Apache - Les fichiers .htaccess

Apache
Apache
.htaccess

Les fichiers .htaccess sont des fichiers de configuration d'Apache, permettant de définir des règles dans un répertoire et dans tous ses sous-répertoires (qui n'ont pas de tel fichier à l'intérieur). On peut les utiliser pour protéger un répertoire par mot de passe, ou pour changer le nom ou l'extension de la page index, ou encore pour interdire l'accès au répertoire.

Intérêt des fichiers htaccess

Les fichiers .htaccess peuvent être utilisés dans n'importe quel répertoire virtuel ou sous-répertoire.

Les principales raisons d'utilisation des fichiers .htaccess sont :

Gérer l'accès à certains fichiers.
Ajouter un mime-type.
Protéger l'accès à un répertoire par un mot de passe.
Protéger l'accès à un fichier par un mot de passe.
Définir des pages d'erreurs personnalisées.

Principe des fichiers htaccess

Le fichier .htaccess est placé dans le répertoire dans lequel il doit agir. Il agit ainsi sur les permissions du répertoire qui le contient et de tous ses sous-répertoires. Vous pouvez placer un autre fichier .htaccess dans un sous-répertoire d'un répertoire déjà contrôlé par un fichier .htaccess.
Le fichier .htaccess du répertoire parent reste en « activité » tant que les fonctionnalités n'ont pas été réécrites.

Les fonctionnalités de ces fichiers étant très puissantes, lisez bien ce tutorial avant de vous lancer dans la création des vôtres.

Sous Windows, il est logiquement impossible de créer un fichier .htaccess, puisque Windows ne vous autorisera pas à sauvegarder le fichier tel quel. Voici la démarche à suivre :

Créer un fichier texte « fichier.htaccess »
Renommer le fichier en supprimant « fichier »
Remarque : Selon votre éditeur, vous pouvez également sauvegarder le fichier directement en .htaccess. Sous Notepad, il suffit de mettre des guillemets autour du nom de fichier tandis que UltraEdit gère le nom lui-même.

Empêcher l'accès à des ressources

Un fichier .htaccess est composé de deux sections :

Une première section contient les chemins vers les fichiers contenant les définitions de groupes et d'utilisateurs :
```
AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /repertoire/de/votre/fichier/.FichierDeGroupe
AuthName "Accès protégé"
AuthType Basic
```
- AuthUserFile définit le chemin d'accès absolu vers le fichier de mot de passe.
- AuthGroupFile définit le chemin d'accès absolu vers le fichier de groupe.
- AuthName entraîne l'affichage dans le navigateur Internet de : « Tapez votre nom d'utilisateur et votre mot de passe. Domaine: "Accès protégé" »
- AuthType Basic précise qu'il faut utiliser AuthUserFile pour l'authentification.
Une seconde section contient la définition des conditions d'accès :
```
<Limit GET POST>

Require valid-user
{instruction d'accès à satisfaire }
</Limit>
```
- La balise LIMIT possède en attribut la valeur GET (en majuscule) et/ou la valeur POST, afin de définir le type de méthode du protocole HTTP auxquelles la restriction s'applique
- require valid-user précise que l'on autorise uniquement les personnes identifiées. Il est également possible de préciser explicitement le nom des personnes autorisées à s'identifier : require user {username}

Sous Unix, le chemin d'accès vers les fichiers de mots de passe et de groupes est de la forme suivante :
/repertoire1/repertoire2/.../.FichierDeMotDePasse

Sous Windows, le chemin d'accès contient des antislash (barre oblique inverse) contrairement à la notation Unix :
c:\repertoire1\repertoire2\...\.FichierDeMotDePasse

Protéger un répertoire par un mot de passe

Il s'agit d'une des applications les plus utiles du fichier .htaccess car elle permet de définir de façon sûre (à l'aide d'un login et d'un mot de passe) les droits d'accès à des fichiers par certains utilisateurs.
La syntaxe est la suivante :

AuthUserFile {emplacement du fichier de mot de passe}
AuthGroupFile {emplacement du fichier de groupe}
AuthName "Accès protégé"
AuthType Basic
<LIMIT GET POST>

Require valid-user
</LIMIT>

La commande AuthUserFile permet de définir l'emplacement du fichier contenant les logins et les mots de passe des utilisateurs autorisés à accéder à une ressource donnée.

La commande AuthGroupFile permet de définir l'emplacement du fichier contenant les groupes d'utilisateurs autorisés à s'identifier. Il est possible d'outrepasser cette déclaration en déclarant le fichier suivant : /dev/null.

Voici un exemple de fichier .htaccess :

ErrorDocument 403 http://www.commentcamarche.net/accesrefuse.php3
AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès sécurisé au site CCM"
AuthType Basic
<LIMIT GET POST>

Require valid-user
</LIMIT>

Le fichier de mot de passe est un fichier texte devant contenir sur chacune des ses lignes le nom de chaque utilisateur suivi des deux points (:), puis du mot de passe crypté (solution recommandée) ou en clair.

Voici un exemple de fichier de mot de passe non crypté (ici .FichierDeMotDePasse)

JFPillou:Toto504
Damien:Robert(32)
Comma:Joe[leTaxi]

Voici le même fichier contenant des mots de passe cryptés :

JFPillou:$apr1$Si0.....$teyL5Y7BR4cHj0sX309Jj0
Damien:$apr1$TD1.....$sfPTHjoufoNsda4HsD1oL0
Comma:$apr1$zF1.....$wYKqRu2aVYlAEQnxVkly8.

.FichierDeMotDePasse est un simple fichier texte contenant les noms des utilisateurs suivis d'un : puis du mot de passe crypté (ou non) de cet utilisateur.
Ce fichier de mot de passe ne devrait pas être mis dans un répertoire virtuel Internet (mais comment faire autrement si l'on ne possède pas de serveur Internet et que notre site est hébergé par un tiers ?). Il faut de plus prendre la précaution de mélanger des majuscules, des minuscules, des chiffres et des symboles dans le nom du fichier...

Crypter les mots de passe

Apache fournit un outil permettant de générer facilement des mots de passe cryptés (aussi bien sous Windows que sous Unix), il s'agit de l'utilitaire htpasswd accessible dans le sous-répertoire bin d'Apache.

La syntaxe de cet utilitaire est la suivante :

Pour créer un nouveau fichier de mots de passe :

htpasswd -c {chemin du fichier de mot de passe} utilisateur

Pour ajouter un nouvel utilisateur/mot de passe à un fichier existant :
```
htpasswd {chemin du fichier de mot de passe} utilisateur
```

Le mot de passe sera demandé en ligne de commande avec une confirmation.
Voici un exemple :

htpasswd -c /www/secure/.htpasswd JFPillou

Voici un petit utilitaire vous permettant de crypter vos mots de passe en ligne :

Empêcher l'accès à un répertoire par un domaine

La syntaxe pour bloquer l'accès d'un répertoire par un domaine est la suivante :

Allow (all, [liste de domaine])
Deny (all, [liste de domaine])
Order (Allow,Deny ou Deny,Allow)

Order Deny, Allow
Deny from ..LeNomDuDomaine.com

Toutes les personnes (requêtes) provenant du domaine .LeNomDuDomaine.com ne pourront avoir accès aux ressources comprises dans le répertoire et ses sous-répertoires. La commande Order sert à préciser explicitement que la commande Deny va bien annuler l'effet de Allow et non l'inverse.

Voici un exemple de restriction d'accès :

ErrorDocument 403 http://www.commentcamarche.net/accesrefuse.php3
AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès sécurisé au site CCM"
AuthType Basic
<LIMIT GET POST>

order deny,allow
deny from all
allow from 193.48.172.2
require user JFPillou
</LIMIT>

Dans ce cas, l'accès ne sera possible que pour l'utilisateur JFPillou à partir de l'adresse IP 193.48.172.2 et avec le bon mot de passe.

Empêcher l'accès à fichier particulier

Par défaut, Apache applique les restrictions du fichier .htaccess à l'ensemble des fichiers du répertoire dans lequel il se trouve ainsi qu'à tous les fichiers contenus dans ses sous-répertoires.

Il est également possible de restreindre l'accès pour un ou plusieurs fichiers du répertoire grâce à la balise <Files>.

Voici un exemple de restriction aux fichiers admin.php3 et admin2.php3 :

<Files admin.php3>

AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès sécurisé au site CCM"
AuthType Basic
<LIMIT GET POST>

require user JFPillou
</LIMIT>

</Files>

<Files admin2.php3>

AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès sécurisé au site CCM"
AuthType Basic
<LIMIT GET POST>

require user JFPillou
</LIMIT>

</Files>

Il faut utiliser une seule balise <Files> par fichier.
Sinon, l'erreur suivante est reportée dans le fichier de log des erreurs :
.htaccess: Multiple arguments not (yet) supported.

Pour info, il faut ajouter que depuis Apache 1.3, il est conseillé d'utiliser la balise <FilesMatch> à la place de la balise <Files>.
Cette nouvelle balise ne supporte aussi qu'un seul argument mais on peut traiter plusieurs fichiers grâce à une expression régulière.

Empêcher l'accès à un type de fichiers par un domaine

<Files *.png>

Order Deny, Allow
Deny from .LeNomDuDomaine.com
</Files>

Toutes les personnes (requêtes) provenant du domaine .LeNomDuDomaine.com ne pourront avoir accès aux images, dont l'extension est .png, comprises dans le répertoire et ses sous-répertoires.

Autoriser l'accès à un groupe de fichiers par un domaine et un pays

<Files php*>

Order Allow, Deny
Deny from all
Allow from .phpfrance.com
Allow from .fr
</Files>

Toutes les personnes (requêtes) provenant du domaine .phpfrance.com ou des domaines ayant la terminaison .fr pourront avoir accès aux fichiers commençant par php (par exemple, les fichiers phpbonjour.html, phpaurevoir.vxf) compris dans le répertoire et ses sous-répertoires.

Protéger un répertoire par un login

Cette méthode (beaucoup moins sûre que la précédente) permet une authentification de bas niveau uniquement par le nom de l'utilisateur. La syntaxe est la suivante :

Require (user [liste des utilisateurs], group [liste des groupes], valid-user)

Voici un exemple de ligne du fichier .htaccess :

Require User Damien Comma PumpPHP Jeff Rastapaye

Tout utilisateur souhaitant rentrer dans le répertoire ou un de ses sous-répertoires sera refusé sauf s'il s'identifie en donnant un nom figurant dans la liste.

Obliger un utilisateur à satisfaire à au moins une des conditions

Voici la syntaxe :

Satisfy (any, all)

Order Allow, Deny
Deny from all
Allow from .free.fr
Require User Damien Comma PumpPHP Jeff Rastapaye
Satisfy Any

Ce qui signifie que l'accès au répertoire sera bloqué pour tout le monde à l'exception des personnes qui s'identifient et des requêtes provenant du domaine .free.fr.

Gérer les types de fichiers

Un type MIME (en anglais MIME type) est un ensemble de types de fichiers standard, permettant d'associer une extension de fichier donnée à une application, afin d'automatiser le lancement de l'application.

Ajouter un Mime-Type à un répertoire

La syntaxe est la suivante :

AddType (mime/type [liste d'extension])

Voici un exemple de mise en oeuvre du fichier .htaccess :

AddType image/x-photoshop PSD
AddType application/x-httpd-php .php3
AddType application/x-httpd-php .htm

Le serveur enverra au navigateur Internet le fichier en lui disant de lancer le programme PhotoShop (s'il est installé sur votre machine) et de lui donner le fichier.

Habituellement, ceci est utilisé pour des fichiers nécessitant un Plug-In particulier non reconnu par votre navigateur.
Cette commande permet aussi d'annuler tout élément prédéfini. Ainsi, vous pouvez enregistrer un fichier .wav avec une extension .gif et préciser au navigateur de considérer les fichiers .gif comme des fichiers audio !

En pratique, on pourra donc utiliser cette commande pour ordonner à PHP de parser d'autres extensions de fichier, .htm par exemple.

Forcer tous les fichiers d'un répertoire à un Mime-Type

Voici la syntaxe à adopter :

ForceType (mime/type)

Par exemple avec la ligne suivante, tous les fichiers du répertoire contenant le fichier .htaccess seront considérés comme étant des fichiers .jpg quelle que soit leur extension :

ForceType image/jpg

Ce type de commande ne peut être utilisé dans les bornes !

Définir les extensions de fichiers par défaut

La syntaxe à suivre est :

DefaultType (mime/type)

Par exemple

DefaultType text/html

Cette option vous permet de définir le comportement par défaut du navigateur face à des extensions lui étant inconnues.
Ici, il prendra tout fichier inconnu (par exemple 'bonjour', 'Rastapaye.phpfrance') en tant que document HTML.

Personnalisation des messages d'erreurs

Il s'agit d'une fonctionnalité pratique car elle permet de définir une page par défaut pour un type d'erreur donné (Voir l'ensemble des codes d'erreur et leur signification)...

Cela permet d'une part de guider l'utilisateur au lieu d'afficher la banale page d'erreur du navigateur, ainsi que d'égayer la navigation même en cas d'erreur.

ErrorDocument (code-à-3-chiffres [nom du fichier ou texte ou url])

Les deux lignes suivantes permettent de définir des pages d'erreurs personnalisées au cas où l'accès à un document serait interdit ou bien que le document n'existe pas :

ErrorDocument 403 /erreurs/403.php3
ErrorDocument 404 /erreurs/404.php3

Ceci vous permet de donner un message d'erreur personnalisé remplaçant les fichiers fournis avec le navigateur.
Voici quelques-unes des erreurs les plus courantes à personnaliser :

401 Unauthorized : la personne n'a pas passé avec succès l'identification.
403 Forbidden : le serveur n'a pas le droit de répondre à votre requête.
404 Not Found : le serveur n'a pas trouvé le document souhaité.

Changer le fichier index par défaut

Le fichier index est le fichier qui est affiché lorsque aucun nom de fichier n'est défini dans l'URL (par exemple http://www.monserveur.com/repertoire). Cela permet d'éviter que le navigateur liste l'ensemble des fichiers contenus dans le répertoire (pour des raisons de confidentialité).

La syntaxe pour effectuer ce type d'opération est la suivante :

DirectoryIndex (fichiers)

Voici un exemple de mise en application :

DirectoryIndex index.php index.html index.phtml /erreurs/403.php

Lorsque vous essayez d'accéder au répertoire sans préciser la page à afficher, Apache va avoir recours à la directive DirectoryIndex. En général, par défaut, cette directive pointe vers index.html puis index.htm.

Dans l'exemple ci-dessus, Apache va commencer par chercher index.php, puis index.html, et ensuite index.phtml. Si aucun de ces trois fichiers existent, la page 403.php (se trouvant dans la racine) sera affichée pour éviter de lister le répertoire.

Tutorial écrit par Jean-François Pillou et Douglas Six

Trucs & astuces pertinents trouvés dans la base de connaissances

28/12 00h03	Récupérer login et mot de passe passés par un .htaccess (PHP)
Plus d'astuces sur « htaccess »

Discussions pertinentes trouvées dans le forum

01/02 12h46	Probleme htaccess chez Free	Développement	25/11 19h54->Ptitboiss	18
20/02 22h44	[.htaccess] pb chez free	Webmastering	22/02 09h14->raiden313	12
18/08 09h57	Différence PHP[acces script] et .htaccess	Développement	25/01 18h06->riton	6
25/06 18h37	.htaccess	Internet	05/12 23h58->fragor	6
14/06 23h33	[securite]problme avec htaccess	Webmastering	15/06 11h48->kain31	5
02/01 11h59	aide avec chemin.php (.htaccess)	Webmastering	02/01 20h52->Thom@s	3
15/01 13h19	[htaccess] Récupérer le login dans ma page...	Développement	14/12 13h49->bennap	3
23/01 10h42	erreur 401, free et .htaccess	Webmastering	15/12 15h26->xeno1887	3
11/06 11h47	Config Apache + .htaccess et .htpasswd	Réseaux	01/02 15h41->lilimilou29	2
29/09 13h41	question sur le htaccess	Développement	30/09 09h48->pierreb	2
Discussion fermée Problème résolu		Plus de discussions sur « htaccess »