il ne faut surtout pas faire ça, c’est complètement dépendent de l’implémentation, ça va casser dès qu’on change quelque chose, et comme tu le dis c’est très incomplet.
Normalement tu as pas besoin du tout de te charger de verification du mot de passe, SPIP se charge de tout et te reconnais quand tu fais un hit avec un header Authorization: Basic xxxxxx.
Mais si jamais tu dois vraiment faire une verification manuelle du login+pass de quelqu’un il faut simplement utiliser l’API auth :
include_spip('inc/auth');
$auteur = auth_identifier_login($login, $pass, '', true);
if ($auteur) {
// c'est bien le login/pass d'un auteur qui est décrit dans le tableau $auteur
} else {
// c'est personne de connu
}
C’est tout simple et c’est pérenne