[spip-dev] Protection des docs joints dans un site entièrement privé (via sessions + #LOGIN_PUBLIC)

Salut !

Je travaille sur un site SPIP 1.4.2 entièrement privé (il n’y a que les rédacteurs et admin qui peuvent y accéder). J’utilise l’authentification par session par l’intermédiaire du formulaire #LOGIN_PUBLIC. Or je suis face à un problème : Tous les docs attachés sont accessibles si l’on connait leur adresse (on peut même lister le contenu des répertoires ./IMG si l’on n’ajoute pas un fichier index). Ma question est donc la suivante : Est-il possible de combiner les deux authentifications : session pour les pages web (afin de conserver les formulaires d’authentification) et .htaccess pour les répertoires des docs joints ? Y-a-t-il une solution simple à mettre en oeuvre ?

Merci d’avance pour toute aide,

Christophe

Hello,

Est-il possible de combiner les deux authentifications : session
pour les pages web (afin de conserver les formulaires
d'authentification) et .htaccess pour les répertoires des docs
joints ? Y-a-t-il une solution simple à mettre en oeuvre ?

Je pense que le plus simple et le plus cohérent est d'interdire tout
accès en direct aux documents via un simple .htaccess et de les servir
via un script PHP qui peut du coup vérifier l'auth.

-Nicolas