_AUTH_PWD) ..."
je suis tombé sur un mecanisme interessant :

le visiteur a un compte public et un compte spip : OK, il peut se logger
(même si les mots de passe diffèrent)
le visiteur a seulement un compte public : on lui propose de se connecter à
spip avec un autre login