559 |
aurelien |
1 |
<?php
|
|
|
2 |
|
|
|
3 |
// composer
|
|
|
4 |
require_once '../vendor/autoload.php';
|
|
|
5 |
|
|
|
6 |
/**
|
|
|
7 |
* Tentative de service d'authentification / SSO bien organisé
|
566 |
mathias |
8 |
* SSO - Mettez un tigre dans votre annuaire !
|
559 |
aurelien |
9 |
* @author mathias
|
|
|
10 |
* © Tela Botanica 2015
|
|
|
11 |
*
|
|
|
12 |
* @TODO se baser sur autre chose que JRest qui est obsolète
|
|
|
13 |
*/
|
|
|
14 |
class Auth extends JRestService {
|
|
|
15 |
|
|
|
16 |
/** Clef utilisée pour signer les jetons JWT */
|
|
|
17 |
private $clef;
|
|
|
18 |
|
|
|
19 |
/** Si true, refusera une connexion non-HTTPS */
|
|
|
20 |
protected $forcerSSL = true;
|
|
|
21 |
|
|
|
22 |
/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */
|
|
|
23 |
protected $dureeJeton = 900;
|
|
|
24 |
|
|
|
25 |
/** Durée en secondes du cookie */
|
|
|
26 |
protected $dureeCookie = 31536000; // 3600 * 24 * 365
|
|
|
27 |
|
|
|
28 |
/** Nom du cookie */
|
|
|
29 |
protected $nomCookie = "this_is_not_a_good_cookie_name";
|
|
|
30 |
|
580 |
mathias |
31 |
/** Bibliothèque de gestion des utilisateurs */
|
|
|
32 |
protected $utilisateur;
|
|
|
33 |
|
559 |
aurelien |
34 |
public function __construct($config, $demarrer_session = true) {
|
|
|
35 |
parent::__construct($config, $demarrer_session);
|
|
|
36 |
$this->clef = file_get_contents("clef-auth.ini");
|
|
|
37 |
if (strlen($this->clef) < 16) {
|
|
|
38 |
throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");
|
|
|
39 |
}
|
|
|
40 |
$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");
|
|
|
41 |
$this->dureeJeton = $this->config['auth']['duree_jeton'];
|
|
|
42 |
$this->dureeCookie = $this->config['auth']['duree_cookie'];
|
|
|
43 |
$this->nomCookie = $this->config['auth']['nom_cookie'];
|
580 |
mathias |
44 |
// gestion des utilisateurs @WARNING on utilise un service comme une lib, c'est
|
|
|
45 |
// mal !! @TODO séparer service et lib (ou réécrire tout ce foutoir)
|
|
|
46 |
$this->utilisateur = new Utilisateur($config);
|
559 |
aurelien |
47 |
}
|
|
|
48 |
|
|
|
49 |
/**
|
580 |
mathias |
50 |
* Retourne la bobliothèque de gestion des utilisateurs (pour utilisation
|
|
|
51 |
* par les classes partenaires)
|
|
|
52 |
*/
|
|
|
53 |
public function getUtilisateur() {
|
|
|
54 |
return $this->utilisateur;
|
|
|
55 |
}
|
|
|
56 |
|
|
|
57 |
/**
|
559 |
aurelien |
58 |
* Notice d'utilisation succincte
|
|
|
59 |
* @TODO essayer de choisir entre anglais et français
|
|
|
60 |
*/
|
|
|
61 |
protected function infosService() {
|
|
|
62 |
$uri = $this->config['settings']['baseAlternativeURL'];
|
|
|
63 |
if ($uri == '') {
|
|
|
64 |
$uri = $this->config['settings']['baseURL'];
|
|
|
65 |
}
|
|
|
66 |
$uri = $uri . "auth/";
|
|
|
67 |
|
|
|
68 |
$infos = array(
|
|
|
69 |
'service' => 'TelaBotanica/annuaire/auth',
|
|
|
70 |
'methodes' => array(
|
|
|
71 |
'connexion' => array(
|
|
|
72 |
"uri" => $uri . "connexion",
|
|
|
73 |
"parametres" => array(
|
|
|
74 |
"login" => "adresse email (ex: name@domain.com)",
|
592 |
mathias |
75 |
"password" => "mot de passe",
|
|
|
76 |
"partner" => "nom du partenaire (ex: plantnet)"
|
559 |
aurelien |
77 |
),
|
|
|
78 |
"alias" => $uri . "login",
|
|
|
79 |
"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie
|
|
|
80 |
),
|
|
|
81 |
'deconnexion' => array(
|
|
|
82 |
"uri" => $uri . "deconnexion",
|
|
|
83 |
"parametres" => null,
|
|
|
84 |
"alias" => $uri . "logout",
|
|
|
85 |
"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie
|
|
|
86 |
),
|
|
|
87 |
'identite' => array(
|
|
|
88 |
"uri" => $uri . "identite",
|
|
|
89 |
"parametres" => array(
|
|
|
90 |
"token" => "jeton JWT (facultatif)",
|
|
|
91 |
),
|
|
|
92 |
"alias" => array(
|
|
|
93 |
$uri . "identity",
|
|
|
94 |
$uri . "rafraichir",
|
|
|
95 |
$uri . "refresh"
|
|
|
96 |
),
|
|
|
97 |
"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"
|
|
|
98 |
),
|
|
|
99 |
'verifierjeton' => array(
|
|
|
100 |
"uri" => $uri . "verifierjeton",
|
|
|
101 |
"parametres" => array(
|
|
|
102 |
"token" => "jeton JWT",
|
|
|
103 |
),
|
|
|
104 |
"alias" => $uri . "verifytoken",
|
|
|
105 |
"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"
|
|
|
106 |
)
|
|
|
107 |
)
|
|
|
108 |
);
|
|
|
109 |
$this->envoyerJson($infos);
|
|
|
110 |
}
|
|
|
111 |
|
|
|
112 |
/**
|
|
|
113 |
* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);
|
|
|
114 |
* les paramètres GET sont ignorés
|
|
|
115 |
*/
|
|
|
116 |
public function getRessource() {
|
|
|
117 |
//echo "get ressource\n";
|
|
|
118 |
$this->infosService();
|
|
|
119 |
}
|
|
|
120 |
|
|
|
121 |
/**
|
|
|
122 |
* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);
|
|
|
123 |
* les paramètres GET sont ignorés
|
|
|
124 |
*
|
|
|
125 |
* @param array $ressources les éléments d'URL
|
|
|
126 |
*/
|
|
|
127 |
public function getElement($ressources) {
|
|
|
128 |
// Achtétépéèch portouguech lolch
|
|
|
129 |
$this->verifierSSL();
|
|
|
130 |
// le premier paramètre d'URL définit la méthode (non-magique)
|
|
|
131 |
if (count($ressources) > 0) {
|
|
|
132 |
switch ($ressources[0]) {
|
|
|
133 |
case 'login':
|
|
|
134 |
case 'connexion':
|
|
|
135 |
$this->connexion($ressources);
|
|
|
136 |
break;
|
|
|
137 |
case 'logout':
|
|
|
138 |
case 'deconnexion':
|
|
|
139 |
$this->deconnexion();
|
|
|
140 |
break;
|
|
|
141 |
case 'identity':
|
|
|
142 |
case 'identite':
|
|
|
143 |
case 'rafraichir':
|
|
|
144 |
case 'refresh':
|
|
|
145 |
$this->identite();
|
|
|
146 |
break;
|
|
|
147 |
case 'verifytoken':
|
|
|
148 |
case 'verifierjeton':
|
|
|
149 |
$this->verifierJeton();
|
|
|
150 |
break;
|
|
|
151 |
case 'info':
|
|
|
152 |
default:
|
|
|
153 |
$this->infosService();
|
|
|
154 |
}
|
|
|
155 |
}
|
|
|
156 |
}
|
|
|
157 |
|
|
|
158 |
/**
|
|
|
159 |
* Lors d'un POST avec au moins une donnée dans le body (data);
|
|
|
160 |
* les paramètres GET sont ignorés
|
|
|
161 |
* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET
|
|
|
162 |
*
|
|
|
163 |
* @param array $ressources les éléments d'URL
|
|
|
164 |
* @param array $pairs les paramètres POST
|
|
|
165 |
*/
|
|
|
166 |
public function updateElement($ressources, $pairs) {
|
|
|
167 |
//echo "update element\n";
|
|
|
168 |
$this->nonImplemente();
|
|
|
169 |
}
|
|
|
170 |
|
|
|
171 |
/**
|
|
|
172 |
* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins
|
|
|
173 |
* un élément d'URL; dans tous les cas les paramètres GET sont ignorés
|
|
|
174 |
*
|
|
|
175 |
* @param array $pairs les paramètres POST
|
|
|
176 |
*/
|
|
|
177 |
public function createElement($pairs) {
|
|
|
178 |
//echo "create element\n";
|
|
|
179 |
$this->nonImplemente();
|
|
|
180 |
}
|
|
|
181 |
|
|
|
182 |
/**
|
|
|
183 |
* Lors d'un DELETE avec au moins un élément d'URL
|
|
|
184 |
* @TODO utiliser pour invalider un jeton (nécessite stockage)
|
|
|
185 |
*
|
|
|
186 |
* @param array $ressources les éléments d'URL
|
|
|
187 |
*/
|
|
|
188 |
public function deleteElement($ressources) {
|
|
|
189 |
//echo "delete element\n";
|
|
|
190 |
$this->nonImplemente();
|
|
|
191 |
}
|
|
|
192 |
|
|
|
193 |
/**
|
|
|
194 |
* Vérifie l'identité d'un utilisateur à partir de son courriel et son
|
|
|
195 |
* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si
|
|
|
196 |
* tout va bien, sinon renvoie une erreur et détruit le cookie
|
|
|
197 |
* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,
|
|
|
198 |
* le caractère "&" posera problème en GET
|
|
|
199 |
*
|
|
|
200 |
* @param array $ressources non utilisé
|
|
|
201 |
*/
|
|
|
202 |
protected function connexion($ressources) {
|
|
|
203 |
$login = $this->getParam('login');
|
|
|
204 |
$password = $this->getParam('password', null);
|
579 |
mathias |
205 |
$partenaire = $this->getParam('partner');
|
559 |
aurelien |
206 |
if ($login == '' || $password == '') {
|
|
|
207 |
$this->erreur("parameters <login> and <password> required");
|
|
|
208 |
}
|
579 |
mathias |
209 |
$acces = false;
|
|
|
210 |
// connexion à un partenaire ?
|
580 |
mathias |
211 |
$infosPartenaire = array();
|
579 |
mathias |
212 |
if ($partenaire != '') {
|
|
|
213 |
$classeAuth = "AuthPartner" . ucfirst(strtolower($partenaire));
|
|
|
214 |
try {
|
580 |
mathias |
215 |
$fichierClasse = getcwd() . "/services/auth/$classeAuth.php"; // @TODO vérifier si getcwd() est fiable dans ce cas
|
|
|
216 |
if (! file_exists($fichierClasse)) {
|
|
|
217 |
$this->erreur("unknown partner '$partenaire'");
|
|
|
218 |
}
|
579 |
mathias |
219 |
require $fichierClasse;
|
580 |
mathias |
220 |
$authPartenaire = new $classeAuth($this);
|
579 |
mathias |
221 |
// authentification par le partenaire
|
580 |
mathias |
222 |
$acces = $authPartenaire->verifierAcces($login, $password);
|
|
|
223 |
if ($acces === true) {
|
|
|
224 |
// copie des infos dans l'annuaire si besoin
|
|
|
225 |
$authPartenaire->synchroniser();
|
|
|
226 |
}
|
|
|
227 |
// détails à ajouter au jeton local
|
|
|
228 |
$infosPartenaire['partenaire'] = $partenaire;
|
|
|
229 |
$infosPartenaire['jetonPartenaire'] = $authPartenaire->getJetonPartenaire();
|
583 |
mathias |
230 |
// remplacement du login par le courriel (chez certains partenaires,
|
|
|
231 |
// le login peut ne pas être un courriel
|
|
|
232 |
$login = $authPartenaire->getCourriel();
|
579 |
mathias |
233 |
} catch(Exception $e) {
|
|
|
234 |
$this->erreur($e->getMessage(), 500);
|
|
|
235 |
}
|
|
|
236 |
} else {
|
|
|
237 |
// authentification locale
|
|
|
238 |
$acces = $this->verifierAcces($login, $password);
|
|
|
239 |
}
|
559 |
aurelien |
240 |
if ($acces === false) {
|
|
|
241 |
$this->detruireCookie();
|
563 |
mathias |
242 |
// redirection si demandée - se charge de sortir du script en cas de succès
|
|
|
243 |
$this->rediriger();
|
|
|
244 |
// si la redirection n'a pas eu lieu
|
|
|
245 |
$this->erreur("authentication failed", 401);
|
559 |
aurelien |
246 |
}
|
|
|
247 |
// infos utilisateur
|
580 |
mathias |
248 |
$infos = $this->utilisateur->getIdentiteParCourriel($login);
|
|
|
249 |
//var_dump($infos); exit;
|
576 |
mathias |
250 |
// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase
|
|
|
251 |
$login = strtolower($login);
|
559 |
aurelien |
252 |
if (count($infos) == 0 || empty($infos[$login])) {
|
563 |
mathias |
253 |
// redirection si demandée - se charge de sortir du script en cas de succès
|
|
|
254 |
$this->rediriger();
|
|
|
255 |
// si la redirection n'a pas eu lieu
|
|
|
256 |
$this->erreur("could not get user info");
|
559 |
aurelien |
257 |
}
|
580 |
mathias |
258 |
$infos = $infos[$login];
|
579 |
mathias |
259 |
// date de dernière modification du profil
|
580 |
mathias |
260 |
$dateDerniereModif = $this->utilisateur->getDateDerniereModifProfil($infos['id'], true);
|
|
|
261 |
$infos['dateDerniereModif'] = $dateDerniereModif;
|
|
|
262 |
// infos partenaire
|
|
|
263 |
$infos = array_merge($infos, $infosPartenaire);
|
559 |
aurelien |
264 |
// création du jeton
|
580 |
mathias |
265 |
$jwt = $this->creerJeton($login, $infos);
|
559 |
aurelien |
266 |
// création du cookie
|
|
|
267 |
$this->creerCookie($jwt);
|
563 |
mathias |
268 |
// redirection si demandée - se charge de sortir du script en cas de succès
|
|
|
269 |
$this->rediriger($jwt);
|
|
|
270 |
// envoi
|
|
|
271 |
$this->envoyerJson(array(
|
|
|
272 |
"session" => true,
|
|
|
273 |
"token" => $jwt,
|
|
|
274 |
"duration" => intval($this->dureeJeton),
|
|
|
275 |
"token_id" => $this->nomCookie,
|
580 |
mathias |
276 |
"last_modif" => $infos['dateDerniereModif']
|
563 |
mathias |
277 |
));
|
559 |
aurelien |
278 |
}
|
|
|
279 |
|
|
|
280 |
/**
|
|
|
281 |
* Détruit le cookie et renvoie un jeton vide ou NULL - le client
|
|
|
282 |
* devrait toujours remplacer son jeton par celui renvoyé par les
|
|
|
283 |
* méthodes de l'annuaire
|
|
|
284 |
*/
|
|
|
285 |
protected function deconnexion() {
|
|
|
286 |
// suppression du cookie
|
|
|
287 |
$this->detruireCookie();
|
|
|
288 |
// envoi d'un jeton null
|
|
|
289 |
$jwt = null;
|
563 |
mathias |
290 |
// redirection si demandée - se charge de sortir du script en cas de succès
|
|
|
291 |
$this->rediriger();
|
|
|
292 |
// si la redirection n'a pas eu lieu
|
|
|
293 |
$this->envoyerJson(array(
|
|
|
294 |
"session" => false,
|
|
|
295 |
"token" => $jwt,
|
|
|
296 |
"token_id" => $this->nomCookie
|
|
|
297 |
));
|
559 |
aurelien |
298 |
}
|
|
|
299 |
|
|
|
300 |
/**
|
|
|
301 |
* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
|
|
|
302 |
* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,
|
|
|
303 |
* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie
|
|
|
304 |
* et/ou le jeton sont expirés;
|
|
|
305 |
* cela permet en théorie de forger des cookies avec des jetons expirés pour se les
|
|
|
306 |
* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut
|
|
|
307 |
* être en possession que de ses propres jetons... au pire on peut se faire prolonger
|
|
|
308 |
* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour
|
|
|
309 |
* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette
|
|
|
310 |
* stratégie, l'inverse est peut-être plus malin
|
|
|
311 |
*/
|
|
|
312 |
protected function identite() {
|
|
|
313 |
$cookieAvecJetonValide = false;
|
|
|
314 |
$jetonRetour = null;
|
|
|
315 |
$erreur = '';
|
|
|
316 |
// lire cookie
|
|
|
317 |
if (isset($_COOKIE[$this->nomCookie])) {
|
|
|
318 |
$jwt = $_COOKIE[$this->nomCookie];
|
|
|
319 |
try {
|
|
|
320 |
// rafraîchir jeton quelque soit son état - "true" permet
|
|
|
321 |
// d'ignorer les ExpiredException (on rafraîchit le jeton
|
|
|
322 |
// expiré car le cookie est encore valide)
|
|
|
323 |
$jetonRetour = $this->rafraichirJeton($jwt, true);
|
|
|
324 |
// on ne tentera pas de lire un jeton fourni en paramètre
|
|
|
325 |
$cookieAvecJetonValide = true;
|
|
|
326 |
} catch (Exception $e) {
|
|
|
327 |
// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)
|
|
|
328 |
// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)
|
|
|
329 |
$erreur = "invalid token in cookie";
|
|
|
330 |
}
|
|
|
331 |
}
|
|
|
332 |
// si le cookie n'existait pas ou ne contenait pas un jeton
|
|
|
333 |
if (! $cookieAvecJetonValide) {
|
|
|
334 |
// lire jeton depuis header ou paramètre
|
|
|
335 |
$jwt = $this->lireJetonDansHeader();
|
|
|
336 |
if ($jwt == null) {
|
|
|
337 |
// dernière chance
|
|
|
338 |
$jwt = $this->getParam('token');
|
|
|
339 |
}
|
|
|
340 |
// toutes les possibilités ont été essayées
|
|
|
341 |
if ($jwt != null) {
|
|
|
342 |
try {
|
|
|
343 |
// rafraîchir jeton si non expiré
|
|
|
344 |
$jetonRetour = $this->rafraichirJeton($jwt);
|
|
|
345 |
} catch (Exception $e) {
|
|
|
346 |
// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
|
|
|
347 |
$erreur = "invalid or expired token in Authorization header or parameter <token>";
|
|
|
348 |
}
|
|
|
349 |
} else {
|
|
|
350 |
// pas de jeton valide passé en paramètre
|
|
|
351 |
$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");
|
|
|
352 |
}
|
563 |
mathias |
353 |
}
|
|
|
354 |
// redirection si demandée - se charge de sortir du script en cas de succès
|
|
|
355 |
$this->rediriger($jetonRetour);
|
|
|
356 |
// renvoi jeton
|
|
|
357 |
if ($jetonRetour === null) {
|
|
|
358 |
$this->erreur($erreur);
|
559 |
aurelien |
359 |
} else {
|
563 |
mathias |
360 |
$this->envoyerJson(array(
|
|
|
361 |
"session" => true,
|
|
|
362 |
"token" => $jetonRetour,
|
|
|
363 |
"duration" => intval($this->dureeJeton),
|
|
|
364 |
"token_id" => $this->nomCookie
|
|
|
365 |
));
|
559 |
aurelien |
366 |
}
|
|
|
367 |
}
|
563 |
mathias |
368 |
|
|
|
369 |
/**
|
|
|
370 |
* Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;
|
|
|
371 |
* sinon, ne fait rien et passe la main
|
|
|
372 |
*
|
574 |
mathias |
373 |
* @param string $jetonRetour jeton JWT à passer à l'URL de destination
|
|
|
374 |
* en GET; par défaut null
|
563 |
mathias |
375 |
*/
|
|
|
376 |
protected function rediriger($jetonRetour=null) {
|
|
|
377 |
if (!empty($_GET['redirect_url'])) {
|
|
|
378 |
// dans le cas où une url de redirection est précisée,
|
574 |
mathias |
379 |
// on précise le jeton dans le get
|
559 |
aurelien |
380 |
$url_redirection = $_GET['redirect_url'];
|
574 |
mathias |
381 |
|
|
|
382 |
// même si le jeton est vide, on ajoute un paramètre GET Authorization
|
|
|
383 |
// pour spécifier à la cible qu'on a bien traité sa requête - permet
|
|
|
384 |
// aussi de gérer les déconnexions en renvoyant un jeton vide
|
|
|
385 |
$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';
|
|
|
386 |
$url_redirection .= $separateur.'Authorization='.$jetonRetour;
|
|
|
387 |
|
|
|
388 |
// retour à l'envoyeur !
|
563 |
mathias |
389 |
header('Location: '.$url_redirection);
|
|
|
390 |
exit;
|
559 |
aurelien |
391 |
}
|
|
|
392 |
}
|
|
|
393 |
|
|
|
394 |
/**
|
|
|
395 |
* Vérifie si un jeton est valide; retourne true si oui, une erreur avec
|
|
|
396 |
* des détails si non;
|
|
|
397 |
* Priorité : header "Authorization" > paramètre "token"
|
|
|
398 |
*/
|
|
|
399 |
protected function verifierJeton() {
|
|
|
400 |
// vérifie que le jeton provient bien d'ici,
|
|
|
401 |
// et qu'il est encore valide (date)
|
|
|
402 |
$jwt = $this->lireJetonDansHeader();
|
|
|
403 |
if ($jwt == null) {
|
|
|
404 |
$jwt = $this->getParam('token');
|
|
|
405 |
if ($jwt == '') {
|
|
|
406 |
$this->erreur("parameter <token> or Authorization header required");
|
|
|
407 |
}
|
|
|
408 |
}
|
|
|
409 |
try {
|
|
|
410 |
$jeton = JWT::decode($jwt, $this->clef, array('HS256'));
|
|
|
411 |
$jeton = (array) $jeton;
|
|
|
412 |
} catch (Exception $e) {
|
|
|
413 |
$this->erreur($e->getMessage());
|
|
|
414 |
exit;
|
|
|
415 |
}
|
|
|
416 |
$this->envoyerJson(true);
|
|
|
417 |
}
|
|
|
418 |
|
|
|
419 |
/**
|
|
|
420 |
* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne
|
|
|
421 |
* une période de validité de $this->dureeJeton; si $ignorerExpiration
|
|
|
422 |
* vaut true, rafraîchira le jeton même s'il a expiré
|
|
|
423 |
* (attention à ne pas appeler cette méthode n'importe comment !);
|
|
|
424 |
* jette une exception si le jeton est vide, mal signé ou autre erreur,
|
|
|
425 |
* ou s'il a expiré et que $ignorerExpiration est différent de true
|
|
|
426 |
*
|
|
|
427 |
* @param string $jwt le jeton JWT
|
|
|
428 |
* @return string le jeton rafraîchi
|
|
|
429 |
*/
|
|
|
430 |
protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {
|
|
|
431 |
$infos = array();
|
|
|
432 |
// vérification avec lib JWT
|
|
|
433 |
try {
|
|
|
434 |
$infos = JWT::decode($jwt, $this->clef, array('HS256'));
|
|
|
435 |
$infos = (array) $infos;
|
|
|
436 |
} catch (ExpiredException $e) {
|
|
|
437 |
if ($ignorerExpiration === true) {
|
|
|
438 |
// on se fiche qu'il soit expiré
|
|
|
439 |
// décodage d'un jeton expiré
|
|
|
440 |
// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),
|
|
|
441 |
// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !
|
579 |
mathias |
442 |
$infos = $this->decoderJetonManuellement($jwt);
|
559 |
aurelien |
443 |
} else {
|
|
|
444 |
// on renvoie l'exception plus haut
|
|
|
445 |
throw $e;
|
|
|
446 |
}
|
|
|
447 |
}
|
|
|
448 |
// vérification des infos
|
|
|
449 |
if (empty($infos['sub'])) {
|
|
|
450 |
// jeton vide (wtf?)
|
|
|
451 |
throw new Exception("empty token (no <sub>)");
|
|
|
452 |
}
|
|
|
453 |
// rafraîchissement
|
|
|
454 |
$infos['exp'] = time() + $this->dureeJeton;
|
|
|
455 |
$jwtSortie = JWT::encode($infos, $this->clef);
|
|
|
456 |
|
|
|
457 |
return $jwtSortie;
|
|
|
458 |
}
|
|
|
459 |
|
|
|
460 |
/**
|
|
|
461 |
* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU
|
|
|
462 |
* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton
|
|
|
463 |
* correct (vérifié avec la lib JWT) mais expiré !
|
579 |
mathias |
464 |
* Public car utilisé par les classes AuthPartner (@TODO stratégie à valider)
|
559 |
aurelien |
465 |
* @param string $jwt un jeton vérifié comme valide, mais expiré
|
|
|
466 |
*/
|
579 |
mathias |
467 |
public function decoderJetonManuellement($jwt) {
|
559 |
aurelien |
468 |
$parts = explode('.', $jwt);
|
|
|
469 |
$payload = $parts[1];
|
|
|
470 |
$payload = base64_decode($payload);
|
|
|
471 |
$payload = json_decode($payload, true);
|
|
|
472 |
|
|
|
473 |
return $payload;
|
|
|
474 |
}
|
|
|
475 |
|
|
|
476 |
/**
|
|
|
477 |
* Crée un jeton JWT signé avec la clef
|
|
|
478 |
*
|
|
|
479 |
* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon
|
|
|
480 |
* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton
|
|
|
481 |
* @param array $donnees les données à ajouter au jeton (infos utilisateur)
|
|
|
482 |
*
|
|
|
483 |
* @return string un jeton JWT signé
|
|
|
484 |
*/
|
|
|
485 |
protected function creerJeton($sub, $donnees=array(), $exp=null) {
|
|
|
486 |
if ($exp === null) {
|
|
|
487 |
$exp = time() + $this->dureeJeton;
|
|
|
488 |
}
|
|
|
489 |
$jeton = array(
|
|
|
490 |
"iss" => "https://www.tela-botanica.org",
|
|
|
491 |
"token_id" => $this->nomCookie,
|
|
|
492 |
//"aud" => "http://example.com",
|
|
|
493 |
"sub" => $sub,
|
|
|
494 |
"iat" => time(),
|
|
|
495 |
"exp" => $exp,
|
|
|
496 |
//"nbf" => time() + 60,
|
|
|
497 |
"scopes" => array("tela-botanica.org")
|
|
|
498 |
);
|
|
|
499 |
if (! empty($donnees)) {
|
|
|
500 |
$jeton = array_merge($jeton, $donnees);
|
|
|
501 |
}
|
|
|
502 |
$jwt = JWT::encode($jeton, $this->clef);
|
|
|
503 |
|
|
|
504 |
return $jwt;
|
|
|
505 |
}
|
|
|
506 |
|
|
|
507 |
/**
|
|
|
508 |
* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par
|
|
|
509 |
* défaut "Authorization")
|
|
|
510 |
*
|
|
|
511 |
* @param string $nomHeader nom de l'entête dans lequel chercher le jeton
|
|
|
512 |
* @return String un jeton JWT ou null
|
|
|
513 |
*/
|
|
|
514 |
protected function lireJetonDansHeader($nomHeader="Authorization") {
|
|
|
515 |
$jwt = null;
|
|
|
516 |
$headers = apache_request_headers();
|
|
|
517 |
if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {
|
|
|
518 |
$jwt = $headers[$nomHeader];
|
|
|
519 |
}
|
|
|
520 |
return $jwt;
|
|
|
521 |
}
|
|
|
522 |
|
|
|
523 |
/**
|
|
|
524 |
* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
|
|
|
525 |
* contenant $valeur
|
|
|
526 |
*
|
|
|
527 |
* @param string $valeur le contenu du cookie (de préférence un jeton JWT)
|
|
|
528 |
*/
|
|
|
529 |
protected function creerCookie($valeur) {
|
|
|
530 |
setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);
|
|
|
531 |
}
|
|
|
532 |
|
|
|
533 |
/**
|
|
|
534 |
* Renvoie le cookie avec une valeur vide et une date d'expiration dans le
|
|
|
535 |
* passé, afin que le navigateur le détruise au prochain appel
|
|
|
536 |
* @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie
|
|
|
537 |
*
|
|
|
538 |
* @param string $valeur la valeur du cookie, par défaut ""
|
|
|
539 |
*/
|
|
|
540 |
protected function detruireCookie() {
|
|
|
541 |
setcookie($this->nomCookie, "", -1, '/', null, true);
|
|
|
542 |
}
|
|
|
543 |
|
|
|
544 |
// ---------------- Méthodes à génériciser ci-dessous ----------------------------------
|
|
|
545 |
|
|
|
546 |
/**
|
|
|
547 |
* Message succinct pour méthodes / actions non implémentées
|
|
|
548 |
*/
|
|
|
549 |
protected function nonImplemente() {
|
|
|
550 |
$this->erreur("not implemented");
|
|
|
551 |
}
|
|
|
552 |
|
|
|
553 |
/**
|
|
|
554 |
* Si $this->forcerSSL vaut true, envoie une erreur et termine le programme si SSL n'est pas utilisé
|
|
|
555 |
*/
|
|
|
556 |
protected function verifierSSL() {
|
|
|
557 |
if ($this->forcerSSL === true) {
|
|
|
558 |
if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == 'off') {
|
|
|
559 |
$this->erreur("HTTPS required");
|
|
|
560 |
exit;
|
|
|
561 |
}
|
|
|
562 |
}
|
|
|
563 |
}
|
|
|
564 |
|
|
|
565 |
protected function getParamChain($names) {
|
|
|
566 |
if (! is_array($names)) {
|
|
|
567 |
// Hou ? (cri de chouette solitaire)
|
|
|
568 |
}
|
|
|
569 |
}
|
|
|
570 |
|
|
|
571 |
/**
|
|
|
572 |
* Capture un paramètre de requête ($_REQUEST)
|
|
|
573 |
*
|
|
|
574 |
* @param string $name nom du paramètre à capturer
|
|
|
575 |
* @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
|
|
|
576 |
* @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
|
|
|
577 |
*
|
|
|
578 |
* @return string la valeur du paramètre si défini, sinon la valeur par défaut
|
|
|
579 |
*/
|
|
|
580 |
protected function getParam($name, $default=null, $traiterVideCommeDefaut=false) {
|
|
|
581 |
$ret = $default;
|
|
|
582 |
if (isset($_REQUEST[$name])) {
|
|
|
583 |
if ($traiterVideCommeDefaut === false || $_REQUEST[$name] !== '') {
|
|
|
584 |
$ret = $_REQUEST[$name];
|
|
|
585 |
}
|
|
|
586 |
}
|
|
|
587 |
return $ret;
|
|
|
588 |
}
|
|
|
589 |
|
|
|
590 |
/**
|
|
|
591 |
* Capture un paramètre GET
|
|
|
592 |
*
|
|
|
593 |
* @param string $name nom du paramètre GET à capturer
|
|
|
594 |
* @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
|
|
|
595 |
* @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
|
|
|
596 |
*
|
|
|
597 |
* @return string la valeur du paramètre si défini, sinon la valeur par défaut
|
|
|
598 |
*/
|
|
|
599 |
protected function getGetParam($name, $default=null, $traiterVideCommeDefaut=false) {
|
|
|
600 |
$ret = $default;
|
|
|
601 |
if (isset($_GET[$name])) {
|
|
|
602 |
if ($traiterVideCommeDefaut === false || $_GET[$name] !== '') {
|
|
|
603 |
$ret = $_GET[$name];
|
|
|
604 |
}
|
|
|
605 |
}
|
|
|
606 |
return $ret;
|
|
|
607 |
}
|
|
|
608 |
|
|
|
609 |
/**
|
|
|
610 |
* Capture un paramètre POST
|
|
|
611 |
*
|
|
|
612 |
* @param string $name nom du paramètre POST à capturer
|
|
|
613 |
* @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
|
|
|
614 |
* @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
|
|
|
615 |
*
|
|
|
616 |
* @return string la valeur du paramètre si défini, sinon la valeur par défaut
|
|
|
617 |
*/
|
|
|
618 |
protected function getPostParam($name, $default=null, $traiterVideCommeDefaut=false) {
|
|
|
619 |
$ret = $default;
|
|
|
620 |
if (isset($_POST[$name])) {
|
|
|
621 |
if ($traiterVideCommeDefaut === false || $_POST[$name] !== '') {
|
|
|
622 |
$ret = $_POST[$name];
|
|
|
623 |
}
|
|
|
624 |
}
|
|
|
625 |
return $ret;
|
|
|
626 |
}
|
|
|
627 |
|
|
|
628 |
/**
|
|
|
629 |
* Envoie une erreur HTTP $code (400 par défaut) avec les données $data en JSON
|
|
|
630 |
*
|
|
|
631 |
* @param mixed $data données JSON de l'erreur - généralement array("error" => "raison de l'erreur") - si
|
|
|
632 |
* seule une chaîne est transmise, sera convertie en array("error" => $data)
|
|
|
633 |
* @param number $code code HTTP de l'erreur, par défaut 400 (bad request)
|
|
|
634 |
* @param boolean $exit si true (par défaut), termine le script après avoir envoyé l'erreur
|
|
|
635 |
*/
|
|
|
636 |
protected function erreur($data, $code=400, $exit=true) {
|
|
|
637 |
if (! is_array($data)) {
|
|
|
638 |
$data = array(
|
|
|
639 |
"error" => $data
|
|
|
640 |
);
|
|
|
641 |
}
|
|
|
642 |
http_response_code($code);
|
|
|
643 |
$this->envoyerJson($data);
|
|
|
644 |
if ($exit === true) {
|
|
|
645 |
exit;
|
|
|
646 |
}
|
|
|
647 |
}
|
|
|
648 |
}
|
|
|
649 |
|
|
|
650 |
/**
|
|
|
651 |
* Mode moderne pour PHP < 5.4
|
|
|
652 |
*/
|
|
|
653 |
if (!function_exists('http_response_code')) {
|
|
|
654 |
function http_response_code($code = NULL) {
|
|
|
655 |
if ($code !== NULL) {
|
|
|
656 |
switch ($code) {
|
|
|
657 |
case 100: $text = 'Continue'; break;
|
|
|
658 |
case 101: $text = 'Switching Protocols'; break;
|
|
|
659 |
case 200: $text = 'OK'; break;
|
|
|
660 |
case 201: $text = 'Created'; break;
|
|
|
661 |
case 202: $text = 'Accepted'; break;
|
|
|
662 |
case 203: $text = 'Non-Authoritative Information'; break;
|
|
|
663 |
case 204: $text = 'No Content'; break;
|
|
|
664 |
case 205: $text = 'Reset Content'; break;
|
|
|
665 |
case 206: $text = 'Partial Content'; break;
|
|
|
666 |
case 300: $text = 'Multiple Choices'; break;
|
|
|
667 |
case 301: $text = 'Moved Permanently'; break;
|
|
|
668 |
case 302: $text = 'Moved Temporarily'; break;
|
|
|
669 |
case 303: $text = 'See Other'; break;
|
|
|
670 |
case 304: $text = 'Not Modified'; break;
|
|
|
671 |
case 305: $text = 'Use Proxy'; break;
|
|
|
672 |
case 400: $text = 'Bad Request'; break;
|
|
|
673 |
case 401: $text = 'Unauthorized'; break;
|
|
|
674 |
case 402: $text = 'Payment Required'; break;
|
|
|
675 |
case 403: $text = 'Forbidden'; break;
|
|
|
676 |
case 404: $text = 'Not Found'; break;
|
|
|
677 |
case 405: $text = 'Method Not Allowed'; break;
|
|
|
678 |
case 406: $text = 'Not Acceptable'; break;
|
|
|
679 |
case 407: $text = 'Proxy Authentication Required'; break;
|
|
|
680 |
case 408: $text = 'Request Time-out'; break;
|
|
|
681 |
case 409: $text = 'Conflict'; break;
|
|
|
682 |
case 410: $text = 'Gone'; break;
|
|
|
683 |
case 411: $text = 'Length Required'; break;
|
|
|
684 |
case 412: $text = 'Precondition Failed'; break;
|
|
|
685 |
case 413: $text = 'Request Entity Too Large'; break;
|
|
|
686 |
case 414: $text = 'Request-URI Too Large'; break;
|
|
|
687 |
case 415: $text = 'Unsupported Media Type'; break;
|
|
|
688 |
case 500: $text = 'Internal Server Error'; break;
|
|
|
689 |
case 501: $text = 'Not Implemented'; break;
|
|
|
690 |
case 502: $text = 'Bad Gateway'; break;
|
|
|
691 |
case 503: $text = 'Service Unavailable'; break;
|
|
|
692 |
case 504: $text = 'Gateway Time-out'; break;
|
|
|
693 |
case 505: $text = 'HTTP Version not supported'; break;
|
|
|
694 |
case 666: $text = 'Couscous overheat'; break;
|
|
|
695 |
default:
|
|
|
696 |
exit('Unknown http status code "' . htmlentities($code) . '"');
|
|
|
697 |
break;
|
|
|
698 |
}
|
|
|
699 |
|
|
|
700 |
$protocol = (isset($_SERVER['SERVER_PROTOCOL']) ? $_SERVER['SERVER_PROTOCOL'] : 'HTTP/1.0');
|
|
|
701 |
header($protocol . ' ' . $code . ' ' . $text);
|
|
|
702 |
$GLOBALS['http_response_code'] = $code;
|
|
|
703 |
} else {
|
|
|
704 |
$code = (isset($GLOBALS['http_response_code']) ? $GLOBALS['http_response_code'] : 200);
|
|
|
705 |
}
|
|
|
706 |
return $code;
|
|
|
707 |
}
|
576 |
mathias |
708 |
}
|