mod_session.html.fr 34.7 KB
Newer Older
powelld's avatar
powelld committed
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 342 343 344 345 346 347 348 349 350 351 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 372 373 374 375 376 377 378 379 380 381 382 383 384 385 386 387 388 389 390 391 392 393 394 395 396 397 398 399 400 401 402 403 404 405 406 407 408 409 410 411 412 413 414 415 416 417 418 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 434 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 450 451 452 453 454 455 456 457 458 459 460 461 462 463 464 465 466 467 468 469 470 471 472 473 474 475 476 477 478 479 480 481 482 483 484 485 486 487 488 489 490 491 492 493 494 495 496 497 498 499 500 501 502 503 504 505 506 507 508 509 510 511 512 513 514 515 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 544 545 546 547 548 549 550 551 552 553 554 555 556 557 558 559 560 561 562 563 564 565 566 567 568 569 570 571 572 573 574 575 576 577 578
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
<!--
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
              This file is generated from xml source: DO NOT EDIT
        XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
      -->
<title>mod_session - Serveur Apache HTTP Version 2.4</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>

<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body>
<div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.4</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.4</a> &gt; <a href="./">Modules</a></div>
<div id="page-content">
<div id="preamble"><h1>Module Apache mod_session</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_session.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_session.html" title="Français">&nbsp;fr&nbsp;</a></p>
</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Support des sessions</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>session_module</td></tr>
<tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>mod_session.c</td></tr>
<tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.3 d'Apache</td></tr></table>
<h3>Sommaire</h3>

    <div class="warning"><h3>Avertissement</h3>
      <p>Le module session fait usage des cookies HTTP, et peut à ce
      titre être victime d'attaques de type Cross Site Scripting, ou
      divulguer des informations à caractère privé aux clients. Veuillez
      vous assurer que les risques ainsi encourus ont été pris en compte
      avant d'activer le support des sessions sur votre serveur.</p>
    </div>

    <p>Ce module fournit le support d'une interface de session pour
    chaque utilisateur au niveau du serveur global. Les sessions
    permettent de transmettre diverses informations  : l'utilisateur
    est-il connecté ou non, ou toute autre information qui doit être
    conservée d'une requête à l'autre.</p>

    <p>Les sessions peuvent être stockées sur le serveur, ou au niveau
    du navigateur. Les sessions peuvent également être chiffrées pour une
    sécurité accrue. Ces fonctionnalités sont réparties entre différents
    modules complémentaires de <code class="module"><a href="../mod/mod_session.html">mod_session</a></code> :
    <code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code>,
    <code class="module"><a href="../mod/mod_session_cookie.html">mod_session_cookie</a></code> et
    <code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>. Chargez les modules appropriés
    en fonction des besoins du serveur (soit statiquement à la
    compilation, soit dynamiquement via la directive <code class="directive"><a href="../mod/mod_so.html#loadmodule">LoadModule</a></code>).</p>

    <p>Les sessions peuvent être manipulées par d'autres modules qui
    dépendent de la session, ou la session peut être lue et écrite dans
    des variables d'environnement et des en-têtes HTTP, selon les
    besoins.</p>

</div>
<div id="quickview"><a href="https://www.apache.org/foundation/contributing.html" class="badge"><img src="https://www.apache.org/images/SupportApache-small.png" alt="Support Apache!" /></a><h3>Sujets</h3>
<ul id="topics">
<li><img alt="" src="../images/down.gif" /> <a href="#whatisasession">Qu'est-ce qu'une session ?</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#whocanuseasession">Qui peut utiliser une session
    ?</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#serversession">Stockage des sessions sur le
    serveur</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#browsersession">Stockage des sessions au niveau
    du navigateur</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#basicexamples">Exemples simples</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionprivacy">Confidentialité des
    sessions</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#cookieprivacy">Confidentialité du cookie</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#authentication">Support des sessions pour
    l'authentification</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#integration">Intégration des sessions avec les
    applications externes</a></li>
</ul><h3 class="directives">Directives</h3>
<ul id="toc">
<li><img alt="" src="../images/down.gif" /> <a href="#session">Session</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionenv">SessionEnv</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionexclude">SessionExclude</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionheader">SessionHeader</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessioninclude">SessionInclude</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionmaxage">SessionMaxAge</a></li>
</ul>
<h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&amp;list_id=144532&amp;product=Apache%20httpd-2&amp;query_format=specific&amp;order=changeddate%20DESC%2Cpriority%2Cbug_severity&amp;component=mod_session">Problèmes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&amp;component=mod_session">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
<ul class="seealso">
<li><code class="module"><a href="../mod/mod_session_cookie.html">mod_session_cookie</a></code></li>
<li><code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code></li>
<li><code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code></li>
<li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="whatisasession" id="whatisasession">Qu'est-ce qu'une session ?</a></h2>
      <p>Au coeur de l'interface de session se trouve une table de
      paires clé/valeur qui sont accessibles d'une requête du navigateur
      à l'autre. Les valeurs de clés peuvent se voir affecter toute chaîne
      de caractères valide, en fonction des besoins de l'application qui
      fait usage de la session.</p>

      <p>Une "session" est une chaîne
      <strong>application/x-www-form-urlencoded</strong> qui contient la
      paire clé/valeur définie par la <a href="http://www.w3.org/TR/html4/">spécification HTML</a>.</p>

      <p>Selon les souhaits de l'administrateur, la session peut être
      chiffrée et codée en base64 avant d'être soumise au dispositif de
      stockage.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="whocanuseasession" id="whocanuseasession">Qui peut utiliser une session
    ?</a></h2>
      <p>L'interface de session a été conçue à l'origine pour être
      utilisée par d'autres modules du serveur comme
      <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code> ; les applications à base de
      programmes CGI peuvent cependant se voir accorder l'accès au
      contenu d'une session via la variable d'environnement
      HTTP_SESSION. Il est possible de modifier et/ou de mettre à jour
      une session en insérant un en-tête de réponse HTTP contenant les
      nouveaux paramètres de session.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="serversession" id="serversession">Stockage des sessions sur le
    serveur</a></h2>
      <p>Apache peut être configuré pour stocker les sessions
      utilisateurs sur un serveur particulier ou un groupe de serveurs.
      Cette fonctionnalité est similaire aux sessions disponibles sur
      les serveurs d'applications courants.</p>

      <p>Selon la configuration, les sessions sont suivies à
      partir d'un identifiant de session stocké dans un cookie, ou
      extraites de la chaîne de paramètres de l'URL, comme dans les
      requêtes GET courantes.</p>

      <p>Comme le contenu de la session est stocké exclusivement sur le
      serveur, il est nécessaire de préserver la confidentialité de ce
      contenu. Ceci a des implications en matière de performance et de
      consommation de ressources lorsqu'un grand nombre de sessions est
      stocké, ou lorsqu'un grand nombre de serveurs doivent se partager
      les sessions entre eux.</p>

      <p>Le module <code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code> permet de stocker
      les sessions utilisateurs dans une base de données SQL via le
      module <code class="module"><a href="../mod/mod_dbd.html">mod_dbd</a></code>.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="browsersession" id="browsersession">Stockage des sessions au niveau
    du navigateur</a></h2>
      <p>Dans les environnements à haut trafic où le stockage d'une
      session sur un serveur consomme trop
      de ressources, il est possible de stocker le contenu de la session
      dans un cookie au niveau du navigateur client.</p>

      <p>Ceci a pour avantage de ne nécessiter qu'une quantité minimale de
      ressources sur le serveur pour suivre les sessions, et évite à
      plusieurs serveurs parmi une forêt de serveurs de devoir partager
      les informations de session.</p>

      <p>Le contenu de la session est cependant présenté au client, avec
      pour conséquence un risque de perte de confidentialité. Le module
      <code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code> peut être configuré pour
      chiffrer le contenu de la session avant qu'elle soit stockée au
      niveau du client.</p>

      <p>Le module <code class="module"><a href="../mod/mod_session_cookie.html">mod_session_cookie</a></code> permet de stocker
      les sessions au niveau du navigateur dans un cookie HTTP.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="basicexamples" id="basicexamples">Exemples simples</a></h2>

      <p>La création d'une session consiste simplement à ouvrir la
      session, et à décider de l'endroit où elle doit être stockée. Dans
      l'exemple suivant, la session sera stockée au niveau du
      navigateur, dans un cookie nommé <code>session</code>.</p>

      <div class="example"><h3>Session stockée au niveau du navigateur</h3><pre class="prettyprint lang-config">Session On
SessionCookieName session path=/</pre>
</div>

      <p>Une session est inutile s'il n'est pas possible d'y lire
      ou d'y écrire. L'exemple suivant montre comment des valeurs
      peuvent être injectées dans une session à l'aide d'un en-tête de
      réponse HTTP prédéterminé nommé
      <code>X-Replace-Session</code>.</p>

      <div class="example"><h3>Ecriture dans une session</h3><pre class="prettyprint lang-config">Session On
SessionCookieName session path=/
SessionHeader X-Replace-Session</pre>
</div>

      <p>L'en-tête doit contenir des paires clé/valeur sous le même
      format que celui de la chaîne d'argument d'une URL, comme dans
      l'exemple suivant. Donner pour valeur à une clé la chaîne vide a
      pour effet de supprimer la clé de la session.</p>

      <div class="example"><h3>Script CGI pour écrire dans une session</h3><pre class="prettyprint lang-sh">#!/bin/bash
echo "Content-Type: text/plain"
echo "X-Replace-Session: key1=foo&amp;key2=&amp;key3=bar"
echo
env</pre>
</div>

      <p>Selon la configuration, les informations de la session peuvent
      être extraites de la variable d'environnement HTTP_SESSION. Par
      défaut la session est privée, et cette fonctionnalité doit donc
      être explicitement activée via la directive <code class="directive"><a href="#sessionenv">SessionEnv</a></code>.</p>

      <div class="example"><h3>Lecture depuis une session</h3><pre class="prettyprint lang-config">Session On
SessionEnv On
SessionCookieName session path=/
SessionHeader X-Replace-Session</pre>
</div>

      <p>Une fois la lecture effectuée, la variable CGI
      <code>HTTP_SESSION</code> doit contenir la valeur
      <code>clé1=foo&amp;clé3=bar</code>.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="sessionprivacy" id="sessionprivacy">Confidentialité des
    sessions</a></h2>

      <p>En utilisant la fonctionnalité de votre navigateur "Afficher
      les cookies", vous pouvez voir une réprésentation de la session
      sous forme de texte en clair. Ceci peut poser problème si le
      contenu de la session doit être dissimulé à l'utilisateur final,
      ou si un tiers accède sans autorisation aux informations de
      session.</p>

      <p>À ce titre, le contenu de la session peut être chiffré à l'aide
      du module <code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code> avant d'être stocké
      au niveau du navigateur.</p>

      <div class="example"><h3>Session chiffrée avant stockage au niveau du
      navigateur</h3><pre class="prettyprint lang-config">Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/</pre>
</div>

      <p>La session sera automatiquement déchiffrée à la lecture, et
      rechiffrée par Apache lors de la sauvegarde, si bien que
      l'application sous-jacente qui utilise la session n'a pas à se
      préoccuper de savoir si un chiffrement a été mis en oeuvre ou
      non.</p>

      <p>Les sessions stockées sur le serveur plutôt qu'au niveau du
      navigateur peuvent aussi être chiffrées, préservant par là-même la
      confidentialité lorsque des informations sensibles sont partagées
      entre les serveurs web d'une forêt de serveurs à l'aide du module
      <code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="cookieprivacy" id="cookieprivacy">Confidentialité du cookie</a></h2>

      <p>Le mécanisme de cookie HTTP offre aussi des fonctionnalités
      quant à la confidentialité, comme la possibilité de
      restreindre le transport du cookie aux pages protégées par SSL
      seulement, ou l'interdiction pour les scripts java qui
      s'exécutent au niveau du navigateur d'obtenir l'accès au contenu
      du cookie.</p>

      <div class="warning"><h3>Avertissement</h3>
      <p>Certaines fonctionnalités de confidentialité du cookie HTTP ne
      sont pas standardisées, ou ne sont pas toujours implémentées au
      niveau du navigateur. Les modules de session vous permettent de
      définir les paramètres du cookie, mais il n'est pas garanti que la
      confidentialité sera respectée par le navigateur. Si la sécurité
      est la principale préoccupation, chiffrez le contenu de la session
      avec le module <code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code>, ou stockez la
      session sur le serveur avec le module
      <code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>.</p>
      </div>

      <p>Les paramètres standards du cookie peuvent être spécifiés après
      le nom du cookie comme dans l'exemple suivant :</p>

      <div class="example"><h3>Définition des paramètres du cookie</h3><pre class="prettyprint lang-config">Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/private;domain=example.com;httponly;secure;</pre>
</div>

      <p>Dans les cas où le serveur Apache sert de frontal pour des
      serveurs d'arrière-plan, il est possible de supprimer les cookies
      de session des en-têtes HTTP entrants à l'aide de la directive
      <code class="directive"><a href="../mod/mod_session_cookie.html#sessioncookieremove">SessionCookieRemove</a></code>. Ceci
      permet d'empêcher les serveurs d'arrière-plan d'accéder au contenu
      des cookies de session.
      </p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="authentication" id="authentication">Support des sessions pour
    l'authentification</a></h2>

      <p>Comme il est possible de le faire avec de nombreux serveurs
      d'applications, les modules d'authentification peuvent utiliser
      une session pour stocker le nom d'utilisateur et le mot de passe
      après connexion. Le module <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code> par
      exemple, sauvegarde les nom de connexion et mot de passe de
      l'utilisateur dans une session.</p>

      <div class="example"><h3>Authentification à base de formulaire</h3><pre class="prettyprint lang-config">Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/
AuthFormProvider file
AuthUserFile "conf/passwd"
AuthType form
AuthName realm
#...</pre>
</div>

      <p>Pour la documentation et des exemples complets, voir le module
      <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code>.</p>

    </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="integration" id="integration">Intégration des sessions avec les
    applications externes</a></h2>

      <p>Pour que les sessions soient utiles, leur contenu doit être
      accessible aux applications externes, et ces dernières doivent
      elles-mêmes être capables d'écrire une session.</p>

      <p>L'exemple type est une application qui modifie le mot de passe
      d'un utilisateur défini par <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code>. Cette
      application doit pouvoir extraire les nom d'utilisateur et mot de
      passe courants de la session, effectuer les modifications
      demandées, puis écrire le nouveau mot de passe dans la session,
      afin que la transition vers le nouveau mot de passe soit
      transparente.</p>

      <p>Un autre exemple met en jeu une application qui enregistre un
      nouvel utilisateur pour la première fois. Une fois
      l'enregistrement terminé, le nom d'utilisateur et le mot de passe
      sont écrits dans la session, fournissant là aussi une transition
      transparente.</p>

      <dl>
      <dt>Modules Apache</dt>
      <dd>Selon les besoins, les modules du serveur peuvent utiliser
      l'API <strong>mod_session.h</strong> pour lire et écrire dans les
      sessions. Les modules tels que <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code>
      utilisent ce mécanisme.
      </dd>

      <dt>Programmes CGI et langages de script</dt>
      <dd>Les applications qui s'exécutent au sein du serveur web
      peuvent éventuellement extraire la valeur de la session de la
      variable d'environnement <strong>HTTP_SESSION</strong>. La session
      doit être codée sous la forme d'une chaîne
      <strong>application/x-www-form-urlencoded</strong> selon les
      préconisations de la <a href="http://www.w3.org/TR/html4/">specification HTML</a>. Cette
      variable d'environnement est définie via la directive <code class="directive"><a href="#sessionenv">SessionEnv</a></code>. Un script peut écrire
      dans la session en renvoyant un en-tête de réponse
      <strong>application/x-www-form-urlencoded</strong> dont le nom est
      défini via la directive <code class="directive"><a href="#sessionheader">SessionHeader</a></code>. Dans les deux cas,
      tout chiffrement ou déchiffrement, ainsi que la lecture ou
      l'écriture de ou vers la session à partir du mécanisme de stockage
      choisi sont gérés par le module <code class="module"><a href="../mod/mod_session.html">mod_session</a></code> et la
      configuration correspondante.
      </dd>

      <dt>Applications situées derrière <code class="module"><a href="../mod/mod_proxy.html">mod_proxy</a></code></dt>
      <dd>Si la directive <code class="directive"><a href="#sessionheader">SessionHeader</a></code> est utilisée pour
      définir un en-tête de requête HTTP, la session codée sous la forme
      d'une chaîne <strong>application/x-www-form-urlencoded</strong>
      sera accessible pour l'application. Si ce même en-tête est fourni
      dans la réponse, sa valeur sera utilisée pour remplacer la
      session. Comme précédemment, tout chiffrement ou déchiffrement,
      ainsi que la lecture ou
      l'écriture de ou vers la session à partir du mécanisme de stockage
      choisi sont gérés par le module <code class="module"><a href="../mod/mod_session.html">mod_session</a></code> et la
      configuration correspondante.</dd>

      <dt>Applications indépendantes</dt>
      <dd>Les applications peuvent choisir de manipuler la session en
      s'affranchissant du contrôle du serveur HTTP Apache. Dans ce cas,
      c'est l'application qui doit prendre en charge la lecture de la
      session depuis le mécanisme de stockage choisi, son déchiffrement,
      sa mise à jour, son chiffrement et sa réécriture vers le mécanisme
      de stockage choisi de manière appropriée.</dd>
      </dl>

    </div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="session" id="session">Directive</a> <a name="Session" id="Session">Session</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Ouvre une session pour le contexte courant</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>Session On|Off</code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>Session Off</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
    <p>La directive <code class="directive">Session</code> permet d'ouvrir une
    session pour le contexte ou conteneur courant. Les directives
    suivantes permettent de définir où la session sera stockée et
    comment sera assurée la confidentialité.</p>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionenv" id="sessionenv">Directive</a> <a name="SessionEnv" id="SessionEnv">SessionEnv</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit si le contenu de la session doit être enregistré
dans la variable d'environnement <var>HTTP_SESSION</var></td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionEnv On|Off</code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SessionEnv Off</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
    <p>Lorsque la directive <code class="directive">SessionEnv</code> est
    définie à <var>On</var>, le contenu de la session est enregistré
    dans une variable d'environnement CGI nommée
    <var>HTTP_SESSION</var>.</p>

    <p>La chaîne est écrite sous le même format que celui de la chaîne
    d'arguments d'une URL, comme dans l'exemple suivant :</p>

    <div class="example"><p><code>
      <code>clé1=foo&amp;clé3=bar</code>
    </code></p></div>


</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionexclude" id="sessionexclude">Directive</a> <a name="SessionExclude" id="SessionExclude">SessionExclude</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les préfixes d'URLs pour lesquels une session sera
ignorée</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionExclude <var>chemin</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
    <p>La directive <code class="directive">SessionExclude</code> permet de
    définir les préfixes d'URLs pour lesquels la session sera
    désactivée. Ceci peut améliorer l'efficacité d'un site web, en
    ciblant de manière plus précise l'espace d'URL pour lequel une
    session devra être maintenue. Par défaut, toutes les URLs du
    contexte ou du conteneur courant sont incluses dans la session. La
    directive <code class="directive"><a href="#sessionexclude">SessionExclude</a></code>
    l'emporte sur la directive <code class="directive"><a href="#sessioninclude">SessionInclude</a></code>.</p>

    <div class="warning"><h3>Avertissement</h3>
    <p>Cette directive a un comportement similaire à celui de l'attribut
    <var>chemin</var> des cookies HTTP, mais ne doit pas être confondue
    avec cet attribut. En effet, cette directive ne définit pas
    l'attribut <var>chemin</var>, qui doit être configuré
    séparément.</p></div>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionheader" id="sessionheader">Directive</a> <a name="SessionHeader" id="SessionHeader">SessionHeader</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Importation des mises à jour de session depuis l'en-tête de
réponse HTTP spécifié</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionHeader <var>en-tête</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
    <p>La directive <code class="directive">SessionHeader</code> permet de
    définir le nom d'un en-tête de réponse HTTP qui, s'il est présent,
    sera lu et son contenu écrit dans la session courante.</p>

    <p>Le contenu de l'en-tête doit se présenter sous le même format que
    celui de la chaîne d'arguments d'une URL, comme dans l'exemple
    suivant :</p>

    <div class="example"><p><code>
      <code>clé1=foo&amp;clé2=&amp;clé3=bar</code>
    </code></p></div>

    <p>Si une clé a pour valeur la chaîne vide, elle sera supprimée de
    la session.</p>


</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessioninclude" id="sessioninclude">Directive</a> <a name="SessionInclude" id="SessionInclude">SessionInclude</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les préfixes d'URL pour lesquels une session est
valide</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionInclude <var>chemin</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>toutes URLs</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
    <p>La directive <code class="directive">SessionInclude</code> permet de
    définir les préfixes d'URL spécifiques pour lesquels une session
    sera valide. Ceci peut améliorer l'efficacité d'un site web, en
    ciblant de manière plus précise l'espace d'URL pour lequel une
    session devra être maintenue. Par défaut, toutes les URLs du
    contexte ou du conteneur courant sont incluses dans la session.</p>

    <div class="warning"><h3>Avertissement</h3>
    <p>Cette directive a un comportement similaire à celui de l'attribut
    <var>chemin</var> des cookies HTTP, mais ne doit pas être confondue
    avec cet attribut. En effet, cette directive ne définit pas
    l'attribut <var>chemin</var>, qui doit être configuré séparément.</p></div>

</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionmaxage" id="sessionmaxage">Directive</a> <a name="SessionMaxAge" id="SessionMaxAge">SessionMaxAge</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit une durée de vie maximale pour la session en
secondes</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionMaxAge <var>durée de vie maximale</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SessionMaxAge 0</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
    <p>La directive <code class="directive">SessionMaxAge</code> permet de
    définir la durée maximale pendant laquelle une session restera
    valide. Lorsqu'une session est sauvegardée, cette durée est
    réinitialisée et la session peut continuer d'exister. Si la durée
    d'une session dépasse cette limite sans qu'une requête au serveur ne
    vienne la rafraîchir, la session va passer hors délai et sera
    supprimée. Lorsqu'une session est utilisée pour stocker les
    informations de connexion d'un utilisateur, ceci aura pour effet de
    le déconnecter automatiquement après le délai spécifié.</p>

    <p>Donner à cette directive la valeur 0 empêche l'expiration de la
    session.</p>

</div>
</div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_session.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_session.html" title="Français">&nbsp;fr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/2.4/mod/mod_session.html';
(function(w, d) {
    if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
        d.write('<div id="comments_thread"><\/div>');
        var s = d.createElement('script');
        s.type = 'text/javascript';
        s.async = true;
        s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
        (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
    }
    else { 
        d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
    }
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2017 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
    prettyPrint();
}
//--><!]]></script>
</body></html>