La fonction auth_identifier_login essaie les différentes sources d’authenfication déclarées et met le résultat dans visiteur_session['auth'].
Elle reçoit comme arguments le login, le mot de passe, le serveur et un booléen qui indique si on accepte l’authentification php (false par défaut).
Voici donc comment faire une vérification manuelle d’un couple login + mot de passe :
include_spip('inc/auth');
$auteur = auth_identifier_login($login, $pass, '', true);
if ($auteur) {
// c'est bien le login/pass d'un auteur qui est décrit dans le tableau $auteur
} else {
// mauvais couple login/mot de passe
}