Gérer les session et l'authentification avec PHP5

Article posté le 21-11-2013 dans la catégorie PHP

Article mis à jour le : 05-05-2022

Petit exemple pour gérer une session utilisateur en PHP

Les trois principales methodes d'authentification en PHP ne sont pas égales en efficacité.

L'identification de l'utilisateur par son adresse IP peut notamment poser problème si plusieurs utilisateurs ont la même adresse IP. L'authentificaton par le protocole HTTP est quant à elle plus adaptée à la protection de répertoires entiers plutôt qu'au suivi des utilisateurs. A cela il faut ajouter que la gestion en est laissée au navigateur de l'utilisateur, ce qui poser des soucis en cas d'ordinateurs partagés.

Avec PHP5, rien de plus de simple que de gérer des sessions utilisateurs. Grâce aux variables globales dédiées à cet effet, vous pourrez gérer facilement les utilisateurs qui doivent accéder à un contenu nécessitant une identification.

Il est à noter que ce processus utilise un cookie. Cette méthode est d'ailleurs préférable, mais cela peut poser problème si le navigateur refuse les cookies. On peut aussi utiliser le système de réecriture automatique des liens,que nous n'aborderons pas ici.

1- Un exemple (très) bas de gamme

Commençons avec un exemple un peu pourri histoire de comprendre les mécanismes.

La première étape est d'utiliser la fonction session_start() qui indique à votre serveur d'activer la gestion de session. Elle sera ainsi démarrée ou reprise. Vous pouvez ainsi manipuler la variale globale $_SESSION, qui est un tableau. Vous pourrez stocker facilement ce que vous voulez comme informations (attention : pas de mot de passe!) afin de gérer l'accès à votre contenu. L'id de session est généré automatiquement et envoyé via un header, pour être stocké dans un cookie. A noter que vous pouvez modifier le nom de la session (par défaut PHPSESSID) soit dans php.ini soit avec la méthode :

session_name();

De plus j'insiste sur le fait toujours de toujours utiliser des sessions par cookie, et non par URL.

A- Connexion

Dans notre exemple, l'utilisateur se connecte via un formulaire. La première étape (que nous n'aborderons pas ici), est de vérifier que le mot de passe encodé est bien égal à ce qui se trouve dans la base de données des utilisateurs, pour le pseudo correspondant. Là non plus rien de sorcier.

Dans le fichier PHP qui gère cette étape, il faut rajouter, en cas de cohérance identifiant/mot de passe, le stockage des variables utilisateurs. Par exemple ici, si l'authentification est ok, stocker deux variables, le pseudo, et le statut de connexion "Ok".

if(Connexion($_POST['Pseudo'], $MotDePasse)) // on vérifie que les identifiants sont bons

{

    $_SESSION['Pseudo'] = $_POST['Pseudo'];  // Je stocke dans le tableau, un champ "Pseudo", avec le pseudo à l'intérieur

    $_SESSION['ConnectOK'] = true; // Statut de connexion à "Ok"

    header("Location:index.php"); // redirection vers la page d'accueil, ou un espace perso...

}

A présent, la session est en route.

B - Gestion de l'accès

A présent, quand l'utilisateur voudra accéder à du contenu nécessitant la connexion ou que vous désirez par exemple afficher une partie du menu réservée aux membres, vous pouvez utilisez cette condition :

if (isset($_SESSION['ConnectOK'])&&($_SESSION['ConnectOK'] == true)) // Si la variable existe, et qu'elle contient ce qu'il faut...

{

    // Ici faites ce que vous voulez : affichage de la page par exemple

}

Voilà, rien de sorcier...

A noter que PHP garantie un identifiant de session unique. Il peut être retrouvé par la fonction :

session_id()

mais également dans la constante SID.

Concernant la durée de validité du cookie de session, il expire à la fermeture du navigateur.

C- Mettre fin à la session

Pour des raisons de sécurité ou par pratique, vous pouvez vouloir mettre fin à la session, soit manuellement (bouton déconnexion), ou encore automatiquement (durée maximale de session). Pour cela, il faut utiliser la fonction session_destroy. Mais attention de bien faire le nécessaire pour détruire aussi le cookie. Voir l'exemple sur la doc de PHP ici.

2- Des choses un peu plus sérieuses...

Maintenant, voyons un exemple de qualité plus professionnelle et mieux adapté à un espace d'authentification.

Faisons donc un petit rappel: quand vous utilisez session_start(), PHP va démarrer ou reprendre la session en cours. La session est donc gérée par un cookie de session, automatiquement envoyé au client. Ce cookie contient ni plus ni mois qu’un identifiant de session, unique. Cela n’a strictement rien à voir avec l’authentification de l’utilisateur: même s’il n’est pas connecté à la zone à l’accès contrôlée, un cookie de session est émis. Quant aux données de session, elles sont stockées sur le serveur, pour une durée paramétrée dans le fichier php.ini, et modifiable depuis le code PHP, pour la durée du script.

Les données de session sont stockées sur le serveur, donc quand l’utilisateur arrive avec son cookie, on “ressort” ses données de session. Vous l’avez compris, tout est lié à ce fameux identifiant de session.

Dans l’exemple ci-dessus, nous avons choisi la solution de facilité: quand l’utilisateur se connecte à cette zone à accès restreint, nous stockions une donnée dans sa session. Cela nous permettait de savoir qu’il est connecté à chaque fois qu’il revenait. Mais cette solution n’est pas géniale.

En effet, si les données de session sont importantes, il est recommandé d’utiliser un cookie supplémentaire (à celui de l’identifiant de session) quand il s’agit de mettre en place une fonction “se souvenir de moi” pour vos utilisateurs qui se connectent à votre site.

Voici comment cela doit fonctionner:

Quand l’utilisateur se connecte et coche l’option “se souvenir de moi”, on émet un cookie, disons avec un durée de validité de 30 jours, appelons le avec le nom de votre site. Dans ce cookie, on stocke un identifiant et un token, tous deux générés aléatoirement, et également stockés côté serveur dans une BDD. Notons que le token est hashé, par exemple en SHA256, avant d’être stocké dans la base.
Lors de l’accès au serveur, à chaque fois que l’utilisateur revient, on vérifie la présence du cookie, et de la cohérence de la correspondance identifiant / token.
- Si le cookie est présent, qu’il contient un identifiant existant et un token, et que le hash de ce token correspond au hash stocké en base, on considère l’utilisateur comme authentifié. On va alors régénérer un token, qui sera évidemment mis à jour en base et dans le cookie.
- Si le cookie est manquant ou qu’il ne contient pas de données, on ignore le cookie, et on considère l’utilisateur comme non authentifié.
- Si la correspondance n’est pas bonne ou incomplète, on va, pas sécurité, supprimer de la BDD l'identifiant et le token, détruire toutes les données de session de l’utilisateur et lui demander de se reconnecter. Lorsqu’il l’aura fait, on générera un autre identifiant et un autre token.
Lorsque l’utilisateur clique sur “Deconnexion”, on détruit ses données de session, supprime ses identifiants et token de la BDD, et on supprime aussi bien évidemment le cookie que l’on avait créé pour la fonction “Se souvenir de moi).

Si par contre l’utilisateur ne coche pas l’option “Se souvenir de moi”, là on dira au serveur de supprimer les données de session au bout d’environ une heure*, et au navigateur d’oublier son identifiant de session au bout d’un heure (rien ne vous garantie qu’il le fera, donc n’oubliez pas la première opération).

Ce mécanisme permet ainsi de mettre en place une notion de sécurité en profondeur: même si quelqu’un de mal intentionné à accès à la base, il ne pourra rien faire car le token est hashé. De plus, il est recommandé d’utiliser HTTPS pour éviter le vol de cookie.

Pour ce dernier point, vous pouvez effectuer d’autres opérations et stocker d’autres informations dans le cookie, afin d’essayer de repérer des choses suspectes. Je vous conseille vivement de lire mon article traitant de la sécurité avec PHP.

*”Environ” car le garbage collector de PHP passe quand il veut. En fait vous dites à PHP de garder les données de session pour au maximum la durée précisée.

Résumons donc:

Connexion:
- Si “Se souvenir de moi” cochée, on crée un cookie “Remember me”, et les données que l’aurait stocké en session en temps normal sont stockée dans le cookie. On démarre ensuite la session.
- Si “Se souvenir de moi” non cochée, on dit au serveur de détruire les données de session au bout de maximum 1 heure, au navigateur de détruire son cookie de session au bout d’une heure. On démarre la session, et on stocke dedans nos données, mais également un ou des éléments qui nous permettent de savoir qu’il s’agit d’une session sans cookie “Remember me".
Navigation (retour sur le site):
- Si cookie présent et valide: on laisse passer
- Si cookie présent mais invalide: on force à se reconnecter en détruisant tout ce qui était stocké précédemment en session (voir détails plus haut)
- Si cookie non présent:
  - Si on est à la connexion: on laisse passer
  - Si on est pas à la connexion: on regarde s’il existe une session avec la particularité de ne pas avoir été initié avec la base “Remember me”. Si c’est le cas, on laisse passer, sinon on redirige vers la page de connexion

Quelques fonction utiles pour gérer une durée limite de session:

// On dit au serveur de ne pas conserver les données de sessions plus d'une heure (il se peut qu'il les détruise avant, car passage du garbage collector imprévisible)
ini_set('session.gc_maxlifetime', 3600);

// Dit au client "STP, si possible, oublie ton id de session au bout d'un heure" (Rien ne vous garantit qu'il le fera...)
session_set_cookie_params(3600);

// On démarre la session ou on la reprend si elle existe
session_start();

3- Un peu de sécurité

Savez-vous qu'avec un vol de cookie on peut se faire passer pour quelqu'un d'autre... Voici donc quelques mesures de sécurité à envisager, dans certains cas... Elles doivent être combinées dans l'idéal.

Vérifier que l'utilisateur a toujours la même adresse IP. Utilisez la version numérique de la constante $_SERVER["REMOTE_ADDR"], pour ne pas être déjoué par masquage ou autre trafic de DNS. Cependant, cette protection sera inutile contre un pirate passant par le même proxy que l'utilisateur légitime.
Enregistrer la signature du navigateur (HTTP_USER_AGENT), sa configuration de langues (HTTP_ACCEPT_LANGUAGE), ou les formats (HTTP_ACCEPT_DECODING).
Modifiez l'identifiant de session fréquemment : en effet, même si vous désactivez l'affichage de l'id de session dans l'URL, on peut toujours accéder à sa session en mettant cet identifiant dans l'URL. Ainsi un utilisateur malicieux pourrait donner son identifiant de session (et donc l'accès à sa session) via un lien frauduleux à un autre utilisateur. Celui-ci irait alors faire des choses, du style modifier ses identifiants, permettant ainsi au méchant monsieur d'ensuite récuperer les dites informations. On apelle cela le session fixation ou session riding. Ainsi, il est recommandé, qu'à chaque changement d'information importante, de niveau de privilège, de faire un session_regenerate_id();
Maintenant, imaginez qu'une personne malicieuse prenne le problème à l'envers. En effet vous vous être protégé contre le fixation session mais elle se débrouille alors pour récuperer l'id de session d'un autre utilisateur. Il faut donc effectuer régulièrement des contrôles pour éviter les vols de session, connus sous le nom de session hijacking. Pour cela, il y a quelques réflexes. Par exemple, lorsque qu'un utilisateur s'identifie, stockez en session son navigateur (user agent). Vérifiez le à chaque fois, et s'il change, demandez à l'utilisateur de se reconnecter.
De manière aléatoire, demandez à l'utilisateur de s'identifier à nouveau ;
Pour le cookie de session: activez le flag secure afin d'être certain que la navigateur n'enverra le cookie au serveur qu'en cas de HTTPS. Ainsi aucun risque de se faire voler le cookie dans une partie HTTP du site et que l'usurpateur puisse utiliser la session HTTPS ;
Toujours pour le cookie de session, activez le flag HTTP only afin que le navigateur ne transmette le cookie que via protocole HTTP. Vous éviterez ainsi de vous faire voler le cookie via JavaScript
L'utilisation de CAPTCHA pour actions sensibles est un plus (On parle de Challenge/Response system).

Cet article vous a plu? Découvrez d'autres articles :

Introducing GMG: an application to manage your videogame collection publié le 25-06-2022
JAW: a headless blog CMS publié le 26-05-2022
What has changed in our relationship with video games over the last 25 years. And what has not. publié le 16-05-2022
Gaming archeology: retro-engineering on Beasts and bumpkins publié le 25-04-2022
Gaming archeology: retro-engineering on Ultimate Soccer Manager 98 publié le 17-04-2022
PHP 8.1 : un petit exemple simple avec Fiber et CURL publié le 05-03-2022
Les malheurs de la Sega Saturn : comment Sega a du cesser d'être un fabricant de console publié le 24-11-2021
Saturn's misfortune: how Sega was forced to abandon console manufacturing publié le 26-09-2021
Extract-Transform-Load : faire de l'ETL avec PHP publié le 15-06-2020
Les helpers sont-ils anti-pattern? publié le 17-07-2018