Subversion Repositories Applications.papyrus

Rev

Rev 2155 | Rev 2157 | Go to most recent revision | Details | Compare with Previous | Last modification | View Log | RSS feed

Rev Author Line No. Line
2154 aurelien 1
<?php
2
 
3
// Remplacement de apache_request_headers pour les vieux serveurs
4
// http://stackoverflow.com/questions/2916232/call-to-undefined-function-apache-request-headers
5
if(!function_exists('apache_request_headers')) {
6
	function apache_request_headers() {
7
		// Based on: http://www.iana.org/assignments/message-headers/message-headers.xml#perm-headers
8
		$arrCasedHeaders = array(
9
				// HTTP
10
				'Dasl'             => 'DASL',
11
				'Dav'              => 'DAV',
12
				'Etag'             => 'ETag',
13
				'Mime-Version'     => 'MIME-Version',
14
				'Slug'             => 'SLUG',
15
				'Te'               => 'TE',
16
				'Www-Authenticate' => 'WWW-Authenticate',
17
				// MIME
18
				'Content-Md5'      => 'Content-MD5',
19
				'Content-Id'       => 'Content-ID',
20
				'Content-Features' => 'Content-features',
21
		);
22
		$arrHttpHeaders = array();
23
 
24
		foreach($_SERVER as $strKey => $mixValue) {
25
			if('HTTP_' !== substr($strKey, 0, 5)) {
26
				continue;
27
			}
28
 
29
			$strHeaderKey = strtolower(substr($strKey, 5));
30
 
31
			if(0 < substr_count($strHeaderKey, '_')) {
32
				$arrHeaderKey = explode('_', $strHeaderKey);
33
				$arrHeaderKey = array_map('ucfirst', $arrHeaderKey);
34
				$strHeaderKey = implode('-', $arrHeaderKey);
35
			}
36
			else {
37
				$strHeaderKey = ucfirst($strHeaderKey);
38
			}
39
 
40
			if(array_key_exists($strHeaderKey, $arrCasedHeaders)) {
41
				$strHeaderKey = $arrCasedHeaders[$strHeaderKey];
42
			}
43
 
44
			$arrHttpHeaders[$strHeaderKey] = $mixValue;
45
		}
46
		return $arrHttpHeaders;
47
	}
48
}
49
 
2156 mathias 50
// Attention bien v�rifier la pr�sence des variables suivantes :
51
// IDEN_UTILISE_SSO, IDEN_URL_SSO, IDEN_COOKIE_SSO, IDEN_SSO_SYNC
52
// dans le fichier iden_config.inc.php
2154 aurelien 53
class identificationSso {
2156 mathias 54
	/**
55
	 * si la valeur est vraiment vide, le cookie n'est pas posé, alors on met
56
	 * une valeur vide pas vide :)
57
	 */
58
	public static $VALEUR_JETON_VIDE = "jeton-vide";
59
 
60
	protected $cookie_mandataire = "";
61
	/** le cookie qui dure jusqu'à Vladivostok, si synchro partielle seulement */
62
	protected $duree_cookie_mandataire = (3600 * 24 * 365);
63
 
64
	/**
65
	 * lorsqu'appelé par un client non-navigateur (qui n'envoie et ne reçoit pas
66
	 * de cookies), permet de ne pas rediriger en boucle, en fournissant le
67
	 * paramètre GET "non_interactif"
68
	 */
69
	protected $mode_non_interactif = false;
70
 
71
	/** voir IDEN_SSO_SYNC dans iden_config.inc.php  */
72
	protected $synchro_complete;
73
 
74
	protected $annuaire_url = '';
75
	protected $bdd_annuaire = '';
76
	protected $table_annuaire = '';
77
	protected $champ_login = '';
78
	protected $champ_mdp = '';
2154 aurelien 79
 
2156 mathias 80
	protected $communs_papyrus = null;
2154 aurelien 81
 
82
	public function __construct() {
83
		$this->communs_papyrus = $GLOBALS['_GEN_commun'];
84
 
2156 mathias 85
		$this->cookie_mandataire = IDEN_COOKIE_SSO;
2154 aurelien 86
		$this->auth_header = IDEN_HEADER_SSO;
87
		$this->annuaire_url = IDEN_URL_SSO;
2156 mathias 88
		$this->synchro_complete = IDEN_SSO_SYNC;
89
 
90
		// gestion des clients qui ne gèrent pas les cookies (file_get_contents...)
91
		if (isset($_GET['non_interactif'])) {
92
			$this->mode_non_interactif = true;
93
		}
94
 
95
		// si on est en mode synchro complète, on vérifie périodiquement l'état
96
		// du SSO, en utilisant un cookie qui ne dure pas jusqu'à Vladivostok
97
		if ($this->synchro_complete === true) {
98
			$this->duree_cookie_mandataire = 60; // une fois par minute (ça ou autre chose)
99
		}
2154 aurelien 100
 
2155 mathias 101
		// c'est moche mais je n'ai pas trouv� plus simple pour r�cuperer la table annuaire en cours
102
		// d'utilisation pour le site actuel (la bdd annuaire est la derni�re partie du dsn)
2154 aurelien 103
		$dsn_annuaire = $this->communs_papyrus['info_auth_bdd']->gsab_dsn;
104
		$dsn_annuaire = explode('/', $dsn_annuaire);
105
		$this->bdd_annuaire = end($dsn_annuaire);
106
 
107
		$this->table_annuaire = $this->communs_papyrus['info_auth_bdd']->gsab_nom_table;
108
		$this->champ_login = $this->communs_papyrus['info_auth_bdd']->gsab_nom_champ_login;
109
		$this->champ_mdp = $this->communs_papyrus['info_auth_bdd']->gsab_nom_champ_mdp;
110
	}
111
 
2156 mathias 112
	// http://stackoverflow.com/questions/1251582/beautiful-way-to-remove-get-variables-with-php?lq=1
113
	protected function supprimerUrlVar($url, $var) {
114
		 return rtrim(preg_replace('/([?&])'.$var.'=[^&]*(&|$)/','$1',$url), '&?');
2154 aurelien 115
	}
116
 
2156 mathias 117
	/**
118
	 * Se connecte au SSO : redirige vers le service d'authentification, qui pose
119
	 * le cookie tb_auth, puis re-redirige vers Papyrus avec le jeton en GET, puis
120
	 * Papyrus stocke ce jeton dans son cookie mandataire, puis se re-redirige
121
	 * vers lui-même pour éliminer le paramètre GET de l'URL (ouf !)
122
	 */
123
	public function connecterEtRediriger() {
124
		//echo "JE CONNECTE<br/>";
125
		// sauvegarde de l'URL courante
2154 aurelien 126
		$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
127
		$params = 'login='.$_POST['username'].'&password='.$_POST['password'].'&redirect_url='.urlencode($url_redirect);
128
		$connexion_url = $this->annuaire_url."connexion?".$params;
2156 mathias 129
		// redirection vers l'annuaire, qui va nous connecter au SSO et nous
130
		// renvoyer un jeton en GET
2154 aurelien 131
		header('Location: '.$connexion_url);
132
		exit;
133
	}
2156 mathias 134
 
135
	/**
136
	 * Se déconnecte du SSO : redirige vers le service d'authentification, qui
137
	 * supprime le cookie tb_auth, puis re-redirige vers Papyrus avec un jeton
138
	 * vide en GET; Papyrus stocke ce jeton vide dans son cookie mandataire,
139
	 * puis se re-redirige vers lui-même pour éliminer le paramètre GET de l'URL
140
	 */
141
	public function deconnecterEtRediriger() {
142
		//echo "JE DECONNECTE<br/>";
143
		// sauvegarde de l'URL courante
2154 aurelien 144
		$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
145
		$url_redirect = $this->supprimerUrlVar($url_redirect, 'logout');
146
		$deconnexion_url = $this->annuaire_url."deconnexion?".'redirect_url='.urlencode($url_redirect);
2156 mathias 147
		// redirection vers l'annuaire, qui va nous déconnecter du SSO et nous
148
		// renvoyer un jeton vide en GET
2154 aurelien 149
		header('Location: '.$deconnexion_url);
150
		exit;
151
	}
152
 
2156 mathias 153
	protected function synchroniserDepuisEtatSso() {
154
		//echo "JE SYNCHRONISE<br/>";
155
		// sauvegarde de l'URL courante
156
		$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
157
		$params = 'redirect_url='.urlencode($url_redirect);
158
		$identite_url = $this->annuaire_url."identite?".$params;
159
		// redirection vers l'annuaire, qui va nous donner l'état du SSO et nous
160
		// renvoyer un jeton en GET
161
		header('Location: '.$identite_url);
162
		exit;
163
	}
164
 
165
	/**
166
	 * Appelée à chaque chargement de page
167
	 */
168
	public function verifierIdentiteEtRediriger() {
2155 mathias 169
		// si on fait autre chose qu'un GET, on ne vérifie pas l'identité, car
170
		// cela conduirait à une redirection en GET (avec le jeton), qui
171
		// supprimerait les données du corps de la requête
172
		if ($_SERVER['REQUEST_METHOD'] == "GET") {
2154 aurelien 173
 
2156 mathias 174
			// lecture jeton en GET si on vient de l'annuaire
175
			if (isset($_GET['Authorization'])) {
176
				//echo "Re-Redirection pour éliminer le GET<br/>";
2154 aurelien 177
 
2156 mathias 178
				// création / mise à jour du cookie mandataire (le jeton peut être
179
				// vide en cas de déconnexion)
180
				$jetonRecu = $_GET['Authorization'];
181
				if ($jetonRecu == '') {
182
					$jetonRecu = self::$VALEUR_JETON_VIDE;
2154 aurelien 183
				}
2156 mathias 184
				$this->setCookieMandataire($jetonRecu);
185
				//echo "JETON REÇU: " . $_GET['Authorization'];
186
				//echo "JETON POSÉ: "; var_dump($jetonRecu);
187
				//exit;
2155 mathias 188
 
2156 mathias 189
				// redirection pour éliminer le paramètre GET
2155 mathias 190
				$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
2156 mathias 191
				$url_redirect = $this->supprimerUrlVar($url_redirect, 'Authorization');
192
				//echo "URL Redirect: $url_redirect"; exit;
193
				header('Location: ' . $url_redirect);
194
				exit;
195
			}
2155 mathias 196
 
2156 mathias 197
			// une fois qu'on a fait une connexion ou une déconnexion, on se base
198
			// sur le cookie mandataire pour gérer l'identité dans Papyrus
199
			//var_dump($_COOKIE); echo "<br/>";
200
			// lecture cookie mandataire de Papyrus
201
			$jeton = null;
202
			$cookiePresent = false;
203
			if (isset($_COOKIE[$this->cookie_mandataire])) {
204
				$cookiePresent = true;
205
				$jeton = $_COOKIE[$this->cookie_mandataire];
206
			}
207
			//echo "Cookie Présent: "; var_dump($cookiePresent);
208
			//echo "JETON: "; var_dump($jeton); echo "<br/>";
209
			//exit;
2155 mathias 210
 
2156 mathias 211
			// s'il y a un cookie, qu'il contienne un jeton valide ou vide
212
			if ($cookiePresent) {
213
				// s'il contient un jeton non-vide
214
				if ($jeton != self::$VALEUR_JETON_VIDE) {
215
					// reconnexion PEAR (l'utilisateur peut avoir changé)
216
					//echo "RECONNEXION!<br/>"; exit;
217
					$this->deconnexionPear();
218
					$this->connexionPear($jeton);
2155 mathias 219
 
2156 mathias 220
					// prolonge le cookie de 30 secondes si on est connecté, pour
221
					// minimiser les synchros avec le SSO
222
					$this->setCookieMandataire($jeton, 30);
2155 mathias 223
 
2156 mathias 224
					// si mode synchro partielle, le cookie mandataire dure logntemps,
225
					// on rafraîchit donc le jeton pour... euh... on sait jamais :-/
226
					if (! $this->synchro_complete) {
227
						// appel annuaire / identité avec jeton en GET
228
						$infosJson = $this->rafraichirJeton($jeton);
229
						$infos = json_decode($infosJson, true);
230
						//echo "INFOS: "; var_dump($infos); echo "<br/>";
231
						$jetonRafraichi = null;
232
						if (isset($infos['token'])) {
233
							$jetonRafraichi = $infos['token'];
2155 mathias 234
						}
2156 mathias 235
						//echo "JETON Rafraîchi: "; var_dump($jetonRafraichi); echo "<br/>";
236
						//exit;
237
						// si jeton rafraîchi reçu
238
						if ($jetonRafraichi != null) {
239
							// màj cookie avec jeton rafraîchi
240
							$this->setCookieMandataire($jetonRafraichi);
241
							// reconnexion PEAR (l'utilisateur peut avoir changé)
242
							$this->deconnexionPear();
243
							$this->connexionPear($jetonRafraichi);
244
							//exit;
245
						} else {
246
						// sinon (non connecté ou problème annuaire / jeton)
247
							// écriture cookie avec jeton vide
248
							$this->setCookieMandataire(self::$VALEUR_JETON_VIDE);
249
							// déconnexion PEAR
250
							$this->deconnexionPear();
2155 mathias 251
						}
252
					}
2156 mathias 253
				} else {
254
					// déconnexion PEAR ?
255
					$this->deconnexionPear();
2154 aurelien 256
				}
2156 mathias 257
			} else { // sinon (aucun cookie mandataire)
258
				// en mode synchro complète, on vérifie chaque minute (lorsque le
259
				// cookie mandataire n'est plus présent) si on n'est pas connecté
260
				// sur le SSO, sauf si on est en mode non interactif
261
				if ($this->synchro_complete && (! $this->mode_non_interactif)) {
262
					$this->synchroniserDepuisEtatSso();
263
				}
2154 aurelien 264
			}
265
		}
266
	}
2155 mathias 267
 
2156 mathias 268
	protected function setCookieMandataire($valeur, $duree=null) {
269
		if ($duree === null) {
270
			$duree = $this->duree_cookie_mandataire;
271
		}
272
		setcookie($this->cookie_mandataire, $valeur, time() + $duree);
273
	}
274
 
2155 mathias 275
	/**
2156 mathias 276
	 * Connecte l'utilisateur à Papyrus avec le système traditionnel fourni par PEAR
2155 mathias 277
	 */
2156 mathias 278
	protected function connexionPear($jeton) {
279
		$jeton_decode = $this->decoderToken($jeton);
2155 mathias 280
 
2156 mathias 281
		// R�cup�ration du mot de passe pour remplir les infos de l'objet PEAR Auth
282
		$requete =  'SELECT '.$this->champ_mdp.' '.
283
				'FROM '.$this->bdd_annuaire.'.'.$this->table_annuaire.' '.
284
				'WHERE '.$this->champ_login.' = "'.$jeton_decode['sub'].'" ';
2155 mathias 285
 
2156 mathias 286
		// TODO: normalement �a n'est jamais le cas mais que fait t'on si l'utilisateur n'existe pas
287
		// dans notre base de donn�es ? (au pire il ne sera pas connect�)
288
		$this->communs_papyrus['pear_auth']->username = $jeton_decode['sub'];
289
		$this->communs_papyrus['pear_auth']->password = $this->communs_papyrus['pear_db']->getOne($requete);
290
 
291
		// Le mot de passe est d�j� crypt� dans la bdd donc il faut indiquer � pear de ne pas le re crytper
292
		if (isset($this->communs_papyrus['pear_auth']->storage_options)) {
293
			$this->communs_papyrus['pear_auth']->storage_options['cryptType'] = 'none';
294
		}
295
		if (isset($this->communs_papyrus['pear_auth']->storage->options)) {
296
			$this->communs_papyrus['pear_auth']->storage->options['cryptType'] = 'none';
297
		}
298
 
299
		// si on fait pas ça, ça marche pas (régénération de session apparemment)
300
		//$this->communs_papyrus['pear_auth']->setAuth($jeton_decode['sub']);
2155 mathias 301
	}
2156 mathias 302
 
303
	/**
304
	 * Supprime tout ce qui a trait à PEAR afin de déconnecter l'utilisateur du
305
	 * système d'authentification traditionnel de Papyrus
306
	 */
307
	protected function deconnexionPear() {
308
		$this->communs_papyrus['pear_auth']->logout();
309
 
310
		$cookie_persistant_nom = session_name().'-memo';
311
		$cookie_utilisateur_nom = session_name().'-utilisateur';
312
		// Destruction du cookie de session de Papyrus : est ce utile?
313
		setcookie(session_name(), session_id(), time()-3600, '/');
314
		// Destruction du cookie de permanence de l'identitification de Papyrus
315
		setcookie($cookie_persistant_nom, '', time()-3600, '/');
316
		setcookie($cookie_utilisateur_nom, '', time()-3600, '/');
317
	}
318
 
319
	/**
320
	 * Fournit un jeton à l'annuaire (jeton provenant du cookie mandataire
321
	 * de Papyrus), le fait rafraîchir puis met à jour le cookie mandataire avec
322
	 * le jeton rafraîchi
323
	 */
324
	protected function rafraichirJeton($jeton) {
325
		$identiteServiceURL = $this->annuaire_url . "identite";
326
		$identiteServiceURL .= "?token=" . $jeton;
327
		//echo "URL: $identiteServiceURL<br/>";
328
		$ch = curl_init($identiteServiceURL);
329
		curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
330
		curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
331
		curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
332
		$jetonRafraichi = curl_exec($ch);
333
		//var_dump($jetonRafraichi);
334
		//var_dump(curl_error($ch)); exit;
335
 
336
		return $jetonRafraichi;
337
	}
338
 
339
	protected function decoderToken($token) {
340
		$token_parts = explode('.', $token);
341
		return json_decode(base64_decode($token_parts[1]), true);
342
	}
2154 aurelien 343
}
344
?>