Subversion Repositories eFlore/Applications.del

Rev

Details | Last modification | View Log | RSS feed

Rev Author Line No. Line
2212 arthur 1
<?php
2
// declare(encoding='UTF-8');
3
/**
4
 * Contient les méthodes permettant d'identifier l'utilisateur de l'application DEL.
5
 *
6
 * @category  DEL
7
 * @package   Services
8
 * @package   Bibliotheque
9
 * @version   0.1
10
 * @author    Mathias CHOUET <mathias@tela-botanica.org>
11
 * @author    Jean-Pascal MILCENT <jpm@tela-botanica.org>
12
 * @author    Aurelien PERONNET <aurelien@tela-botanica.org>
13
 * @license   GPL v3 <http://www.gnu.org/licenses/gpl.txt>
14
 * @license   CECILL v2 <http://www.cecill.info/licences/Licence_CeCILL_V2-en.txt>
15
 * @copyright 1999-2014 Tela Botanica <accueil@tela-botanica.org>
16
 */
17
class GestionUtilisateur {
18
 
19
	protected $conteneur;
20
	protected $contexte;
21
	protected $bdd;
22
	/** contient le jeton SSO décodé, si une authentification a eu lieu avec succès */
23
	protected $jetonDecode;
24
 
25
	protected $utilisateur = array();
26
 
27
	public function __construct(Conteneur $conteneur) {
28
		$this->conteneur = $conteneur;
29
		$this->bdd = $this->conteneur->getBdd();
30
		$this->contexte = $this->conteneur->getContexte();
31
		$this->chargerUtilisateur();
32
	}
33
 
34
	/**
35
	 * Charge des données utilisateur : un vrai profil si l'utilisateur est identifié,
36
	 * un profil "anonyme" sinon
37
	 */
38
	private function chargerUtilisateur() {
39
		$this->demarrerSession();
40
		$infos = $this->getUtilisateurIdentifie();
41
		$this->utilisateur = ($infos == null) ? $this->getUtilisateurAnonyme() : $infos;
42
	}
43
 
44
	private function demarrerSession() {
45
		if (session_id() == '') {
46
			// TODO : modifier ce test lors du passage en php 5.4
47
			// TODO : expliquer pourquoi SVP :)
48
			session_start();
49
		}
50
	}
51
 
52
	// rétrocompat avec un vieux machin
53
	public function getIdAnonymeTemporaire() {
54
		return $this->utilisateur['session_id'];
55
	}
56
 
57
	/**
58
	 * Retourne l'utilisateur en cours, chargé dans le constructeur
59
	 * par getutilisateurIdentifié()
60
	 */
61
	public function getUtilisateur() {
62
		return $this->utilisateur;
63
	}
64
 
65
	/**
66
	 * Recherche un jeton SSO dans l'entête HTTP "Authorization", vérifie ce
67
	 * jeton auprès de l'annuaire et en cas de succès charge les informations
68
	 * de l'utilisateur associé; si c'est la première fois que l'utilisateur
69
	 * utilise DeL, crée un profil local dans del_utilisateur_infos; si le
70
	 * profil a changé depuis la dernière connexion, le met à jour ainsi que
71
	 * les coordonnées dans les commentaires
72
	 *
73
	 * @return Array un profil utilisateur ou null
74
	 */
75
	public function getUtilisateurIdentifie() {
76
		$utilisateur = null;
77
		// lecture du jeton
78
		$jeton = $this->lireJetonEntete();
79
		if ($jeton != null) {
80
			// validation par l'annuaire
81
			$valide = $this->verifierJeton($jeton);
82
			if ($valide === true) {
83
				// décodage du courriel utilisateur depuis le jeton
84
				$this->jetonDecode = $this->decoderJeton($jeton);
85
				//var_dump($this->jetonDecode);
86
				if ($this->jetonDecode != null && $this->jetonDecode["sub"] != "") {
87
					// récupération de l'utilisateur
88
					$courriel = $this->jetonDecode["sub"];
89
					$utilisateur = $this->recupererUtilisateurEnBdd($courriel);
90
					// Si l'utilisateur existe
91
					if ($utilisateur != null) {
92
						// profil changé ?
93
						if ($this->profilAChange($utilisateur)) {
94
							// mettre à jour les coordonnées dans le profil local
95
							$this->mettreAJourProfilLocal();
96
							// mettre à jour auteur commentaires
97
							$this->mettreAJourCoordonneesDansCommentaires();
98
							// relire infos
99
							$utilisateur = $this->recupererUtilisateurEnBdd($courriel);
100
						}
101
					} else {
102
						// première connexion à DeL
103
						// initialiser infos
104
						$this->initialiserInfosUtilisateur($this->jetonDecode['id']); // rétrocompat; le paramètre devrait être implicite
105
						// relire infos
106
						$utilisateur = $this->recupererUtilisateurEnBdd($courriel);
107
					}
108
					$utilisateur = $this->completerInfosUtilisateur($utilisateur);
109
				}
110
			}
111
		}
112
 
113
		return $utilisateur;
114
	}
115
 
116
	/**
117
	 * Retourne true si le profil local stocké dans del_utilisateur_infos
118
	 * n'est plus à jour par rapport aux informations du jeton SSO; si le
119
	 * jeton est vide, retourne false pour éviter de tout casser
120
	 */
121
	protected function profilAChange($infosDUI) {
122
		$aChange = false;
123
		if ($this->jetonDecode != null) {
124
			$aChange = ($this->jetonDecode['nom'] != $infosDUI['nom'])
125
				|| ($this->jetonDecode['intitule'] != $infosDUI['intitule'])
126
				|| ($this->jetonDecode['prenom'] != $infosDUI['prenom']);
127
		}
128
		//var_dump($aChange);
129
		return $aChange;
130
	}
131
 
132
	/**
133
	 * Met à jour del_utilisateur_infos en fonction des informations
134
	 * contenues par le jeton SSO; si ce dernier est vide, ne fait
135
	 * rien (boulette-proof)
136
	 */
137
	protected function mettreAJourProfilLocal() {
138
		//echo "Mise à jour profil local !!";
139
		if ($this->jetonDecode != null && $this->jetonDecode['id'] != '') {
140
			$requete = 'UPDATE del_utilisateur_infos SET'
141
				. ' nom = ' . $this->bdd->proteger($this->jetonDecode['nom']) . ', '
142
				. ' intitule = ' . $this->bdd->proteger($this->jetonDecode['intitule']) . ', '
143
				. ' prenom = ' . $this->bdd->proteger($this->jetonDecode['prenom'])
144
				. ' WHERE id_utilisateur = ' . $this->bdd->proteger($this->jetonDecode['id'])
145
				. ' -- '.__FILE__.':'.__LINE__
146
			;
147
			//var_dump($requete);
148
			$this->bdd->executer($requete);
149
		}
150
	}
151
 
152
	/**
153
	 * Répercute le nom et le prénom contenus dans le jeton SSO (si au
154
	 * moins un des deux n'est pas vide) dans tous les commentaires de
155
	 * l'auteur; si le jeton SSO est vide, ne fait rien (boulette-proof)
156
	 *
157
	 * @TODO gérer l'intitulé un jour
158
	 */
159
	protected function mettreAJourCoordonneesDansCommentaires() {
160
		//echo "Mise à jour obs et images !!";
161
		if ($this->jetonDecode != null && $this->jetonDecode['id'] != '' && ($this->jetonDecode['nom'] != '' || $this->jetonDecode['prenom'] != '')) {
162
			$requete = 'UPDATE del_commentaire SET'
163
				. ' utilisateur_nom = ' . $this->bdd->proteger($this->jetonDecode['nom']) . ', '
164
				. ' utilisateur_prenom = ' . $this->bdd->proteger($this->jetonDecode['prenom'])
165
				. ' WHERE ce_utilisateur = ' . $this->bdd->proteger($this->jetonDecode['id']) // s'assurer qu'il y a des ' autour de l'ID sans quoi les hash MD5 matcheront !
166
				. ' -- '.__FILE__.':'.__LINE__
167
			;
168
			//var_dump($requete);
169
			$this->bdd->executer($requete);
170
		}
171
	}
172
 
173
	/**
174
	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP "Authorization"
175
	 *
176
	 * @return String un jeton JWT ou null
177
	 */
178
	protected function lireJetonEntete() {
179
		$jwt = null;
180
		$headers = apache_request_headers();
181
		if (isset($headers["Authorization"]) && ($headers["Authorization"] != "")) {
182
			$jwt = $headers["Authorization"];
183
		}
184
		return $jwt;
185
	}
186
 
187
	/**
188
	 * Vérifie un jeton auprès de l'annuaire
189
	 *
190
	 * @param String $jeton un jeton JWT
191
	 * @return true si le jeton est vérifié, false sinon
192
	 */
193
	protected function verifierJeton($jeton) {
194
		$urlServiceVerification = $this->conteneur->getParametre("urlServiceBaseAuth") . "verifierjeton";
195
		$urlServiceVerification .= "?token=" . $jeton;
196
 
197
		// file_get_contents râle si le certificat HTTPS est auto-signé
198
		//$retour = file_get_contents($urlServiceVerification);
199
 
200
		// curl avec les options suivantes ignore le pb de certificat (pour tester en local)
201
		$ch = curl_init();
202
		$timeout = 5;
203
		curl_setopt($ch, CURLOPT_URL, $urlServiceVerification);
204
		curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
205
		curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
206
		// équivalent de "-k"
207
		curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
208
		curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
209
		$data = curl_exec($ch);
210
		curl_close($ch);
211
		$retour = $data;
212
 
213
		$retour = json_decode($retour, true);
214
 
215
		return ($retour === true);
216
	}
217
 
218
	/**
219
	 * Décode un jeton JWT (SSO) précédemment validé et retourne les infos
220
	 * qu'il contient (payload / claims)
221
	 * @param String $jeton un jeton JWT précédemment validé
222
	 */
223
	protected function decoderJeton($jeton) {
224
		$parts = explode('.', $jeton);
225
		$payload = $parts[1];
226
		$payload = $this->urlsafeB64Decode($payload);
227
		$payload = json_decode($payload, true);
228
 
229
		return $payload;
230
	}
231
 
232
	/**
233
	 * Decode a string with URL-safe Base64.
234
	 * copié depuis firebase/jwt
235
	 *
236
	 * @param string $input A Base64 encoded string
237
	 * @return string A decoded string
238
	 */
239
	protected function urlsafeB64Decode($input)	{
240
		$remainder = strlen($input) % 4;
241
		if ($remainder) {
242
			$padlen = 4 - $remainder;
243
			$input .= str_repeat('=', $padlen);
244
		}
245
		return base64_decode(strtr($input, '-_', '+/'));
246
	}
247
 
248
	/**
249
	 * Retourne un profil d'utilisateur non connecté (anonyme), avec un identifiant de session
250
	 * PHP qui permet de suivre son activité
251
	 */
252
	public function getUtilisateurAnonyme() {
253
		return array(
254
			'connecte' => false,
255
			'id_utilisateur' => session_id(),
256
			'courriel' => '',
257
			'mot_de_passe' => '',
258
			'nom' => '',
259
			'prenom' => '',
260
			'admin' => '0',
261
			'session_id' => session_id()
262
		);
263
	}
264
 
265
	/**
266
	 * Récupère les données d'un utilisateur dans la BDD depuis son login; considère que
267
	 * l'utilisateur est légitime car il fournit un jeton SSO vérifié par l'annuaire
268
	 *
269
	 * @param String $login le courriel de l'utilisateur
270
	 * @return array les infos de l'utilisateur
271
	 */
272
	private function recupererUtilisateurEnBdd($login) {
273
		$loginP = $this->bdd->proteger($login);
274
 
275
		$requete = 'SELECT id_utilisateur, nom, prenom, intitule, courriel, admin'
276
			. " FROM del_utilisateur_infos"
277
			. " WHERE courriel = $loginP"
278
			. ' -- ' . __FILE__ . ' : ' . __LINE__
279
		;
280
		return $this->bdd->recuperer($requete);
281
	}
282
 
283
	protected function completerInfosUtilisateur($utilisateur) {
284
		$utilisateur['session_id'] = session_id();
285
		$utilisateur['connecte'] = true;
286
		return $utilisateur;
287
	}
288
 
289
	// @WARNING décompte des derniers événements désactivé pour raisons de perfs
290
	// Mathias - 2016-10-05 @TODO faire mieux
291
	protected function getEvenements($id_utilisateur) {
292
		$sql = $this->conteneur->getSql();
293
 
294
		$date = $this->getDerniereDateConsultationEvenements($id_utilisateur);
295
 
296
		//$requete_activite = $sql->getRequeteNbEvenementsDepuisDate($id_utilisateur, $date);
297
		//$resultats = $this->bdd->recupererTous($requete_activite);
298
 
299
		$evenements = array();
300
		//$nb_evenements = $resultats[0]['nb_evenements'];
301
		//$evenements['nb_evenements'] = $nb_evenements;
302
		$evenements['date_derniere_consultation_evenements'] = $date;
303
 
304
		return $evenements;
305
	}
306
 
307
	public function getDerniereDateConsultationEvenements($id_utilisateur) {
308
		$requete = "SELECT date_derniere_consultation_evenements FROM del_utilisateur_infos ".
309
					"WHERE id_utilisateur = ".$this->bdd->proteger($id_utilisateur);
310
		$date = $this->bdd->recuperer($requete);
311
		$date = !empty($date['date_derniere_consultation_evenements']) ? $date['date_derniere_consultation_evenements'] : "0";
312
		return $date;
313
	}
314
 
315
	public function setDerniereDateConsultationEvenements($id_utilisateur, $date) {
316
		// Vérification que la ligne correspondant à l'utilisateur dans la table
317
		// infos existe bien (sinon on la crée)
318
		$infos_utilisateur = $this->obtenirInfosUtilisateur($id_utilisateur);
319
		if (empty($infos_utilisateur)) {
320
			$this->initialiserInfosUtilisateur($id_utilisateur);
321
		}
322
 
323
		$requete = "UPDATE del_utilisateur_infos SET date_derniere_consultation_evenements = ".$this->bdd->proteger($date)." ".
324
					"WHERE id_utilisateur = ".$this->bdd->proteger($id_utilisateur);
325
		$this->bdd->executer($requete);
326
	}
327
 
328
	protected function ajouterEvenements(&$utilisateur) {
329
		$evenements = $this->getEvenements($utilisateur['id_utilisateur']);
330
		$utilisateur = array_merge($utilisateur, $evenements);
331
	}
332
 
333
	public function obtenirPreferencesUtilisateur($id_utilisateur) {
334
		$prefs_utilisateur = $this->obtenirInfosUtilisateur($id_utilisateur);
335
		if (empty($prefs_utilisateur)) {
336
			$this->initialiserInfosUtilisateur($id_utilisateur);
337
			$prefs_utilisateur = $this->renvoyerInfosUtilisateurDefaut($id_utilisateur);
338
		} else {
339
			if (empty($prefs_utilisateur['preferences'])) {
340
				$prefs_utilisateur['preferences'] = $this->obtenirTableauPreferenceDefaut();
341
			} else {
342
				$prefs_utilisateur['preferences'] = json_decode($prefs_utilisateur['preferences']);
343
			}
344
			$prefs_utilisateur['admin'] = $prefs_utilisateur['admin'];
345
		}
346
 
347
		return $prefs_utilisateur;
348
	}
349
 
350
	private function obtenirTableauPreferenceDefaut() {
351
		return array('mail_notification_mes_obs' => '1', 'mail_notification_toutes_obs' => '0');
352
	}
353
 
354
	private function renvoyerInfosUtilisateurDefaut($id_utilisateur) {
355
		return array('id_utilisateur' => $id_utilisateur,
356
				'admin' => '0',
357
				'preferences' => $this->obtenirTableauPreferenceDefaut(),
358
				'date_premiere_utilisation' => date('Y-m-d H:i:s'),
359
				'date_derniere_consultation_evenements' => '0000-00-00 00:00:00');
360
	}
361
 
362
	public function obtenirInfosUtilisateur($id_utilisateur) {
363
		$requete = 'SELECT * '.
364
				'FROM del_utilisateur_infos '.
365
				'WHERE id_utilisateur = '.$this->bdd->proteger($id_utilisateur).' '.
366
				' -- '.__FILE__.' : '.__LINE__;
367
		$prefs_utilisateur = $this->bdd->recuperer($requete);
368
		return $prefs_utilisateur;
369
	}
370
 
371
	/**
372
	 * Ajoute un utilisateur à la table des profils locaux del_utilisateur_infos;
373
	 * suppose que l'utilisateur est correctement identifié (jeton décodé disponible)
374
	 */
375
	public function initialiserInfosUtilisateur($id_utilisateur) {
376
		//var_dump("Initialisation infos utilisateur !!");
377
		$preferences_defaut = $this->obtenirTableauPreferenceDefaut();
378
		$prefsEncodeesP = $this->bdd->proteger(json_encode($preferences_defaut));
379
		$idUtilisateurP = $this->bdd->proteger($id_utilisateur);
380
		$nomUtilisateurP = $this->bdd->proteger($this->jetonDecode['nom']);
381
		$prenomUtilisateurP = $this->bdd->proteger($this->jetonDecode['prenom']);
382
		$courrielUtilisateurP = $this->bdd->proteger($this->jetonDecode['sub']);
383
		$intituleUtilisateurP = $this->bdd->proteger($this->jetonDecode['intitule']);
384
 
385
		$requete = 'INSERT INTO del_utilisateur_infos '.
386
				'(id_utilisateur, intitule, prenom, nom, courriel, admin, preferences, date_premiere_utilisation, date_derniere_consultation_evenements )'.
387
				"VALUES ($idUtilisateurP, $intituleUtilisateurP, $prenomUtilisateurP, $nomUtilisateurP, $courrielUtilisateurP, 0, $prefsEncodeesP, NOW(), NOW()) ".
388
				'ON DUPLICATE KEY UPDATE date_premiere_utilisation = NOW(), courriel = VALUES(courriel) '.
389
				' -- '.__FILE__.' : '.__LINE__;
390
		return $this->bdd->executer($requete);
391
	}
392
 
393
	/**
394
	 * Vérifie qu'un utilisateur connu est identifié (mode non anonyme) et
395
	 * que son identifiant numérique est égal à $id_utilisateur; si non,
396
	 * retourne une erreur HTTP 401 et quitte le programme
397
	 *
398
	 * @param integer $id_utilisateur l'utilisateur attendu
399
	 */
400
	public function controleUtilisateurIdentifie($id_utilisateur) {
401
		$ok = ($this->utilisateur['connecte'] === true && $this->utilisateur['id_utilisateur'] == $id_utilisateur);
402
		if (! $ok) {
403
			$message = "";
404
			if ($this->utilisateur['connecte'] === true) {
405
				$message = "Vous n'êtes pas propriétaire de la ressource demandée";
406
			} else {
407
				$message = "Vous n'êtes pas identifié";
408
			}
409
			$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
410
			throw new Exception($message, $code);
411
		}
412
	}
413
 
414
	// rétrocompat'
415
	public function etreAdmin() {
416
		return ($this->utilisateur['admin'] >= 1);
417
	}
418
 
419
	// rétrocompat'
420
	public function etreUtilisateurAvecDroitAdmin() {
421
		$etreAdmin = $this->etreAdmin();
422
		if (! $etreAdmin) {
423
			$message = "Vous ne pouvez pas accéder à ce service car vous n'avez pas les droits d'administrateur !\n";
424
			$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
425
			throw new Exception($message, $code);
426
		}
427
		return $etreAdmin;
428
	}
429
}
430
 
431
/**
432
 * Compatibilité avec nginx - merci http://php.net/manual/fr/function.getallheaders.php
433
 */
434
if (! function_exists('apache_request_headers')) {
435
	function apache_request_headers() {
436
		$headers = '';
437
		foreach ($_SERVER as $name => $value) {
438
			if (substr($name, 0, 5) == 'HTTP_') {
439
				$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
440
			}
441
		}
442
		return $headers;
443
	}
444
}