1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
|
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=UTF-8" http-equiv="Content-Type" />
<!--
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This file is generated from xml source: DO NOT EDIT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-->
<title>mod_session - Serveur HTTP Apache Version 2.4</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>
<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body>
<div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur HTTP Apache Version 2.4</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.4</a> > <a href="./">Modules</a></div>
<div id="page-content">
<div id="preamble"><h1>Module Apache mod_session</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_session.html" hreflang="en" rel="alternate" title="English"> en </a> |
<a href="../fr/mod/mod_session.html" title="Français"> fr </a></p>
</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Support des sessions</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>session_module</td></tr>
<tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>mod_session.c</td></tr>
<tr><th><a href="module-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.3 d'Apache</td></tr></table>
<h3>Sommaire</h3>
<div class="warning"><h3>Avertissement</h3>
<p>Le module session fait usage des cookies HTTP, et peut à ce
titre être victime d'attaques de type Cross Site Scripting, ou
divulguer des informations à caractère privé aux clients. Veuillez
vous assurer que les risques ainsi encourus ont été pris en compte
avant d'activer le support des sessions sur votre serveur.</p>
</div>
<p>Ce module fournit le support d'une interface de session pour
chaque utilisateur au niveau du serveur global. Les sessions
permettent de transmettre diverses informations : l'utilisateur
est-il connecté ou non, ou toute autre information qui doit être
conservée d'une requête à l'autre.</p>
<p>Les sessions peuvent être stockées sur le serveur, ou au niveau
du navigateur. Les sessions peuvent également être chiffrées pour une
sécurité accrue. Ces fonctionnalités sont réparties entre différents
modules complémentaires de <code class="module"><a href="../mod/mod_session.html">mod_session</a></code> :
<code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code>,
<code class="module"><a href="../mod/mod_session_cookie.html">mod_session_cookie</a></code> et
<code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>. Chargez les modules appropriés
en fonction des besoins du serveur (soit statiquement à la
compilation, soit dynamiquement via la directive <code class="directive"><a href="../mod/mod_so.html#loadmodule">LoadModule</a></code>).</p>
<p>Les sessions peuvent être manipulées par d'autres modules qui
dépendent de la session, ou la session peut être lue et écrite dans
des variables d'environnement et des en-têtes HTTP, selon les
besoins.</p>
</div>
<div id="quickview"><a href="https://www.apache.org/foundation/contributing.html" class="badge"><img src="https://www.apache.org/images/SupportApache-small.png" alt="Support Apache!" /></a><h3>Sujets</h3>
<ul id="topics">
<li><img alt="" src="../images/down.gif" /> <a href="#whatisasession">Qu'est-ce qu'une session ?</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#whocanuseasession">Qui peut utiliser une session
?</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#serversession">Stockage des sessions sur le
serveur</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#browsersession">Stockage des sessions au niveau
du navigateur</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#basicexamples">Exemples simples</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionprivacy">Confidentialité des
sessions</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#cookieprivacy">Confidentialité du cookie</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#authentication">Support des sessions pour
l'authentification</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#integration">Intégration des sessions avec les
applications externes</a></li>
</ul><h3 class="directives">Directives</h3>
<ul id="toc">
<li><img alt="" src="../images/down.gif" /> <a href="#session">Session</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionenv">SessionEnv</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionexclude">SessionExclude</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionexpiryupdateinterval">SessionExpiryUpdateInterval</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionheader">SessionHeader</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessioninclude">SessionInclude</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#sessionmaxage">SessionMaxAge</a></li>
</ul>
<h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&list_id=144532&product=Apache%20httpd-2&query_format=specific&order=changeddate%20DESC%2Cpriority%2Cbug_severity&component=mod_session">Problèmes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&component=mod_session">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
<ul class="seealso">
<li><code class="module"><a href="../mod/mod_session_cookie.html">mod_session_cookie</a></code></li>
<li><code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code></li>
<li><code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code></li>
<li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="whatisasession" id="whatisasession">Qu'est-ce qu'une session ?</a></h2>
<p>Au coeur de l'interface de session se trouve une table de
paires clé/valeur qui sont accessibles d'une requête du navigateur
à l'autre. Les valeurs de clés peuvent se voir affecter toute chaîne
de caractères valide, en fonction des besoins de l'application qui
fait usage de la session.</p>
<p>Une "session" est une chaîne
<strong>application/x-www-form-urlencoded</strong> qui contient la
paire clé/valeur définie par la <a href="http://www.w3.org/TR/html4/">spécification HTML</a>.</p>
<p>Selon les souhaits de l'administrateur, la session peut être
chiffrée et codée en base64 avant d'être soumise au dispositif de
stockage.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="whocanuseasession" id="whocanuseasession">Qui peut utiliser une session
?</a></h2>
<p>L'interface de session a été conçue à l'origine pour être
utilisée par d'autres modules du serveur comme
<code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code> ; les applications à base de
programmes CGI peuvent cependant se voir accorder l'accès au
contenu d'une session via la variable d'environnement
HTTP_SESSION. Il est possible de modifier et/ou de mettre à jour
une session en insérant un en-tête de réponse HTTP contenant les
nouveaux paramètres de session.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="serversession" id="serversession">Stockage des sessions sur le
serveur</a></h2>
<p>Apache peut être configuré pour stocker les sessions
utilisateurs sur un serveur particulier ou un groupe de serveurs.
Cette fonctionnalité est similaire aux sessions disponibles sur
les serveurs d'applications courants.</p>
<p>Selon la configuration, les sessions sont suivies à
partir d'un identifiant de session stocké dans un cookie, ou
extraites de la chaîne de paramètres de l'URL, comme dans les
requêtes GET courantes.</p>
<p>Comme le contenu de la session est stocké exclusivement sur le
serveur, il est nécessaire de préserver la confidentialité de ce
contenu. Ceci a des implications en matière de performance et de
consommation de ressources lorsqu'un grand nombre de sessions est
stocké, ou lorsqu'un grand nombre de serveurs doivent se partager
les sessions entre eux.</p>
<p>Le module <code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code> permet de stocker
les sessions utilisateurs dans une base de données SQL via le
module <code class="module"><a href="../mod/mod_dbd.html">mod_dbd</a></code>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="browsersession" id="browsersession">Stockage des sessions au niveau
du navigateur</a></h2>
<p>Dans les environnements à haut trafic où le stockage d'une
session sur un serveur consomme trop
de ressources, il est possible de stocker le contenu de la session
dans un cookie au niveau du navigateur client.</p>
<p>Ceci a pour avantage de ne nécessiter qu'une quantité minimale de
ressources sur le serveur pour suivre les sessions, et évite à
plusieurs serveurs parmi une forêt de serveurs de devoir partager
les informations de session.</p>
<p>Le contenu de la session est cependant présenté au client, avec
pour conséquence un risque de perte de confidentialité. Le module
<code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code> peut être configuré pour
chiffrer le contenu de la session avant qu'elle soit stockée au
niveau du client.</p>
<p>Le module <code class="module"><a href="../mod/mod_session_cookie.html">mod_session_cookie</a></code> permet de stocker
les sessions au niveau du navigateur dans un cookie HTTP.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="basicexamples" id="basicexamples">Exemples simples</a></h2>
<p>La création d'une session consiste simplement à ouvrir la
session, et à décider de l'endroit où elle doit être stockée. Dans
l'exemple suivant, la session sera stockée au niveau du
navigateur, dans un cookie nommé <code>session</code>.</p>
<div class="example"><h3>Session stockée au niveau du navigateur</h3><pre class="prettyprint lang-config">Session On
SessionCookieName session path=/</pre>
</div>
<p>Une session est inutile s'il n'est pas possible d'y lire
ou d'y écrire. L'exemple suivant montre comment des valeurs
peuvent être injectées dans une session à l'aide d'un en-tête de
réponse HTTP prédéterminé nommé
<code>X-Replace-Session</code>.</p>
<div class="example"><h3>Ecriture dans une session</h3><pre class="prettyprint lang-config">Session On
SessionCookieName session path=/
SessionHeader X-Replace-Session</pre>
</div>
<p>L'en-tête doit contenir des paires clé/valeur sous le même
format que celui de la chaîne d'argument d'une URL, comme dans
l'exemple suivant. Donner pour valeur à une clé la chaîne vide a
pour effet de supprimer la clé de la session.</p>
<div class="example"><h3>Script CGI pour écrire dans une session</h3><pre class="prettyprint lang-sh">#!/bin/bash
echo "Content-Type: text/plain"
echo "X-Replace-Session: key1=foo&key2=&key3=bar"
echo
env</pre>
</div>
<p>Selon la configuration, les informations de la session peuvent
être extraites de la variable d'environnement HTTP_SESSION. Par
défaut la session est privée, et cette fonctionnalité doit donc
être explicitement activée via la directive <code class="directive"><a href="#sessionenv">SessionEnv</a></code>.</p>
<div class="example"><h3>Lecture depuis une session</h3><pre class="prettyprint lang-config">Session On
SessionEnv On
SessionCookieName session path=/
SessionHeader X-Replace-Session</pre>
</div>
<p>Une fois la lecture effectuée, la variable CGI
<code>HTTP_SESSION</code> doit contenir la valeur
<code>clé1=foo&clé3=bar</code>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="sessionprivacy" id="sessionprivacy">Confidentialité des
sessions</a></h2>
<p>En utilisant la fonctionnalité de votre navigateur "Afficher
les cookies", vous pouvez voir une réprésentation de la session
sous forme de texte en clair. Ceci peut poser problème si le
contenu de la session doit être dissimulé à l'utilisateur final,
ou si un tiers accède sans autorisation aux informations de
session.</p>
<p>À ce titre, le contenu de la session peut être chiffré à l'aide
du module <code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code> avant d'être stocké
au niveau du navigateur.</p>
<div class="example"><h3>Session chiffrée avant stockage au niveau du
navigateur</h3><pre class="prettyprint lang-config">Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/</pre>
</div>
<p>La session sera automatiquement déchiffrée à la lecture, et
rechiffrée par Apache lors de la sauvegarde, si bien que
l'application sous-jacente qui utilise la session n'a pas à se
préoccuper de savoir si un chiffrement a été mis en oeuvre ou
non.</p>
<p>Les sessions stockées sur le serveur plutôt qu'au niveau du
navigateur peuvent aussi être chiffrées, préservant par là-même la
confidentialité lorsque des informations sensibles sont partagées
entre les serveurs web d'une forêt de serveurs à l'aide du module
<code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="cookieprivacy" id="cookieprivacy">Confidentialité du cookie</a></h2>
<p>Le mécanisme de cookie HTTP offre aussi des fonctionnalités
quant à la confidentialité, comme la possibilité de
restreindre le transport du cookie aux pages protégées par SSL
seulement, ou l'interdiction pour les scripts java qui
s'exécutent au niveau du navigateur d'obtenir l'accès au contenu
du cookie.</p>
<div class="warning"><h3>Avertissement</h3>
<p>Certaines fonctionnalités de confidentialité du cookie HTTP ne
sont pas standardisées, ou ne sont pas toujours implémentées au
niveau du navigateur. Les modules de session vous permettent de
définir les paramètres du cookie, mais il n'est pas garanti que la
confidentialité sera respectée par le navigateur. Si la sécurité
est la principale préoccupation, chiffrez le contenu de la session
avec le module <code class="module"><a href="../mod/mod_session_crypto.html">mod_session_crypto</a></code>, ou stockez la
session sur le serveur avec le module
<code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>.</p>
</div>
<p>Les paramètres standards du cookie peuvent être spécifiés après
le nom du cookie comme dans l'exemple suivant :</p>
<div class="example"><h3>Définition des paramètres du cookie</h3><pre class="prettyprint lang-config">Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/private;domain=example.com;httponly;secure;</pre>
</div>
<p>Dans les cas où le serveur Apache sert de frontal pour des
serveurs d'arrière-plan, il est possible de supprimer les cookies
de session des en-têtes HTTP entrants à l'aide de la directive
<code class="directive"><a href="../mod/mod_session_cookie.html#sessioncookieremove">SessionCookieRemove</a></code>. Ceci
permet d'empêcher les serveurs d'arrière-plan d'accéder au contenu
des cookies de session.
</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="authentication" id="authentication">Support des sessions pour
l'authentification</a></h2>
<p>Comme il est possible de le faire avec de nombreux serveurs
d'applications, les modules d'authentification peuvent utiliser
une session pour stocker le nom d'utilisateur et le mot de passe
après connexion. Le module <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code> par
exemple, sauvegarde les nom de connexion et mot de passe de
l'utilisateur dans une session.</p>
<div class="example"><h3>Authentification à base de formulaire</h3><pre class="prettyprint lang-config">Session On
SessionCryptoPassphrase secret
SessionCookieName session path=/
AuthFormProvider file
AuthUserFile "conf/passwd"
AuthType form
AuthName "realm"
#...</pre>
</div>
<p>Pour la documentation et des exemples complets, voir le module
<code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="integration" id="integration">Intégration des sessions avec les
applications externes</a></h2>
<p>Pour que les sessions soient utiles, leur contenu doit être
accessible aux applications externes, et ces dernières doivent
elles-mêmes être capables d'écrire une session.</p>
<p>L'exemple type est une application qui modifie le mot de passe
d'un utilisateur défini par <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code>. Cette
application doit pouvoir extraire les nom d'utilisateur et mot de
passe courants de la session, effectuer les modifications
demandées, puis écrire le nouveau mot de passe dans la session,
afin que la transition vers le nouveau mot de passe soit
transparente.</p>
<p>Un autre exemple met en jeu une application qui enregistre un
nouvel utilisateur pour la première fois. Une fois
l'enregistrement terminé, le nom d'utilisateur et le mot de passe
sont écrits dans la session, fournissant là aussi une transition
transparente.</p>
<dl>
<dt>Modules Apache</dt>
<dd>Selon les besoins, les modules du serveur peuvent utiliser
l'API <strong>mod_session.h</strong> pour lire et écrire dans les
sessions. Les modules tels que <code class="module"><a href="../mod/mod_auth_form.html">mod_auth_form</a></code>
utilisent ce mécanisme.
</dd>
<dt>Programmes CGI et langages de script</dt>
<dd>Les applications qui s'exécutent au sein du serveur web
peuvent éventuellement extraire la valeur de la session de la
variable d'environnement <strong>HTTP_SESSION</strong>. La session
doit être codée sous la forme d'une chaîne
<strong>application/x-www-form-urlencoded</strong> selon les
préconisations de la <a href="http://www.w3.org/TR/html4/">specification HTML</a>. Cette
variable d'environnement est définie via la directive <code class="directive"><a href="#sessionenv">SessionEnv</a></code>. Un script peut écrire
dans la session en renvoyant un en-tête de réponse
<strong>application/x-www-form-urlencoded</strong> dont le nom est
défini via la directive <code class="directive"><a href="#sessionheader">SessionHeader</a></code>. Dans les deux cas,
tout chiffrement ou déchiffrement, ainsi que la lecture ou
l'écriture de ou vers la session à partir du mécanisme de stockage
choisi sont gérés par le module <code class="module"><a href="../mod/mod_session.html">mod_session</a></code> et la
configuration correspondante.
</dd>
<dt>Applications situées derrière <code class="module"><a href="../mod/mod_proxy.html">mod_proxy</a></code></dt>
<dd>Si la directive <code class="directive"><a href="#sessionheader">SessionHeader</a></code> est utilisée pour
définir un en-tête de requête HTTP, la session codée sous la forme
d'une chaîne <strong>application/x-www-form-urlencoded</strong>
sera accessible pour l'application. Si ce même en-tête est fourni
dans la réponse, sa valeur sera utilisée pour remplacer la
session. Comme précédemment, tout chiffrement ou déchiffrement,
ainsi que la lecture ou
l'écriture de ou vers la session à partir du mécanisme de stockage
choisi sont gérés par le module <code class="module"><a href="../mod/mod_session.html">mod_session</a></code> et la
configuration correspondante.</dd>
<dt>Applications indépendantes</dt>
<dd>Les applications peuvent choisir de manipuler la session en
s'affranchissant du contrôle du serveur HTTP Apache. Dans ce cas,
c'est l'application qui doit prendre en charge la lecture de la
session depuis le mécanisme de stockage choisi, son déchiffrement,
sa mise à jour, son chiffrement et sa réécriture vers le mécanisme
de stockage choisi de manière appropriée.</dd>
</dl>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="session" id="session">Directive</a> <a name="Session" id="Session">Session</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Ouvre une session pour le contexte courant</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>Session On|Off</code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>Session Off</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
<p>La directive <code class="directive">Session</code> permet d'ouvrir une
session pour le contexte ou conteneur courant. Les directives
suivantes permettent de définir où la session sera stockée et
comment sera assurée la confidentialité.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionenv" id="sessionenv">Directive</a> <a name="SessionEnv" id="SessionEnv">SessionEnv</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit si le contenu de la session doit être enregistré
dans la variable d'environnement <var>HTTP_SESSION</var></td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionEnv On|Off</code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SessionEnv Off</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
<p>Lorsque la directive <code class="directive">SessionEnv</code> est
définie à <var>On</var>, le contenu de la session est enregistré
dans une variable d'environnement CGI nommée
<var>HTTP_SESSION</var>.</p>
<p>La chaîne est écrite sous le même format que celui de la chaîne
d'arguments d'une URL, comme dans l'exemple suivant :</p>
<div class="example"><p><code>
<code>clé1=foo&clé3=bar</code>
</code></p></div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionexclude" id="sessionexclude">Directive</a> <a name="SessionExclude" id="SessionExclude">SessionExclude</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les préfixes d'URLs pour lesquels une session sera
ignorée</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionExclude <var>chemin</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
<p>La directive <code class="directive">SessionExclude</code> permet de
définir les préfixes d'URLs pour lesquels la session sera
désactivée. Ceci peut améliorer l'efficacité d'un site web, en
ciblant de manière plus précise l'espace d'URL pour lequel une
session devra être maintenue. Par défaut, toutes les URLs du
contexte ou du conteneur courant sont incluses dans la session. La
directive <code class="directive"><a href="#sessionexclude">SessionExclude</a></code>
l'emporte sur la directive <code class="directive"><a href="#sessioninclude">SessionInclude</a></code>.</p>
<div class="warning"><h3>Avertissement</h3>
<p>Cette directive a un comportement similaire à celui de l'attribut
<var>chemin</var> des cookies HTTP, mais ne doit pas être confondue
avec cet attribut. En effet, cette directive ne définit pas
l'attribut <var>chemin</var>, qui doit être configuré
séparément.</p></div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionexpiryupdateinterval" id="sessionexpiryupdateinterval">Directive</a> <a name="SessionExpiryUpdateInterval" id="SessionExpiryUpdateInterval">SessionExpiryUpdateInterval</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit le nombre de secondes dont la durée d'expiration d'une
session peut changer sans que cette session soit mise à jour</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionExpiryUpdateInterval <var>interval</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SessionExpiryUpdateInterval 0 (mise à jour systématique)</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
<tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.41 du serveur HTTP Apache</td></tr>
</table>
<p>La directive <code class="directive">SessionExpiryUpdateInterval</code>
permet d'éviter le coût de l'écriture d'une session pour chaque
requête en n'effectuant cette mise à jour que lorsque la date
d'expiration a changé. Ceci permet d'améliorer les performances d'un
site web ou de réduire la charge d'une base de données lorsqu'on
utilise <code class="module"><a href="../mod/mod_session_dbd.html">mod_session_dbd</a></code>. La session est
systématiquement mise à jour si les données stockées dans la session
ont été modifiées ou si la durée d'expiration a été modifiée d'une
durée supérieure à l'intervalle spécifié.</p>
<p>Définir l'intervalle à 0 désactive cette directive, et
l'expiration de la session sera alors rafraîchie pour chaque requête.</p>
<p>Cette directive n'a d'effet que si on l'utilise en combinaison
avec la directive <code class="directive"><a href="#sessionmaxage">SessionMaxAge</a></code> qui active
l'expiration des sessions. Les sessions sans date d'expiration ne
sont écrites que lorsque les données qu'elles renferment ont été
modifiées.</p>
<div class="warning"><h3>Avertissement</h3>
<p>Comme l'expiration de la session n'est pas systématiquement
rafraîchie à chaque requête, une session peut arriver à expiration
plus tôt d'un nombre de secondes spécifié dans le paramètre
<var>interval</var>. Définir un petit intervalle est en général
assez sur, mais en revenche n'a qu'un effet minime sur la prise en
compte des durées d'expiration.</p></div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionheader" id="sessionheader">Directive</a> <a name="SessionHeader" id="SessionHeader">SessionHeader</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Importation des mises à jour de session depuis l'en-tête de
réponse HTTP spécifié</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionHeader <var>en-tête</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
<p>La directive <code class="directive">SessionHeader</code> permet de
définir le nom d'un en-tête de réponse HTTP qui, s'il est présent,
sera lu et son contenu écrit dans la session courante.</p>
<p>Le contenu de l'en-tête doit se présenter sous le même format que
celui de la chaîne d'arguments d'une URL, comme dans l'exemple
suivant :</p>
<div class="example"><p><code>
<code>clé1=foo&clé2=&clé3=bar</code>
</code></p></div>
<p>Si une clé a pour valeur la chaîne vide, elle sera supprimée de
la session.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessioninclude" id="sessioninclude">Directive</a> <a name="SessionInclude" id="SessionInclude">SessionInclude</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les préfixes d'URL pour lesquels une session est
valide</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionInclude <var>chemin</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>toutes URLs</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
<p>La directive <code class="directive">SessionInclude</code> permet de
définir les préfixes d'URL spécifiques pour lesquels une session
sera valide. Ceci peut améliorer l'efficacité d'un site web, en
ciblant de manière plus précise l'espace d'URL pour lequel une
session devra être maintenue. Par défaut, toutes les URLs du
contexte ou du conteneur courant sont incluses dans la session.</p>
<div class="warning"><h3>Avertissement</h3>
<p>Cette directive a un comportement similaire à celui de l'attribut
<var>chemin</var> des cookies HTTP, mais ne doit pas être confondue
avec cet attribut. En effet, cette directive ne définit pas
l'attribut <var>chemin</var>, qui doit être configuré séparément.</p></div>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="sessionmaxage" id="sessionmaxage">Directive</a> <a name="SessionMaxAge" id="SessionMaxAge">SessionMaxAge</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit une durée de vie maximale pour la session en
secondes</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SessionMaxAge <var>durée de vie maximale</var></code></td></tr>
<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SessionMaxAge 0</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_session</td></tr>
</table>
<p>La directive <code class="directive">SessionMaxAge</code> permet de
définir la durée maximale pendant laquelle une session restera
valide. Lorsqu'une session est sauvegardée, cette durée est
réinitialisée et la session peut continuer d'exister. Si la durée
d'une session dépasse cette limite sans qu'une requête au serveur ne
vienne la rafraîchir, la session va passer hors délai et sera
supprimée. Lorsqu'une session est utilisée pour stocker les
informations de connexion d'un utilisateur, ceci aura pour effet de
le déconnecter automatiquement après le délai spécifié.</p>
<p>Donner à cette directive la valeur 0 empêche l'expiration de la
session.</p>
</div>
</div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_session.html" hreflang="en" rel="alternate" title="English"> en </a> |
<a href="../fr/mod/mod_session.html" title="Français"> fr </a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Libera.chat, or sent to our <a href="https://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/2.4/mod/mod_session.html';
(function(w, d) {
if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
d.write('<div id="comments_thread"><\/div>');
var s = d.createElement('script');
s.type = 'text/javascript';
s.async = true;
s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
(d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
}
else {
d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
}
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2024 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/directives.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
prettyPrint();
}
//--><!]]></script>
</body></html>
|