Subversion Repositories Applications.annuaire

Rev

Rev 537 | Go to most recent revision | Details | Last modification | View Log | RSS feed

Rev Author Line No. Line
536 mathias 1
<?php
2
 
3
// composer
4
require_once '../vendor/autoload.php';
5
 
6
/**
7
 * Tentative de service d'authentification / SSO bien organisé
8
 * @author mathias
9
 * © Tela Botanica 2015
10
 *
11
 * @TODO se baser sur autre chose que JRest qui est obsolète
12
 */
13
class Auth extends JRestService {
14
 
15
	/** Clef utilisée pour signer les jetons JWT */
16
	private $clef;
17
 
18
	/** Si true, refusera une connexion non-HTTPS */
19
	protected $forcerSSL = true;
20
 
21
	/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */
22
	protected $dureeJeton = 900;
23
 
24
	/** Durée en secondes du cookie */
25
	protected $dureeCookie = 31536000; // 3600 * 24 * 365
26
 
27
	/** Nom du cookie */
28
	protected $nomCookie = "this_is_not_a_good_cookie_name";
29
 
30
	public function __construct($config, $demarrer_session = true) {
31
		parent::__construct($config, $demarrer_session);
32
		$this->clef = file_get_contents("clef-auth.ini");
33
		if (strlen($this->clef) < 16) {
34
			throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");
35
		}
36
		$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");
37
		$this->dureeJeton = $this->config['auth']['duree_jeton'];
38
		$this->dureeCookie = $this->config['auth']['duree_cookie'];
39
		$this->nomCookie = $this->config['auth']['nom_cookie'];
40
	}
41
 
42
	/**
43
	 * Notice d'utilisation succincte
44
	 * @TODO essayer de choisir entre anglais et français
45
	 */
46
	protected function infosService() {
47
		$uri = $this->config['settings']['baseAlternativeURL'];
48
		if ($uri == '') {
49
			$uri = $this->config['settings']['baseURL'];
50
		}
51
		$uri = $uri . "auth/";
52
 
53
		$infos = array(
54
			'service' => 'TelaBotanica/annuaire/auth',
55
			'methodes' => array(
56
				'connexion' => array(
57
					"uri" => $uri . "connexion",
58
					"parametres" => array(
59
						"login" => "adresse email (ex: name@domain.com)",
60
						"password" => "mot de passe"
61
					),
62
					"alias" => $uri . "login",
63
					"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie
64
				),
65
				'deconnexion' => array(
66
					"uri" => $uri . "deconnexion",
67
					"parametres" => null,
68
					"alias" => $uri . "logout",
69
					"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie
70
				),
71
				'identite' => array(
72
					"uri" => $uri . "identite",
73
					"parametres" => array(
74
						"token" => "jeton JWT (facultatif)",
75
					),
76
					"alias" => array(
77
						$uri . "identity",
78
						$uri . "rafraichir",
79
						$uri . "refresh"
80
					),
81
					"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . " ou en paramètre)"
82
				),
83
				'verifierjeton' => array(
84
					"uri" => $uri . "identite",
85
					"parametres" => array(
86
						"token" => "jeton JWT",
87
					),
88
					"alias" => $uri . "verifytoken",
89
					"description" => "retourne true si le jeton fourni en paramètre est valide, une erreur sinon"
90
				)
91
			)
92
		);
93
		$this->envoyerJson($infos);
94
	}
95
 
96
	/**
97
	 * Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);
98
	 * les paramètres GET sont ignorés
99
	 */
100
	public function getRessource() {
101
		//echo "get ressource\n";
102
		$this->infosService();
103
	}
104
 
105
	/**
106
	 * Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);
107
	 * les paramètres GET sont ignorés
108
	 *
109
	 * @param array $ressources les éléments d'URL
110
	 */
111
	public function getElement($ressources) {
112
		// Achtétépéèch portouguech
113
		$this->verifierSSL();
114
		//echo "get element\n";
115
		//var_dump($ressources);
116
		// le premier paramètre d'URL définit la méthode (non-magique)
117
		if (count($ressources) > 0) {
118
			switch ($ressources[0]) {
119
				case 'login':
120
				case 'connexion':
121
					$this->connexion($ressources);
122
					break;
123
				case 'logout':
124
				case 'deconnexion':
125
					$this->deconnexion();
126
					break;
127
				case 'identity':
128
				case 'identite':
129
				case 'rafraichir':
130
				case 'refresh':
131
					$this->identite();
132
					break;
133
				case 'verifytoken':
134
				case 'verifierjeton':
135
					$this->verifierJeton();
136
					break;
137
				case 'info':
138
				default:
139
					$this->infosService();
140
			}
141
		}
142
	}
143
 
144
	/**
145
	 * Lors d'un POST avec au moins une donnée dans le body (data);
146
	 * les paramètres GET sont ignorés
147
	 * @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET
148
	 *
149
	 * @param array $ressources les éléments d'URL
150
	 * @param array $pairs les paramètres POST
151
	 */
152
	public function updateElement($ressources, $pairs) {
153
		//echo "update element\n";
154
		//var_dump($ressources);
155
		//var_dump($pairs);
156
		$this->nonImplemente();
157
	}
158
 
159
	/**
160
	 * Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins
161
	 * un élément d'URL; dans tous les cas les paramètres GET sont ignorés
162
	 *
163
	 * @param array $pairs les paramètres POST
164
	 */
165
	public function createElement($pairs) {
166
		//echo "create element\n";
167
		//var_dump($pairs);
168
		$this->nonImplemente();
169
	}
170
 
171
	/**
172
	 * Lors d'un DELETE avec au moins un élément d'URL
173
	 * @TODO utiliser pour invalider un jeton (nécessite stockage)
174
	 *
175
	 * @param array $ressources les éléments d'URL
176
	 */
177
	public function deleteElement($ressources) {
178
		//echo "delete element\n";
179
		//var_dump($ressources);
180
		$this->nonImplemente();
181
	}
182
 
183
	/**
184
	 * Vérifie l'identité d'un utilisateur à partir de son courriel et son
185
	 * mot de passe ou d'un cookie; lui accorde un jeton et un cookie si
186
	 * tout va bien, sinon renvoie une erreur
187
	 *
188
	 * @param array $ressources non utilisé
189
	 */
190
	protected function connexion($ressources) {
191
		$login = $this->getParam('login');
192
		$password = $this->getParam('password', null);
193
		if ($login == '' || $password == '') {
194
			$this->erreur("parameters <login> and <password> required");
195
		}
196
		// vérification login / password
197
		$acces = $this->verifierAcces($login, $password);
198
		if ($acces === false) {
199
			$this->erreur("authentication failed");
200
		}
201
		// infos utilisateur
202
		$util = new Utilisateur($this->config);
203
		$infos = $util->getIdentiteParCourriel($login);
204
		if (count($infos) == 0 || empty($infos[$login])) {
205
			$this->erreur("could not get user info");
206
		}
207
		// création du jeton
208
		$jwt = $this->creerjeton($login, $infos[$login]);
209
		// création du cookie
210
		$this->creerCookie($jwt);
211
		// envoi
212
		$this->envoyerJson(array(
213
			"session" => true,
214
			"token" => $jwt
215
		));
216
	}
217
 
218
	/**
219
	 * Détruit le cookie et renvoie un jeton vide ou NULL - le client
220
	 * devrait toujours remplacer son jeton par celui renvoyé par les
221
	 * méthodes de l'annuaire
222
	 */
223
	protected function deconnexion() {
224
		// suppression du cookie
225
		$this->detruireCookie();
226
		// envoi d'un jeton vide @TODO évaluer cette méthode
227
		// par rapport à renvoyer simplement NULL comme jeton
228
		/*$jetonVide = array(
229
			"iss" => "https://www.tela-botanica.org",
230
			"sub" => null, // id utilisateur - ou courriel ?
231
			"iat" => time(),
232
			"exp" => time(), // @TODO trouver mieux
233
			"scopes" => array("tela-botanica.org")
234
		);
235
		$jwt = JWT::encode($jetonVide, $this->clef);*/
236
		$jwt = null;
237
		$this->envoyerJson(array(
238
			"session" => false,
239
			"token" => $jwt
240
		));
241
	}
242
 
243
	/**
244
	 * Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
245
	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide
246
	 * ou jeton valide); renvoie une erreur si le cookie et/ou le jeton sont expirés;
247
	 * le cookie est prioritaire sur le paramètre "token" @TODO vérifier cette stratégie
248
	 */
249
	protected function identite() {
250
		$cookieAvecJetonValide = false;
251
		$jetonRetour = null;
252
		$erreur = '';
253
		// lire cookie
254
		if (isset($_COOKIE[$this->nomCookie])) {
255
			$jwt = $_COOKIE[$this->nomCookie];
256
			try {
257
				// rafraîchir jeton quelque soit son état - "true" permet
258
				// d'ignorer les ExpiredException (on rafraîchit le jeton
259
				// expiré car le cookie est encore valide)
260
				$jetonRetour = $this->rafraichirJeton($jwt, true);
261
				// on ne tentera pas de lire un jeton fourni en paramètre
262
				$cookieAvecJetonValide = true;
263
			} catch (Exception $e) {
264
				// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)
265
				// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)
266
				$erreur = "invalid token in cookie";
267
			}
268
		}
269
		// si le cookie n'existait pas ou ne contenait pas un jeton
270
		if (! $cookieAvecJetonValide) {
271
			// lire jeton
272
			$jwt = $this->getParam('token');
273
			if ($jwt != null) {
274
				try {
275
					// rafraîchir jeton si non expiré
276
					$jetonRetour = $this->rafraichirJeton($jwt);
277
				} catch (Exception $e) {
278
					// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
279
					$erreur = "invalid or expired token in parameter";
280
				}
281
			} else {
282
				// pas de jeton valide passé en paramètre
283
				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie; invalid or expired token in parameter");
284
			}
285
		}
286
		// renvoi jeton
287
		if ($jetonRetour === null) {
288
			$this->erreur($erreur);
289
		} else {
290
			$this->envoyerJson(array(
291
				"session" => true,
292
				"token" => $jetonRetour
293
			));
294
		}
295
	}
296
 
297
	/**
298
	 * Vérifie si un jeton est valide; retourne true si oui, une erreur avec
299
	 * des détails si non
300
	 */
301
	protected function verifierJeton() {
302
		// vérifie que le jeton provient bien d'ici,
303
		// et qu'il est encore valide (date)
304
		$jwt = $this->getParam('token');
305
		if ($jwt == '') {
306
			$this->erreur("parameter <token> required");
307
		}
308
		try {
309
			$jeton = JWT::decode($jwt, $this->clef, array('HS256'));
310
			$jeton = (array) $jeton;
311
		} catch (Exception $e) {
312
			$this->erreur($e->getMessage());
313
			exit;
314
		}
315
		//print_r($jeton);
316
		$this->envoyerJson(true);
317
	}
318
 
319
	/**
320
	 * Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne
321
	 * une période de validité de $this->dureeJeton; si $ignorerExpiration
322
	 * vaut true, rafraîchira le jeton même s'il a expiré
323
	 * (attention à ne pas appeler cette méthode n'importe comment !);
324
	 * jette une exception si le jeton est vide, mal signé ou autre erreur,
325
	 * ou s'il a expiré et que $ignorerExpiration est différent de true
326
	 *
327
	 * @param string $jwt le jeton JWT
328
	 * @return string le jeton rafraîchi
329
	 */
330
	protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {
331
		$infos = array();
332
		// vérification avec lib JWT
333
		try {
334
			$infos = JWT::decode($jwt, $this->clef, array('HS256'));
335
			$infos = (array) $infos;
336
		} catch (ExpiredException $e) {
337
			if ($ignorerExpiration === true) {
338
				// on se fiche qu'il soit expiré
339
				// décodage d'un jeton expiré
340
				// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),
341
				// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !
342
				$infos = $this->decoderJetonExpireManuellement($jwt);
343
			} else {
344
				// on renvoie l'exception plus haut
345
				throw $e;
346
			}
347
		}
348
		// vérification des infos
349
		if (empty($infos['sub'])) {
350
			// jeton vide (wtf?)
351
			echo " #Jeton vide";
352
			throw new Exception("empty token (no <sub>)");
353
		}
354
		// rafraîchissement
355
		$infos['exp'] = time() + $this->dureeJeton;
356
		$jwtSortie = JWT::encode($infos, $this->clef);
357
 
358
		return $jwtSortie;
359
	}
360
 
361
	/**
362
	 * Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU
363
	 * SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton
364
	 * correct (vérifié avec la lib JWT) mais expiré !
365
	 *
366
	 * @param string $jwt un jeton vérifié comme valide, mais expiré
367
	 */
368
	protected function decoderJetonExpireManuellement($jwt) {
369
		$parts = explode('.', $jwt);
370
		$payload = $parts[1];
371
		$payload = base64_decode($payload);
372
		$payload = json_decode($payload, true);
373
 
374
		return $payload;
375
	}
376
 
377
	/**
378
	 * Crée un jeton JWT signé avec la clef
379
	 *
380
	 * @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon
381
	 * @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton
382
	 * @param array $donnees les données à ajouter au jeton (infos utilisateur)
383
	 *
384
	 * @return string un jeton JWT signé
385
	 */
386
	protected function creerJeton($sub, $donnees=array(), $exp=null) {
387
		if ($exp === null) {
388
			$exp = time() + $this->dureeJeton;
389
		}
390
		$jeton = array(
391
			"iss" => "https://www.tela-botanica.org",
392
			//"aud" => "http://example.com",
393
			"sub" => $sub,
394
			"iat" => time(),
395
			"exp" => $exp,
396
			//"nbf" => time() + 60,
397
			"scopes" => array("tela-botanica.org")
398
		);
399
		if (! empty($donnees)) {
400
			$jeton = array_merge($jeton, $donnees);
401
		}
402
		$jwt = JWT::encode($jeton, $this->clef);
403
 
404
		return $jwt;
405
	}
406
 
407
	/**
408
	 * Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
409
	 * contenant $valeur
410
	 *
411
	 * @param string $valeur le contenu du cookie (de préférence un jeton JWT)
412
	 */
413
	protected function creerCookie($valeur) {
414
		setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/');
415
	}
416
 
417
	/**
418
	 * Renvoie le cookie avec une valeur vide et une date d'expiration dans le
419
	 * passé, afin que le navigateur le détruise au prochain appel
420
	 * @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie
421
	 *
422
	 * @param string $valeur la valeur du cookie, par défaut ""
423
	 */
424
	protected function detruireCookie() {
425
		setcookie($this->nomCookie, "", -1, '/');
426
	}
427
 
428
	// ---------------- Méthodes à génériciser ci-dessous ----------------------------------
429
 
430
	/**
431
	 * Message succinct pour méthodes / actions non implémentées
432
	 */
433
	protected function nonImplemente() {
434
		$this->erreur("not implemented");
435
	}
436
 
437
	/**
438
	 * Si $this->forcerSSL vaut true, envoie une erreur et termine le programme si SSL n'est pas utilisé
439
	 */
440
	protected function verifierSSL() {
441
		if ($this->forcerSSL === true) {
442
			if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == 'off') {
443
				$this->erreur("HTTPS required");
444
				exit;
445
			}
446
		}
447
	}
448
 
449
	protected function getParamChain($names) {
450
		if (! is_array($names)) {
451
 
452
		}
453
	}
454
 
455
	/**
456
	 * Capture un paramètre de requête ($_REQUEST)
457
	 *
458
	 * @param string $name nom du paramètre à capturer
459
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
460
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
461
	 *
462
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
463
	 */
464
	protected function getParam($name, $default=null, $traiterVideCommeDefaut=false) {
465
		$ret = $default;
466
		if (isset($_REQUEST[$name])) {
467
			if ($traiterVideCommeDefaut === false || $_REQUEST[$name] !== '') {
468
				$ret = $_REQUEST[$name];
469
			}
470
		}
471
		return $ret;
472
	}
473
 
474
	/**
475
	 * Capture un paramètre GET
476
	 *
477
	 * @param string $name nom du paramètre GET à capturer
478
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
479
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
480
	 *
481
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
482
	 */
483
	protected function getGetParam($name, $default=null, $traiterVideCommeDefaut=false) {
484
		$ret = $default;
485
		if (isset($_GET[$name])) {
486
			if ($traiterVideCommeDefaut === false || $_GET[$name] !== '') {
487
				$ret = $_GET[$name];
488
			}
489
		}
490
		return $ret;
491
	}
492
 
493
	/**
494
	 * Capture un paramètre POST
495
	 *
496
	 * @param string $name nom du paramètre POST à capturer
497
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
498
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
499
	 *
500
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
501
	 */
502
	protected function getPostParam($name, $default=null, $traiterVideCommeDefaut=false) {
503
		$ret = $default;
504
		if (isset($_POST[$name])) {
505
			if ($traiterVideCommeDefaut === false || $_POST[$name] !== '') {
506
				$ret = $_POST[$name];
507
			}
508
		}
509
		return $ret;
510
	}
511
 
512
	/**
513
	 * Envoie une erreur HTTP $code (400 par défaut) avec les données $data en JSON
514
	 *
515
	 * @param mixed $data données JSON de l'erreur - généralement array("error" => "raison de l'erreur") - si
516
	 * 		seule une chaîne est transmise, sera convertie en array("error" => $data)
517
	 * @param number $code code HTTP de l'erreur, par défaut 400 (bad request)
518
	 * @param boolean $exit si true (par défaut), termine le script après avoir envoyé l'erreur
519
	 */
520
	protected function erreur($data, $code=400, $exit=true) {
521
		if (! is_array($data)) {
522
			$data = array(
523
				"error" => $data
524
			);
525
		}
526
		http_response_code($code);
527
		$this->envoyerJson($data);
528
		if ($exit === true) {
529
			exit;
530
		}
531
	}
532
}
533
 
534
/**
535
 * Mode moderne pour PHP < 5.4
536
 */
537
if (!function_exists('http_response_code')) {
538
	function http_response_code($code = NULL) {
539
		if ($code !== NULL) {
540
			switch ($code) {
541
				case 100: $text = 'Continue'; break;
542
				case 101: $text = 'Switching Protocols'; break;
543
				case 200: $text = 'OK'; break;
544
				case 201: $text = 'Created'; break;
545
				case 202: $text = 'Accepted'; break;
546
				case 203: $text = 'Non-Authoritative Information'; break;
547
				case 204: $text = 'No Content'; break;
548
				case 205: $text = 'Reset Content'; break;
549
				case 206: $text = 'Partial Content'; break;
550
				case 300: $text = 'Multiple Choices'; break;
551
				case 301: $text = 'Moved Permanently'; break;
552
				case 302: $text = 'Moved Temporarily'; break;
553
				case 303: $text = 'See Other'; break;
554
				case 304: $text = 'Not Modified'; break;
555
				case 305: $text = 'Use Proxy'; break;
556
				case 400: $text = 'Bad Request'; break;
557
				case 401: $text = 'Unauthorized'; break;
558
				case 402: $text = 'Payment Required'; break;
559
				case 403: $text = 'Forbidden'; break;
560
				case 404: $text = 'Not Found'; break;
561
				case 405: $text = 'Method Not Allowed'; break;
562
				case 406: $text = 'Not Acceptable'; break;
563
				case 407: $text = 'Proxy Authentication Required'; break;
564
				case 408: $text = 'Request Time-out'; break;
565
				case 409: $text = 'Conflict'; break;
566
				case 410: $text = 'Gone'; break;
567
				case 411: $text = 'Length Required'; break;
568
				case 412: $text = 'Precondition Failed'; break;
569
				case 413: $text = 'Request Entity Too Large'; break;
570
				case 414: $text = 'Request-URI Too Large'; break;
571
				case 415: $text = 'Unsupported Media Type'; break;
572
				case 500: $text = 'Internal Server Error'; break;
573
				case 501: $text = 'Not Implemented'; break;
574
				case 502: $text = 'Bad Gateway'; break;
575
				case 503: $text = 'Service Unavailable'; break;
576
				case 504: $text = 'Gateway Time-out'; break;
577
				case 505: $text = 'HTTP Version not supported'; break;
578
				case 666: $text = 'Couscous overheat'; break;
579
				default:
580
					exit('Unknown http status code "' . htmlentities($code) . '"');
581
					break;
582
			}
583
 
584
			$protocol = (isset($_SERVER['SERVER_PROTOCOL']) ? $_SERVER['SERVER_PROTOCOL'] : 'HTTP/1.0');
585
			header($protocol . ' ' . $code . ' ' . $text);
586
			$GLOBALS['http_response_code'] = $code;
587
		} else {
588
			$code = (isset($GLOBALS['http_response_code']) ? $GLOBALS['http_response_code'] : 200);
589
		}
590
		return $code;
591
	}
592
}