Subversion Repositories eFlore/Applications.coel

Rev

Go to most recent revision | Details | Last modification | View Log | RSS feed

Rev Author Line No. Line
1497 jpm 1
<?php
2
/**
3
 * Service d'itentification d'un utilisateur.
1906 mathias 4
 * Modifié pour fonctionner avec le SSO.
5
 *
1497 jpm 6
 * Encodage en entrée : utf8
7
 * Encodage en sortie : utf8
1906 mathias 8
 *
1497 jpm 9
 * Cas d'utilisation :
1906 mathias 10
 * Le service reçoit un jeton SSO (ou pas) dans le header "Authorization", le fait
11
 * vérifier par l'annuaire; s'il est valide, le décode puis retourne le profil utilisateur
12
 * associé; sinon retourne un profil anonyme.
1497 jpm 13
 *
1906 mathias 14
 * 1: Aucun jeton ou jeton invalide transmis
15
 * 	1: L'application retourne l'identifiant de session en cours (mode anonyme)
1497 jpm 16
 *
1906 mathias 17
 * 2: Jeton valide transmis
18
 * 	1 : Passe ou reste dans l'état "connecté"; le profil actif est retourné
1497 jpm 19
 *
20
 *  En résumé, utilisation des URLs :
1906 mathias 21
 *  /CoelUtilisateur/identite : retour identifiant de session si jamais connecté, sinon retour de l'id (+ login et mot de passe)
1497 jpm 22
 *
23
 * @author Jean-Pascal MILCENT <jpm@tela-botanica.org>
1906 mathias 24
 * @author David DELON <david.delon@clapas.net>
25
 * @author Mathias CHOUET <mathias@tela-botanica.org>
1497 jpm 26
 * @license GPL v3 <http://www.gnu.org/licenses/gpl.txt>
27
 * @license CECILL v2 <http://www.cecill.info/licences/Licence_CeCILL_V2-en.txt>
28
 * @version $Id$
29
 * @copyright 2009
30
 */
1908 mathias 31
class CoelUtilisateur extends Coel {
1497 jpm 32
 
1906 mathias 33
	protected $licence_acceptee = false;
34
 
35
	/**
1908 mathias 36
	 * Point d'entrée GET sans paramètres
1906 mathias 37
	 */
38
	public function getRessource() {
39
		// par défaut, mode anonyme
40
		$infos = $this->getUtilisateurAnonyme();
41
		// recherche d'un utilisateur identifié en fonction du jeton SSO
42
		$infosIdentifie = $this->getUtilisateurSSO();
43
		if ($infosIdentifie != null) {
44
			$infos = $infosIdentifie;
1497 jpm 45
		}
1906 mathias 46
		// et vlan, passe-moi l'éponge
47
		$this->envoyer($infos);
48
	}
49
 
50
	/**
1908 mathias 51
	 * Point d'entrée GET avec paramètres
52
	 */
53
	public function getElement($ressources) {
54
		switch($ressources[0]) {
55
			case "setLicence" :
56
				$this->setLicence($ressources[1]);
57
				break;
58
			default:
59
				echo "action [" . $ressources[0] . "] inconnue";
60
		}
61
	}
62
 
63
	/**
1906 mathias 64
	 * Renvoie un profil utilisateur CoeL anonyme
65
	 * (licence vide, id de session, non connecté)
66
	 */
67
	protected function getUtilisateurAnonyme() {
68
		$info = array("", session_id(), false);
69
		return $info;
70
	}
71
 
72
	/**
73
	 * Recherche un jeton SSO dans l'entête HTTP "Authorization", vérifie ce
74
	 * jeton auprès de l'annuaire et en cas de succès charge les informations
75
	 * de l'utilisateur associé; si besoin, copie l'utilisateur dans la table
76
	 * Personnes de CoeL
77
	 *
78
	 * @return Array un profil utilisateur ou null
79
	 */
80
	protected function getUtilisateurSSO() {
81
		$utilisateur = null;
82
		// lecture du jeton
83
		$jeton = $this->lireJetonEntete();
84
		//echo "Jeton : "; var_dump($jeton);
85
		if ($jeton != null) {
86
			// validation par l'annuaire
87
			$valide = $this->verifierJeton($jeton);
88
			if ($valide === true) {
89
				// décodage du courriel utilisateur depuis le jeton
90
				$donneesJeton = $this->decoderJeton($jeton);
91
				if ($donneesJeton != null && $donneesJeton["sub"] != "") {
92
					// récupération de l'utilisateur
93
					$courriel = $donneesJeton["sub"];
94
 
95
					// lecture des infos dans l'annuaire (relou mais nécessaire pour la copie dans la table Personnes de CoeL)
96
					$infosAnnuaire = $this->obtenirInfosAnnuaire($courriel);
97
					$this->setInfosAnnuaire($infosAnnuaire);
98
					//echo "Infos Annu: "; var_dump($infosAnnuaire);
99
 
100
					// lecture de l'utilisateur connu (ou pas) par CoeL (table Personnes)
101
					$utilisateur_existant = $this->chargerUtilisateur($courriel);
102
					//echo "UTIL EXIST: "; var_dump($utilisateur_existant);
103
 
104
					// Vérification de la nécessité de mettre à jour l'utilisateur COEL vis à vis de l'annuaire de Tela Botanica
105
					if (!is_null($infosAnnuaire) &&  $this->avoirBesoinMiseAJour($utilisateur_existant)) {
106
						$this->debug[] = "Besoin d'une mise à jour";
107
 
108
						$presence_dans_coel = ($utilisateur_existant != false); // si on l'a trouvé juste au dessus
109
						$this->debug[] = "Presence: $presence_dans_coel";
110
						$mot_de_passe_sha1 = $infosAnnuaire['pass'];
111
						//echo "MDP: " .$mot_de_passe_sha1;
112
 
113
						if ($presence_dans_coel) {
114
							// Nécessite de faire une mise à jour
115
							$this->debug[] = "Mise à jour de l'utilisateur {$infosAnnuaire['id']}";
1916 aurelien 116
							$this->mettreAJourUtilisateur($courriel, $mot_de_passe_sha1, $infosAnnuaire);
1936 mathias 117
							// ci-dessous : ne pas caster en int car GWT attend une String (le con !)
118
							$utilisateur_existant['licence'] = $this->recupererLicenceUtilisateur($infosAnnuaire['id']);
1906 mathias 119
						} else {
120
							// Nécessite d'ajouter le nouvel utilisateur
121
							$this->debug[] = "Ajout d'une nouvel utilisateur";
122
							$this->ajouterUtilisateurACoel($infosAnnuaire, $mot_de_passe_sha1);
123
							// rechargement après l'avoir ajouté (un peu nul)
124
							$utilisateur_existant = $this->chargerUtilisateur($courriel);
125
						}
1497 jpm 126
					}
1906 mathias 127
 
128
					// stockage de l'utilisateur en session
129
					$this->setUtilisateur($utilisateur_existant);
130
 
131
					// renvoi des infos
132
					$utilisateur = array($utilisateur_existant['licence'], $infosAnnuaire['id'], true, $this->getUtilisateurNomComplet(), $this->getUtilisateurPrenom(), $this->getUtilisateurNom(), $this->getParametre());
1497 jpm 133
				}
134
			}
135
		}
136
 
1906 mathias 137
		return $utilisateur;
1497 jpm 138
	}
139
 
1906 mathias 140
	protected function deconnecterUtilisateur() {
1497 jpm 141
		$_SESSION['coel_utilisateur'] = '';
142
		$_SESSION['coel_infosAnnuaire'] = '';
143
	}
144
 
1906 mathias 145
	/**
146
	 * Retourne true si le compte utilisateur a été modifié dans l'annuaire, et que les
147
	 * modifications ont besoin d'être répercutées dans la table Personnes de Coel
148
	 */
149
	protected function avoirBesoinMiseAJour($info_annuaire_coel) {
1497 jpm 150
		$necessite_maj = false;
151
		if ($info_annuaire_coel == false) {
152
			// Le login et/ou le mot de passe a pu changer
153
			$necessite_maj = true;
154
		} else {
155
			$info_annuaire_distant = $this->getInfosAnnuaire();
156
			if ($this->comparerInfosAnnuairesDistantEtCoel($info_annuaire_distant, $info_annuaire_coel) == false) {
157
				$necessite_maj = true;
158
			}
159
		}
160
		return $necessite_maj;
161
	}
162
 
1906 mathias 163
	protected function comparerInfosAnnuairesDistantEtCoel($annuaire_distant, $annuaire_coel) {
1497 jpm 164
		$identique = true;
165
		$tableau_annuaire_distant = array('nom' => $annuaire_distant['nom'],
166
			'prenom' => $annuaire_distant['prenom'],
167
			'ville' => $annuaire_distant['ville'],
168
			'code_postal' => $annuaire_distant['code_postal']);
169
		$tableau_annuaire_coel = array('nom' => $annuaire_coel['nom'],
170
			'prenom' => $annuaire_coel['prenom'],
171
			'ville' => $annuaire_coel['ville'],
172
			'code_postal' => $annuaire_coel['code_postal']);
173
		foreach ($tableau_annuaire_distant as $cle => $valeur) {
174
			if ($tableau_annuaire_coel[$cle] != $valeur) {
175
				$identique = false;
176
				break;
177
			}
178
		}
179
		return $identique;
180
	}
1906 mathias 181
 
182
	/**
183
	 * Vérifie si un utilisateur est présent dans la table Personnes de CoeL
184
	 */
185
	protected function verifierPresenceUtilisateur($id) {
1497 jpm 186
		$present = false;
187
		$requete =	'SELECT COUNT(cp_id_personne) AS nbre '.
188
					'FROM coel_personne '.
1508 jpm 189
					"WHERE cp_ce_annuaire = {$this->bdd->quote($id)} ".
1635 aurelien 190
					"	AND cp_ce_annuaire = cp_id_personne ";
1497 jpm 191
		try {
192
			$nbre = $this->bdd->query($requete)->fetchColumn();
1508 jpm 193
			if (0 == $nbre) {
194
				$this->debug[] = "Utilisateur NON présent dans l'annuaire de COEL.";
195
			} else if (1 == $nbre) {
196
				$this->debug[] = "Utilisateur présent dans l'annuaire de COEL.";
1497 jpm 197
				$present = true;
1508 jpm 198
			} else if (false === $nbre) {
199
				$this->debug[] = "Erreur dans la requête de vérification de présence dans l'annuaire de COEL.";
1497 jpm 200
			}
201
		} catch (PDOException $e) {
202
			$this->messages[] = sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage());
203
		}
204
 
205
		return $present;
206
	}
1906 mathias 207
 
208
	/**
209
	 * Renvoie l'état d'acceptation de la licence pour un utilisateur donné :
210
	 * 0 (non acceptée) ou 1 (acceptée)
211
	 */
212
	protected function recupererLicenceUtilisateur($id) {
1497 jpm 213
		$requete =	'SELECT cp_mark_licence '.
214
					'FROM coel_personne '.
1508 jpm 215
					"WHERE cp_ce_annuaire = {$this->bdd->quote($id)} ".
1635 aurelien 216
					"	AND cp_ce_annuaire = cp_id_personne ";
1497 jpm 217
		try {
218
			$licence = $this->bdd->query($requete)->fetchColumn();
219
			if ($licence === false) {
220
				$this->debug[] = "La licence n'a pas pu être récupérée.";
221
				return 0;
222
			} else {
223
				return $licence;
224
			}
225
		} catch (PDOException $e) {
226
			$this->messages[] = sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage());
227
		}
228
	}
1906 mathias 229
 
230
	/**
231
	 * Met à jour les données de l'utilisateur dans la table CoeL Personnes
232
	 */
233
	protected function mettreAJourUtilisateur($login, $mot_de_passe_sha1, $infos) {
1497 jpm 234
		try {
235
		   	$cp_fmt_nom_complet = $infos['prenom'].' '.$infos['nom'];
1936 mathias 236
			$requete =  ''
237
				. 'UPDATE coel_personne'
238
				. " SET cp_id_personne = '{$infos['id']}', "
239
				. "	cp_fmt_nom_complet = '$cp_fmt_nom_complet', cp_prenom = '{$infos['prenom']}', cp_nom = '{$infos['nom']}', "
240
				. "	cp_code_postal = '{$infos['code_postal']}', cp_ville = '{$infos['ville']}', cp_truk_courriel = '{$infos['courriel']}', "
241
				. "	cp_login = '{$infos['courriel']}', cp_mot_de_passe = '$mot_de_passe_sha1', cp_ce_annuaire = '{$infos['id']}' "
242
				. " WHERE cp_login = '$login' "
243
				//. "	AND cp_mot_de_passe = '{$infos['mot_de_passe']}' " // WTF ?
244
			;
245
 
1497 jpm 246
			// Ajout des données
247
			$resultat = $this->bdd->exec($requete);
248
			if ($resultat === false) {
249
				$this->messages[] = "L'utilisateur n'a pas été mis à jour car la requête a échouée.";
250
			}
251
		} catch (PDOException $e) {
252
			$messages[] = sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage(), $requete);
253
		}
254
	}
1906 mathias 255
 
256
	/**
1908 mathias 257
	 * Met à jour l'utilisateur d'id $idUtilisateur, et passe son acceptation de
258
	 * la licence à "1"
259
	 */
260
	protected function setLicence($idUtilisateur = null) {
261
		if ($idUtilisateur == null) {
262
			$messages[] = "Id utilisateur null";
263
			$this->envoyer();
264
			exit;
265
		}
266
		// Mise à jour de l'utilisateur
267
		try {
268
			$requete = 	'UPDATE coel_personne '.
269
				"SET cp_mark_licence = 1 ".
270
				"WHERE cp_ce_annuaire = '$idUtilisateur' ";
271
			// Ajout des données
272
			$resultat = $this->bdd->exec($requete);
273
			if ($resultat === false) {
274
				$this->messages[] = "L'utilisateur n'a pas été mis à jour car la requête a échouée.";
275
			} else {
276
				// Confirmation attendue par l'interface
277
				$this->envoyer(array("1"));
278
				exit;
279
			}
280
		} catch (PDOException $e) {
281
			$messages[] = sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage(), $requete);
282
			$this->envoyer();
283
		}
284
	}
285
 
286
	/**
1906 mathias 287
	 * Ajoute une copie de l'utilisateur dans la table CoeL Personnes
288
	 */
289
	protected function ajouterUtilisateurACoel($infos, $mot_de_passe_sha1) {
1497 jpm 290
		try {
291
			// Construction de la requête d'ajout
292
		   	// Notes : pour rester compatibles avec l'annuaire de Tela, les utilisateurs sont ajoutés directement avec l'id
293
		   	// de l'annuaire Tela. Dans CoelPersonne, les personnes qui ne sont pas utilisateur sont ajoutés avec un id supérieur à 100 000
294
		   	$cp_fmt_nom_complet = $infos['prenom'].' '.$infos['nom'];
1932 mathias 295
		   	$cp_mark_licence = '0';
296
			// si un utilisateur a changé son email dans un compte TB existant, une ligne avec son ID existera déjà et /i
297
			// => on fait un REPLACE (attention à la compatibilité !)
298
		   	$requete = 	'REPLACE INTO coel_personne '.
1765 aurelien 299
		   				'	(cp_id_personne, cp_fmt_nom_complet, cp_prenom, cp_nom, cp_code_postal, '.
1508 jpm 300
						'	cp_ville, cp_truk_courriel, cp_login, cp_mot_de_passe, cp_ce_annuaire, cp_mark_licence) '.
1765 aurelien 301
		   				"VALUES ('{$infos['id']}', '$cp_fmt_nom_complet', '{$infos['prenom']}', '{$infos['nom']}', ".
1508 jpm 302
		   				"'{$infos['code_postal']}', '{$infos['ville']}', '{$infos['courriel']}', '{$infos['courriel']}', '".$mot_de_passe_sha1."', ".
1497 jpm 303
		   				"'{$infos['id']}', $cp_mark_licence) ";
1508 jpm 304
		   	//$this->debug[] = $requete;
1497 jpm 305
			// Ajout des données
306
			$resultat = $this->bdd->exec($requete);
307
			if ($resultat === false) {
1508 jpm 308
				$this->debug[] = "Utilisateur NON ajouté dans coel_personne car la requête a échouée.";
309
			} else {
310
				$this->debug[] = "Utilisateur ajouté à coel_personne.";
1497 jpm 311
			}
312
		} catch (PDOException $e) {
1932 mathias 313
			//$this->debug[] = "EREEUR SQL: " . sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage(), $requete);
1497 jpm 314
			$messages[] = sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage(), $requete);
315
		}
316
	}
1852 mathias 317
 
1906 mathias 318
	/**
319
	 * Appelle l'annuaire pour connaître tous les détails de l'utilisateur de courriel $login
320
	 */
321
	protected function obtenirInfosAnnuaire($login)	{
1497 jpm 322
		$url_annuaire = $this->config['coel']['urlAnnuaire'];
323
		$login_annuaire = $this->config['coel']['loginAnnuaire'];
324
		$mdp_annuaire = $this->config['coel']['mdpAnnuaire'];
1852 mathias 325
 
326
		$posds = strpos($url_annuaire, "//");
327
		$protocole = substr($url_annuaire, 0, $posds+2);
328
		$reste_adresse = substr($url_annuaire, $posds+2);
329
		// auth HTTP basic cracra
330
		$url_annuaire = $protocole . $login_annuaire . ':' . $mdp_annuaire . "@" . $reste_adresse;
331
		$url_annuaire .= '/' . $login;
332
		$url_annuaire .= '/xml'; // @TODO un jour, faire en sorte que ça lise du JSON
333
 
1497 jpm 334
		$resultat_annuaire = file_get_contents($url_annuaire);
335
		$tableau_annuaire = null;
336
		if ($xml_utilisateur = simplexml_load_string($resultat_annuaire))	{
337
			// La fonction a retourné un objet
338
			foreach ($xml_utilisateur->children() as $key => $val) {
339
				if ((string) $val != '') {
340
			  		$tableau_annuaire[$key] = (String) $val;
341
				}
342
			}
343
		}
344
		return $tableau_annuaire;
345
	}
1852 mathias 346
 
1906 mathias 347
	/**
348
	 * Enregistre le fait que la personne de login $login a accepté la licence de CoeL
349
	 */
350
	protected function accepterLicence($login) {
1497 jpm 351
		$sortie = false;
352
		try {
353
			$requete = 	'UPDATE coel_personne '.
354
						'SET cp_mark_licence = 1 '.
1508 jpm 355
						"WHERE cp_login = {$this->bdd->quote($login)} ";
1497 jpm 356
			$resultat = $this->bdd->exec($requete);
357
			if ($resultat === false) {
1906 mathias 358
				$this->debug[] = "La table Personne n'a pas été mise à jour car la requête a échoué";
1497 jpm 359
			} else {
1508 jpm 360
				$this->debug[] = "Création du cookie licence.";
1497 jpm 361
				$_SESSION['coel_utilisateur']['licence'] = '1';
1906 mathias 362
				// @TODO CHANGER
1934 mathias 363
				//$this->setCookiePersistant('coel_licence', '1');
1497 jpm 364
				$sortie = true;
365
			}
366
		} catch (PDOException $e) {
367
		 	$messages[] = sprintf($this->getTxt('sql_erreur'), $e->getFile(), $e->getLine(), $e->getMessage(), $requete);
368
		}
369
		return $sortie;
370
	}
1906 mathias 371
 
372
	/**
373
	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP "Authorization"
374
	 *
375
	 * @return String un jeton JWT ou null
376
	 */
377
	protected function lireJetonEntete() {
378
		$jwt = null;
379
		$headers = apache_request_headers();
380
		if (isset($headers["Authorization"]) && ($headers["Authorization"] != "")) {
381
			$jwt = $headers["Authorization"];
382
		}
383
		return $jwt;
384
	}
385
 
386
	/**
387
	 * Vérifie un jeton auprès de l'annuaire
388
	 *
389
	 * @param String $jeton un jeton JWT
390
	 * @return true si le jeton est vérifié, false sinon
391
	 */
392
	protected function verifierJeton($jeton) {
393
		$urlServiceVerification =$this->config['coel']['urlServiceBaseAuth'] . "verifierjeton";
394
		$urlServiceVerification .= "?token=" . $jeton;
395
 
396
		// file_get_contents râle si le certificat HTTPS est auto-signé
397
		//$retour = file_get_contents($urlServiceVerification);
398
 
399
		// curl avec les options suivantes ignore le pb de certificat (pour tester en local)
400
		$ch = curl_init();
401
		$timeout = 5;
402
		curl_setopt($ch, CURLOPT_URL, $urlServiceVerification);
403
		curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
404
		curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
405
		// équivalent de "-k"
406
		curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
407
		curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
408
		$data = curl_exec($ch);
409
		curl_close($ch);
410
		$retour = $data;
411
 
412
		$retour = json_decode($retour, true);
413
 
414
		return ($retour === true);
415
	}
416
 
417
	/**
418
	 * Décode un jeton JWT (SSO) précédemment validé et retourne les infos
419
	 * qu'il contient (payload / claims)
420
	 * @param String $jeton un jeton JWT précédemment validé
421
	 */
422
	protected function decoderJeton($jeton) {
423
		$parts = explode('.', $jeton);
424
		$payload = $parts[1];
425
		$payload = base64_decode($payload);
426
		$payload = json_decode($payload, true);
427
 
428
		return $payload;
429
	}
430
 
431
	// accesseurs à deux ronds
432
	protected function getUtilisateurId() {
433
		if ($utilisateur = $this->getUtilisateur()) {
434
			return $utilisateur['id'];
435
		} else {
436
			return '';
437
		}
438
	}
439
	protected function getUtilisateurLogin() {
440
		if ($utilisateur = $this->getUtilisateur()) {
441
			return $utilisateur['login'];
442
		} else {
443
			return '';
444
		}
445
	}
446
	protected function getUtilisateurNomComplet() {
447
		if ($utilisateur = $this->getUtilisateur()) {
448
			return $utilisateur['nom_complet'];
449
		} else {
450
			return '';
451
		}
452
	}
453
	protected function getUtilisateurPrenom() {
454
		if ($utilisateur = $this->getUtilisateur()) {
455
			return $utilisateur['prenom'];
456
		} else {
457
			return '';
458
		}
459
	}
460
	protected function getUtilisateurNom() {
461
		if ($utilisateur = $this->getUtilisateur()) {
462
			return $utilisateur['nom'];
463
		} else {
464
			return '';
465
		}
466
	}
467
	protected function getParametre() {
468
		if ($utilisateur = $this->getUtilisateur()) {
469
			return $utilisateur['parametre'];
470
		} else {
471
			return '';
472
		}
473
	}
474
	protected function getLicence()	{
475
		if (!empty($_SESSION['coel_utilisateur']))	{
476
			return (string) $_SESSION['coel_utilisateur']['licence'];
477
		} else {
478
			return '';
479
		}
480
	}
481
	protected function getInfosAnnuaire()	{
482
		if (!empty($_SESSION['coel_infosAnnuaire']))	{
483
			return $_SESSION['coel_infosAnnuaire'];
484
		} else	{
485
			return '';
486
		}
487
	}
488
	protected function setInfosAnnuaire($infosAnnuaire)	{
489
		$_SESSION['coel_infosAnnuaire'] = $infosAnnuaire;
490
	}
1497 jpm 491
}
1906 mathias 492
 
493
/**
494
 * Compatibilité avec nginx - merci http://php.net/manual/fr/function.getallheaders.php
495
 */
496
if (! function_exists('apache_request_headers')) {
497
	function apache_request_headers() {
498
		$headers = '';
499
		foreach ($_SERVER as $name => $value) {
500
			if (substr($name, 0, 5) == 'HTTP_') {
501
				$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
502
			}
503
		}
504
		return $headers;
505
	}
506
}
1932 mathias 507
?>