Ah oui, si on décode directement le login/mot de passe en dehors de SPIP, cela oblige à une veille, maintenance à chaque mise à jour SPIP, à la manière de la surcharge de fichiers du core. De même la récupération du fichier des clés dans config complexifie la tache.
La méthode du hit http avec un header Authorization: Basic xxxxxx est plus intéressante.
En PHP, partir de l’exemple de JLuc : Authentification HTTP.
On peut faire ce hit sur une action SPIP, qui contiendrait par exemple :
$id_auth = $GLOBALS['visiteur_session']['id_auteur'] ?? null;
if (!$id_auth) {
http_response_code(403);
ajax_retour(json_encode(['code' => 'Anonyme']), 'application/json');
return;
}
ajax_retour(json_encode(['code' => 'Identifié'), 'application/json');
return;