<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_session

Langues Disponibles:  en  |  fr 

Description:Support des sessions
Statut:Extension
Identificateur´┐Żde´┐ŻModule:session_module
Fichier´┐ŻSource:mod_session.c
Compatibilit´┐Ż:Disponible depuis la version 2.3 d'Apache

Sommaire

Avertissement

Le module session fait usage des cookies HTTP, et peut ´┐Ż ce titre ´┐Żtre victime d'attaques de type Cross Site Scripting, ou divulguer des informations ´┐Ż caract´┐Żre priv´┐Ż aux clients. Veuillez vous assurer que les risques ainsi encourus ont ´┐Żt´┐Ż pris en compte avant d'activer le support des sessions sur votre serveur.

Ce module fournit le support d'une interface de session pour chaque utilisateur au niveau du serveur global. Les sessions permettent de transmettre diverses informations : l'utilisateur est-il connect´┐Ż ou non, ou toute autre information qui doit ´┐Żtre conserv´┐Że d'une requ´┐Żte ´┐Ż l'autre.

Les sessions peuvent ´┐Żtre stock´┐Żes sur le serveur, ou au niveau du navigateur. Les sessions peuvent ´┐Żgalement ´┐Żtre chiffr´┐Żes pour une s´┐Żcurit´┐Ż accrue. Ces fonctionnalit´┐Żs sont r´┐Żparties entre diff´┐Żrents modules compl´┐Żmentaires de mod_session : mod_session_crypto, mod_session_cookie et mod_session_dbd. Chargez les modules appropri´┐Żs en fonction des besoins du serveur (soit statiquement ´┐Ż la compilation, soit dynamiquement via la directive LoadModule).

Les sessions peuvent ´┐Żtre manipul´┐Żes par d'autres modules qui d´┐Żpendent de la session, ou la session peut ´┐Żtre lue et ´┐Żcrite dans des variables d'environnement et des en-t´┐Żtes HTTP, selon les besoins.

Directives

Sujets

Voir aussi

top

Qu'est-ce qu'une session ?

Au coeur de l'interface de session se trouve une table de paires cl´┐Ż/valeur qui sont accessibles d'une requ´┐Żte du navigateur ´┐Ż l'autre. Les valeurs de cl´┐Żs peuvent se voir affecter toute cha´┐Żne de caract´┐Żres valide, en fonction des besoins de l'application qui fait usage de la session.

Une "session" est une cha´┐Żne application/x-www-form-urlencoded qui contient la paire cl´┐Ż/valeur d´┐Żfinie par la sp´┐Żcification HTML.

Selon les souhaits de l'administrateur, la session peut ´┐Żtre chiffr´┐Że et cod´┐Że en base64 avant d'´┐Żtre soumise au dispositif de stockage.

top

Qui peut utiliser une session ?

L'interface de session a ´┐Żt´┐Ż con´┐Żue ´┐Ż l'origine pour ´┐Żtre utilis´┐Że par d'autres modules du serveur comme mod_auth_form ; les applications ´┐Ż base de programmes CGI peuvent cependant se voir accorder l'acc´┐Żs au contenu d'une session via la variable d'environnement HTTP_SESSION. Il est possible de modifier et/ou de mettre ´┐Ż jour une session en ins´┐Żrant un en-t´┐Żte de r´┐Żponse HTTP contenant les nouveaux param´┐Żtres de session.

top

Stockage des sessions sur le serveur

Apache peut ´┐Żtre configur´┐Ż pour stocker les sessions utilisateurs sur un serveur particulier ou un groupe de serveurs. Cette fonctionnalit´┐Ż est similaire aux sessions disponibles sur les serveurs d'applications courants.

Selon la configuration, les sessions sont suivies ´┐Ż partir d'un identifiant de session stock´┐Ż dans un cookie, ou extraites de la cha´┐Żne de param´┐Żtres de l'URL, comme dans les requ´┐Żtes GET courantes.

Comme le contenu de la session est stock´┐Ż exclusivement sur le serveur, il est n´┐Żcessaire de pr´┐Żserver la confidentialit´┐Ż de ce contenu. Ceci a des implications en mati´┐Żre de performance et de consommation de ressources lorsqu'un grand nombre de sessions est stock´┐Ż, ou lorsqu'un grand nombre de serveurs doivent se partager les sessions entre eux.

Le module mod_session_dbd permet de stocker les sessions utilisateurs dans une base de donn´┐Żes SQL via le module mod_dbd.

top

Stockage des sessions au niveau du navigateur

Dans les environnements ´┐Ż haut trafic o´┐Ż le stockage d'une session sur un serveur consomme trop de ressources, il est possible de stocker le contenu de la session dans un cookie au niveau du navigateur client.

Ceci a pour avantage de ne n´┐Żcessiter qu'une quantit´┐Ż minimale de ressources sur le serveur pour suivre les sessions, et ´┐Żvite ´┐Ż plusieurs serveurs parmi une for´┐Żt de serveurs de devoir partager les informations de session.

Le contenu de la session est cependant pr´┐Żsent´┐Ż au client, avec pour cons´┐Żquence un risque de perte de confidentialit´┐Ż. Le module mod_session_crypto peut ´┐Żtre configur´┐Ż pour chiffrer le contenu de la session avant qu'elle soit stock´┐Że au niveau du client.

Le module mod_session_cookie permet de stocker les sessions au niveau du navigateur dans un cookie HTTP.

top

Exemples simples

La cr´┐Żation d'une session consiste simplement ´┐Ż ouvrir la session, et ´┐Ż d´┐Żcider de l'endroit o´┐Ż elle doit ´┐Żtre stock´┐Że. Dans l'exemple suivant, la session sera stock´┐Że au niveau du navigateur, dans un cookie nomm´┐Ż session.

Session stock´┐Że au niveau du navigateur

Session On
SessionCookieName session path=/

Une session est inutile s'il n'est pas possible d'y lire ou d'y ´┐Żcrire. L'exemple suivant montre comment des valeurs peuvent ´┐Żtre inject´┐Żes dans une session ´┐Ż l'aide d'un en-t´┐Żte de r´┐Żponse HTTP pr´┐Żd´┐Żtermin´┐Ż nomm´┐Ż X-Replace-Session.

Ecriture dans une session

Session On
SessionCookieName session path=/
SessionHeader X-Replace-Session

L'en-t´┐Żte doit contenir des paires cl´┐Ż/valeur sous le m´┐Żme format que celui de la cha´┐Żne d'argument d'une URL, comme dans l'exemple suivant. Donner pour valeur ´┐Ż une cl´┐Ż la cha´┐Żne vide a pour effet de supprimer la cl´┐Ż de la session.

Script CGI pour ´┐Żcrire dans une session

#!/bin/bash
echo "Content-Type: text/plain"
echo "X-Replace-Session: key1=foo&key2=&key3=bar"
echo
env

Selon la configuration, les informations de la session peuvent ´┐Żtre extraites de la variable d'environnement HTTP_SESSION. Par d´┐Żfaut la session est priv´┐Że, et cette fonctionnalit´┐Ż doit donc ´┐Żtre explicitement activ´┐Że via la directive SessionEnv.

Lecture depuis une session

Session On
SessionEnv On
SessionCookieName session path=/
SessionHeader X-Replace-Session

Une fois la lecture effectu´┐Że, la variable CGI HTTP_SESSION doit contenir la valeur cl´┐Ż1=foo&cl´┐Ż3=bar.

top

Confidentialit´┐Ż des sessions

En utilisant la fonctionnalit´┐Ż de votre navigateur "Afficher les cookies", vous pouvez voir une r´┐Żpr´┐Żsentation de la session sous forme de texte en clair. Ceci peut poser probl´┐Żme si le contenu de la session doit ´┐Żtre dissimul´┐Ż ´┐Ż l'utilisateur final, ou si un tiers acc´┐Żde sans autorisation aux informations de session.

´┐Ż ce titre, le contenu de la session peut ´┐Żtre chiffr´┐Ż ´┐Ż l'aide du module mod_session_crypto avant d'´┐Żtre stock´┐Ż au niveau du navigateur.

Session chiffr´┐Że avant stockage au niveau du navigateur

Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/

La session sera automatiquement d´┐Żchiffr´┐Że ´┐Ż la lecture, et rechiffr´┐Że par Apache lors de la sauvegarde, si bien que l'application sous-jacente qui utilise la session n'a pas ´┐Ż se pr´┐Żoccuper de savoir si un chiffrement a ´┐Żt´┐Ż mis en oeuvre ou non.

Les sessions stock´┐Żes sur le serveur plut´┐Żt qu'au niveau du navigateur peuvent aussi ´┐Żtre chiffr´┐Żes, pr´┐Żservant par l´┐Ż-m´┐Żme la confidentialit´┐Ż lorsque des informations sensibles sont partag´┐Żes entre les serveurs web d'une for´┐Żt de serveurs ´┐Ż l'aide du module mod_session_dbd.

top

Confidentialit´┐Ż du cookie

Le m´┐Żcanisme de cookie HTTP offre aussi des fonctionnalit´┐Żs quant ´┐Ż la confidentialit´┐Ż, comme la possibilit´┐Ż de restreindre le transport du cookie aux pages prot´┐Żg´┐Żes par SSL seulement, ou l'interdiction pour les scripts java qui s'ex´┐Żcutent au niveau du navigateur d'obtenir l'acc´┐Żs au contenu du cookie.

Avertissement

Certaines fonctionnalit´┐Żs de confidentialit´┐Ż du cookie HTTP ne sont pas standardis´┐Żes, ou ne sont pas toujours impl´┐Żment´┐Żes au niveau du navigateur. Les modules de session vous permettent de d´┐Żfinir les param´┐Żtres du cookie, mais il n'est pas garanti que la confidentialit´┐Ż sera respect´┐Że par le navigateur. Si la s´┐Żcurit´┐Ż est la principale pr´┐Żoccupation, chiffrez le contenu de la session avec le module mod_session_crypto, ou stockez la session sur le serveur avec le module mod_session_dbd.

Les param´┐Żtres standards du cookie peuvent ´┐Żtre sp´┐Żcifi´┐Żs apr´┐Żs le nom du cookie comme dans l'exemple suivant :

D´┐Żfinition des param´┐Żtres du cookie

Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/private;domain=example.com;httponly;secure;

Dans les cas o´┐Ż le serveur Apache sert de frontal pour des serveurs d'arri´┐Żre-plan, il est possible de supprimer les cookies de session des en-t´┐Żtes HTTP entrants ´┐Ż l'aide de la directive SessionCookieRemove. Ceci permet d'emp´┐Żcher les serveurs d'arri´┐Żre-plan d'acc´┐Żder au contenu des cookies de session.

top

Support des sessions pour l'authentification

Comme il est possible de le faire avec de nombreux serveurs d'applications, les modules d'authentification peuvent utiliser une session pour stocker le nom d'utilisateur et le mot de passe apr´┐Żs connexion. Le module mod_auth_form par exemple, sauvegarde les nom de connexion et mot de passe de l'utilisateur dans une session.

Authentification ´┐Ż base de formulaire

Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/
AuthFormProvider file
AuthUserFile conf/passwd
AuthType form
AuthName realm
#...

Pour la documentation et des exemples complets, voir le module mod_auth_form.

top

Int´┐Żgration des sessions avec les applications externes

Pour que les sessions soient utiles, leur contenu doit ´┐Żtre accessible aux applications externes, et ces derni´┐Żres doivent elles-m´┐Żmes ´┐Żtre capables d'´┐Żcrire une session.

L'exemple type est une application qui modifie le mot de passe d'un utilisateur d´┐Żfini par mod_auth_form. Cette application doit pouvoir extraire les nom d'utilisateur et mot de passe courants de la session, effectuer les modifications demand´┐Żes, puis ´┐Żcrire le nouveau mot de passe dans la session, afin que la transition vers le nouveau mot de passe soit transparente.

Un autre exemple met en jeu une application qui enregistre un nouvel utilisateur pour la premi´┐Żre fois. Une fois l'enregistrement termin´┐Ż, le nom d'utilisateur et le mot de passe sont ´┐Żcrits dans la session, fournissant l´┐Ż aussi une transition transparente.

Modules Apache
Selon les besoins, les modules du serveur peuvent utiliser l'API mod_session.h pour lire et ´┐Żcrire dans les sessions. Les modules tels que mod_auth_form utilisent ce m´┐Żcanisme.
Programmes CGI et langages de script
Les applications qui s'ex´┐Żcutent au sein du serveur web peuvent ´┐Żventuellement extraire la valeur de la session de la variable d'environnement HTTP_SESSION. La session doit ´┐Żtre cod´┐Że sous la forme d'une cha´┐Żne application/x-www-form-urlencoded selon les pr´┐Żconisations de la specification HTML. Cette variable d'environnement est d´┐Żfinie via la directive SessionEnv. Un script peut ´┐Żcrire dans la session en renvoyant un en-t´┐Żte de r´┐Żponse application/x-www-form-urlencoded dont le nom est d´┐Żfini via la directive SessionHeader. Dans les deux cas, tout chiffrement ou d´┐Żchiffrement, ainsi que la lecture ou l'´┐Żcriture de ou vers la session ´┐Ż partir du m´┐Żcanisme de stockage choisi sont g´┐Żr´┐Żs par le module mod_session et la configuration correspondante.
Applications situ´┐Żes derri´┐Żre mod_proxy
Si la directive SessionHeader est utilis´┐Że pour d´┐Żfinir un en-t´┐Żte de requ´┐Żte HTTP, la session cod´┐Że sous la forme d'une cha´┐Żne application/x-www-form-urlencoded sera accessible pour l'application. Si ce m´┐Żme en-t´┐Żte est fourni dans la r´┐Żponse, sa valeur sera utilis´┐Że pour remplacer la session. Comme pr´┐Żc´┐Żdemment, tout chiffrement ou d´┐Żchiffrement, ainsi que la lecture ou l'´┐Żcriture de ou vers la session ´┐Ż partir du m´┐Żcanisme de stockage choisi sont g´┐Żr´┐Żs par le module mod_session et la configuration correspondante.
Applications ind´┐Żpendantes
Les applications peuvent choisir de manipuler la session en s'affranchissant du contr´┐Żle du serveur HTTP Apache. Dans ce cas, c'est l'application qui doit prendre en charge la lecture de la session depuis le m´┐Żcanisme de stockage choisi, son d´┐Żchiffrement, sa mise ´┐Ż jour, son chiffrement et sa r´┐Ż´┐Żcriture vers le m´┐Żcanisme de stockage choisi de mani´┐Żre appropri´┐Że.
top

Session Directive

Description:Ouvre une session pour le contexte courant
Syntaxe:Session On|Off
D´┐Żfaut:Session Off
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

La directive Session permet d'ouvrir une session pour le contexte ou conteneur courant. Les directives suivantes permettent de d´┐Żfinir o´┐Ż la session sera stock´┐Że et comment sera assur´┐Że la confidentialit´┐Ż.

top

SessionEnv Directive

Description:D´┐Żfinit si le contenu de la session doit ´┐Żtre enregistr´┐Ż dans la variable d'environnement HTTP_SESSION
Syntaxe:SessionEnv On|Off
D´┐Żfaut:SessionEnv Off
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

Lorsque la directive SessionEnv est d´┐Żfinie ´┐Ż On, le contenu de la session est enregistr´┐Ż dans une variable d'environnement CGI nomm´┐Że HTTP_SESSION.

La cha´┐Żne est ´┐Żcrite sous le m´┐Żme format que celui de la cha´┐Żne d'arguments d'une URL, comme dans l'exemple suivant :

cl´┐Ż1=foo&cl´┐Ż3=bar

top

SessionExclude Directive

Description:D´┐Żfinit les pr´┐Żfixes d'URLs pour lesquels une session sera ignor´┐Że
Syntaxe:SessionExclude chemin
D´┐Żfaut:none
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
Statut:Extension
Module:mod_session

La directive SessionExclude permet de d´┐Żfinir les pr´┐Żfixes d'URLs pour lesquels la session sera d´┐Żsactiv´┐Że. Ceci peut am´┐Żliorer l'efficacit´┐Ż d'un site web, en ciblant de mani´┐Żre plus pr´┐Żcise l'espace d'URL pour lequel une session devra ´┐Żtre maintenue. Par d´┐Żfaut, toutes les URLs du contexte ou du conteneur courant sont incluses dans la session. La directive SessionExclude l'emporte sur la directive SessionInclude.

Avertissement

Cette directive a un comportement similaire ´┐Ż celui de l'attribut chemin des cookies HTTP, mais ne doit pas ´┐Żtre confondue avec cet attribut. En effet, cette directive ne d´┐Żfinit pas l'attribut chemin, qui doit ´┐Żtre configur´┐Ż s´┐Żpar´┐Żment.

top

SessionHeader Directive

Description:Importation des mises ´┐Ż jour de session depuis l'en-t´┐Żte de r´┐Żponse HTTP sp´┐Żcifi´┐Ż
Syntaxe:SessionHeader en-t´┐Żte
D´┐Żfaut:none
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

La directive SessionHeader permet de d´┐Żfinir le nom d'un en-t´┐Żte de r´┐Żponse HTTP qui, s'il est pr´┐Żsent, sera lu et son contenu ´┐Żcrit dans la session courante.

Le contenu de l'en-t´┐Żte doit se pr´┐Żsenter sous le m´┐Żme format que celui de la cha´┐Żne d'arguments d'une URL, comme dans l'exemple suivant :

cl´┐Ż1=foo&cl´┐Ż2=&cl´┐Ż3=bar

Si une cl´┐Ż a pour valeur la cha´┐Żne vide, elle sera supprim´┐Że de la session.

top

SessionInclude Directive

Description:D´┐Żfinit les pr´┐Żfixes d'URL pour lesquels une session est valide
Syntaxe:SessionInclude chemin
D´┐Żfaut:toutes URLs
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

La directive SessionInclude permet de d´┐Żfinir les pr´┐Żfixes d'URL sp´┐Żcifiques pour lesquels une session sera valide. Ceci peut am´┐Żliorer l'efficacit´┐Ż d'un site web, en ciblant de mani´┐Żre plus pr´┐Żcise l'espace d'URL pour lequel une session devra ´┐Żtre maintenue. Par d´┐Żfaut, toutes les URLs du contexte ou du conteneur courant sont incluses dans la session.

Avertissement

Cette directive a un comportement similaire ´┐Ż celui de l'attribut chemin des cookies HTTP, mais ne doit pas ´┐Żtre confondue avec cet attribut. En effet, cette directive ne d´┐Żfinit pas l'attribut chemin, qui doit ´┐Żtre configur´┐Ż s´┐Żpar´┐Żment.

top

SessionMaxAge Directive

Description:D´┐Żfinit une dur´┐Że de vie maximale pour la session en secondes
Syntaxe:SessionMaxAge dur´┐Że de vie maximale
D´┐Żfaut:SessionMaxAge 0
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_session

La directive SessionMaxAge permet de d´┐Żfinir la dur´┐Że maximale pendant laquelle une session restera valide. Lorsqu'une session est sauvegard´┐Że, cette dur´┐Że est r´┐Żinitialis´┐Że et la session peut continuer d'exister. Si la dur´┐Że d'une session d´┐Żpasse cette limite sans qu'une requ´┐Żte au serveur ne vienne la rafra´┐Żchir, la session va passer hors d´┐Żlai et sera supprim´┐Że. Lorsqu'une session est utilis´┐Że pour stocker les informations de connexion d'un utilisateur, ceci aura pour effet de le d´┐Żconnecter automatiquement apr´┐Żs le d´┐Żlai sp´┐Żcifi´┐Ż.

Donner ´┐Ż cette directive la valeur 0 emp´┐Żche l'expiration de la session.

Langues Disponibles:  en  |  fr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.