Proposer un define _AUTORISER_AUTH_FAIBLE permettant de demander à SPIP de ne...

Proposer un define _AUTORISER_AUTH_FAIBLE permettant de demander à SPIP de ne pas crypter les mots de passe envoyé lorsqu'il n'a pas trouvé de login à quelqu'un. Cela permet de rétablir le comportement d'avant SPIP 3.

Le fonctionnement est le suivant : lorsqu'on veut se connecter à X (un service tiers) en utilisant le formulaire de login de SPIP, SPIP regarde si le login entré dans le formulaire existe dans sa base spip_auteurs. Si c'est le cas, il regarde la source d'identification de l'auteur (colonne source de spip_auteurs) : si c'est SPIP, il crypte (en javascript) le mot de passe saisi avant de le poster. Si c'est une autre source d'authentification, il ne fait rien lui même (le mot de passe est laissé tel quel, mais des javascripts peuvent être appliqués par les plugins de ce système d'authentification).

Là où le bas blessait, c'est lorsque spip_auteurs n'a pas encore connaissance du login cherchant à se connecteur en utilisant une autre source d'authentification, parce que c'est sa première utilisation : SPIP crypte alors toujours le mot de passe avec son alea. On ne peut pas, dans ce cas, s'authentifier sur la source distante.

Ce define, activé par exemple dans auth_X_retrouver_login() permet d'éviter le cryptage du passe de SPIP par défaut lorsqu'un login est introuvable. Une première identification à un service tiers, permet alors  de créer l'auteur dans sa base de données avec source=xxx (xxx étant le nom du système d'authentification).