/trunk/services/bibliotheque/GestionUtilisateur.php |
---|
20,7 → 20,7 |
protected $contexte; |
protected $bdd; |
protected $utilisateur = array(); |
private $utilisateur = array(); |
public function __construct(Conteneur $conteneur) { |
$this->conteneur = $conteneur; |
29,10 → 29,6 |
$this->chargerUtilisateur(); |
} |
/** |
* Charge des données utilisateur : un vrai profil si l'utilisateur est identifié, |
* un profil "anonyme" sinon |
*/ |
private function chargerUtilisateur() { |
$this->demarrerSession(); |
$infos = $this->getUtilisateurIdentifie(); |
42,116 → 38,23 |
private function demarrerSession() { |
if (session_id() == '') { |
// TODO : modifier ce test lors du passage en php 5.4 |
// TODO : expliquer pourquoi SVP :) |
session_start(); |
} |
} |
// rétrocompat avec un vieux machin |
public function getIdAnonymeTemporaire() { |
return $this->utilisateur['session_id']; |
} |
/** |
* Retourne l'utilisateur en cours, chargé dans le constructeur |
* par getutilisateurIdentifié() |
*/ |
public function getUtilisateur() { |
return $this->utilisateur; |
} |
/** |
* Recherche un jeton SSO dans l'entête HTTP "Authorization", vérifie ce |
* jeton auprès de l'annuaire et en cas de succès charge les informations |
* de l'utilisateur associé |
* |
* @return Array un profil utilisateur ou null |
*/ |
public function getUtilisateurIdentifie() { |
$utilisateur = null; |
// lecture du jeton |
$jeton = $this->lireJetonEntete(); |
if ($jeton != null) { |
// validation par l'annuaire |
$valide = $this->verifierJeton($jeton); |
if ($valide === true) { |
// décodage du courriel utilisateur depuis le jeton |
$donneesJeton = $this->decoderJeton($jeton); |
if ($donneesJeton != null && $donneesJeton["sub"] != "") { |
// récupération de l'utilisateur |
$courriel = $donneesJeton["sub"]; |
$utilisateur = $this->recupererUtilisateurEnBdd($courriel); |
} |
} |
$delCourriel = $this->contexte->getCookie('del_courriel'); |
$delMdp = $this->contexte->getCookie('del_mot_de_passe'); |
if ($delCourriel != null && $delMdp != null) { |
$utilisateur = $this->identifierUtilisateurSansEncryptionMotDePasse($delCourriel, $delMdp); |
} |
if ($utilisateur != null) { |
$utilisateur = $this->completerInfosUtilisateur($utilisateur); |
$utilisateur['session_id'] = session_id(); |
} |
return $utilisateur; |
} |
/** |
* Essaye de trouver un jeton JWT non vide dans l'entête HTTP "Authorization" |
* |
* @return String un jeton JWT ou null |
*/ |
protected function lireJetonEntete() { |
$jwt = null; |
$headers = apache_request_headers(); |
if (isset($headers["Authorization"]) && ($headers["Authorization"] != "")) { |
$jwt = $headers["Authorization"]; |
} |
return $jwt; |
} |
/** |
* Vérifie un jeton auprès de l'annuaire |
* |
* @param String $jeton un jeton JWT |
* @return true si le jeton est vérifié, false sinon |
*/ |
protected function verifierJeton($jeton) { |
$urlServiceVerification = $this->conteneur->getParametre("urlServiceBaseAuth") . "verifierjeton"; |
$urlServiceVerification .= "?token=" . $jeton; |
// file_get_contents râle si le certificat HTTPS est auto-signé |
//$retour = file_get_contents($urlServiceVerification); |
// curl avec les options suivantes ignore le pb de certificat (pour tester en local) |
$ch = curl_init(); |
$timeout = 5; |
curl_setopt($ch, CURLOPT_URL, $urlServiceVerification); |
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); |
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout); |
// équivalent de "-k" |
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false); |
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); |
$data = curl_exec($ch); |
curl_close($ch); |
$retour = $data; |
$retour = json_decode($retour, true); |
return ($retour === true); |
} |
/** |
* Décode un jeton JWT (SSO) précédemment validé et retourne les infos |
* qu'il contient (payload / claims) |
* @param String $jeton un jeton JWT précédemment validé |
*/ |
protected function decoderJeton($jeton) { |
$parts = explode('.', $jeton); |
$payload = $parts[1]; |
$payload = base64_decode($payload); |
$payload = json_decode($payload, true); |
return $payload; |
} |
/** |
* Retourne un profil d'utilisateur non connecté (anonyme), avec un identifiant de session |
* PHP qui permet de suivre son activité |
*/ |
public function getUtilisateurAnonyme() { |
return array( |
'connecte' => false, |
165,22 → 68,24 |
); |
} |
/** |
* Récupère les données d'un utilisateur dans la BDD depuis son login; considère que |
* l'utilisateur est légitime car il fournit un jeton SSO vérifié par l'annuaire |
* |
* @param String $login le courriel de l'utilisateur |
* @return array les infos de l'utilisateur |
*/ |
private function recupererUtilisateurEnBdd($login) { |
protected function identifierUtilisateur($login, $mot_de_passe) { |
return $this->recupererUtilisateurEnBdd($login, $mot_de_passe, 'MD5'); |
} |
protected function identifierUtilisateurSansEncryptionMotDePasse($login, $mot_de_passe) { |
return $this->recupererUtilisateurEnBdd($login, $mot_de_passe); |
} |
private function recupererUtilisateurEnBdd($login, $mot_de_passe, $cryptage = false) { |
$loginP = $this->bdd->proteger($login); |
$requete = 'SELECT du.id_utilisateur, nom, prenom, courriel, dui.admin '. |
$mdpP = $this->bdd->proteger($mot_de_passe); |
$mdpSql = $cryptage ? "$cryptage($mdpP)" : $mdpP; |
$requete = 'SELECT du.id_utilisateur, nom, prenom, courriel, mot_de_passe, dui.admin '. |
'FROM del_utilisateur AS du '. |
' LEFT JOIN del_utilisateur_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '. |
"WHERE courriel = $loginP ". |
"AND mot_de_passe = $mdpSql ". |
' -- '.__FILE__.' : '.__LINE__; |
return $this->bdd->recuperer($requete); |
} |
190,6 → 95,32 |
return $utilisateur; |
} |
protected function poserCookieUtilisateur($utilisateur) { |
$this->setPersistentCookie('del_courriel', $utilisateur['courriel'], 1); |
$this->setPersistentCookie('del_mot_de_passe', $utilisateur['mot_de_passe'], 1); |
} |
protected function setPersistentCookie($name, $value, $remember = 1) { |
setcookie($name, $value, time() + ($remember ? (60*60*24*100) : (60*60)),'/'); |
} |
protected function oublierUtilisateur() { |
setcookie('del_courriel', $this->contexte->getCookie('del_courriel'), time()-3600, '/'); |
setcookie('del_mot_de_passe', $this->contexte->getCookie('del_mot_de_passe'), time()-3600, '/'); |
$this->contexte->setCookie('del_courriel', null); |
$this->contexte->setCookie('del_mot_de_passe', null); |
} |
public function etreAdmin() { |
$idUtilisateurP = $this->bdd->proteger($this->utilisateur['id_utilisateur']); |
$requete = 'SELECT admin '. |
'FROM del_utilisateur_infos '. |
"WHERE id_utilisateur = $idUtilisateurP ". |
' -- '.__FILE__.' : '.__LINE__; |
$resultat = $this->bdd->recuperer($requete); |
return ($resultat && $resultat['admin'] == 1); |
} |
protected function getEvenements($id_utilisateur) { |
$sql = $this->conteneur->getSql(); |
204,7 → 135,7 |
return $evenements; |
} |
public function getDerniereDateConsultationEvenements($id_utilisateur) { |
$requete = "SELECT date_derniere_consultation_evenements FROM del_utilisateur_infos ". |
"WHERE id_utilisateur = ".$this->bdd->proteger($id_utilisateur); |
212,7 → 143,7 |
$date = !empty($date['date_derniere_consultation_evenements']) ? $date['date_derniere_consultation_evenements'] : "0"; |
return $date; |
} |
public function setDerniereDateConsultationEvenements($id_utilisateur, $date) { |
// Vérification que la ligne correspondant à l'utilisateur dans la table |
// infos existe bien (sinon on la crée) |
225,12 → 156,12 |
"WHERE id_utilisateur = ".$this->bdd->proteger($id_utilisateur); |
$this->bdd->executer($requete); |
} |
protected function ajouterEvenements(&$utilisateur) { |
$evenements = $this->getEvenements($utilisateur['id_utilisateur']); |
$utilisateur = array_merge($utilisateur, $evenements); |
} |
public function obtenirPreferencesUtilisateur($id_utilisateur) { |
$prefs_utilisateur = $this->obtenirInfosUtilisateur($id_utilisateur); |
if (empty($prefs_utilisateur)) { |
247,11 → 178,11 |
return $prefs_utilisateur; |
} |
private function obtenirTableauPreferenceDefaut() { |
return array('mail_notification_mes_obs' => '1', 'mail_notification_toutes_obs' => '0'); |
} |
private function renvoyerInfosUtilisateurDefaut($id_utilisateur) { |
return array('id_utilisateur' => $id_utilisateur, |
'admin' => '0', |
259,7 → 190,7 |
'date_premiere_utilisation' => date('Y-m-d H:i:s'), |
'date_derniere_consultation_evenements' => '0000-00-00 00:00:00'); |
} |
public function obtenirInfosUtilisateur($id_utilisateur) { |
$requete = 'SELECT * '. |
'FROM del_utilisateur_infos '. |
268,7 → 199,7 |
$prefs_utilisateur = $this->bdd->recuperer($requete); |
return $prefs_utilisateur; |
} |
public function initialiserInfosUtilisateur($id_utilisateur) { |
$preferences_defaut = $this->obtenirTableauPreferenceDefaut(); |
$prefsEncodeesP = $this->bdd->proteger(json_encode($preferences_defaut)); |
280,41 → 211,4 |
' -- '.__FILE__.' : '.__LINE__; |
return $this->bdd->executer($requete); |
} |
/** |
* Vérifie qu'un utilisateur connu est identifié (mode non anonyme) et |
* que son identifiant numérique est égal à $id_utilisateur; si non, |
* retourne une erreur HTTP 401 et quitte le programme |
* |
* @param integer $id_utilisateur l'utilisateur attendu |
*/ |
public function controleUtilisateurIdentifie($id_utilisateur) { |
$ok = ($this->utilisateur['connecte'] === true && $this->utilisateur['id_utilisateur'] == $id_utilisateur); |
if (! $ok) { |
$message = ""; |
if ($this->utilisateur['connecte'] === true) { |
$message = "Vous n'êtes pas propriétaire de la ressource demandée"; |
} else { |
$message = "Vous n'êtes pas identifié"; |
} |
$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE; |
throw new Exception($message, $code); |
} |
} |
// rétrocompat' |
public function etreAdmin() { |
return ($this->utilisateur['admin'] == 1); |
} |
// rétrocompat' |
public function etreUtilisateurAvecDroitAdmin() { |
$etreAdmin = $this->etreAdmin(); |
if (! $etreAdmin) { |
$message = "Vous ne pouvez pas accéder à ce service car vous n'avez pas les droits d'administrateur !\n"; |
$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE; |
throw new Exception($message, $code); |
} |
return $etreAdmin; |
} |
} |
/trunk/services/bibliotheque/ControleAcces.php |
---|
1,12 → 1,11 |
<?php |
// declare(encoding='UTF-8'); |
/** |
* Classe de controle d'accès HTTP AUTH aux services de DEL, à n'utiliser |
* que dans ce cas (HTTP AUTH), et pas dans le cas de l'identification générale sur le SSO |
* Classe de controle d'accès aux services de DEL. |
* |
* Cette classe propose des méthodes permettant : |
* - l'authentification HTTP pour bloquer ou autoriser l'accès |
* - de déterminer le statut d'admin des utilisateurs |
* - l'authentification http pour bloquer ou autoriser l'accès |
* - de déterminer les droits des utilisateurs |
* |
* @category DEL |
* @package Services |
21,8 → 20,8 |
*/ |
class ControleAcces { |
protected $conteneur; |
protected $bdd; |
private $conteneur; |
private $bdd; |
public function __construct($conteneur) { |
$this->conteneur = $conteneur; |
29,11 → 28,6 |
$this->bdd = $this->conteneur->getBdd(); |
} |
/** |
* Vérifie que l'IP du client est dans la liste "ip_autorisees" de la config |
* @throws Exception |
* @return boolean |
*/ |
public function controlerIpAutorisees() { |
$ipsAutorisees = $this->conteneur->getParametreTableau('ip_autorisees'); |
50,9 → 44,6 |
return true; |
} |
/** |
* Exige qu'un administrateur s'autenthentifie à l'aide de HTTP AUTH |
*/ |
public function demanderAuthentificationAdmin() { |
if (!$this->etreAdminAutoriseParHttp()) { |
$this->authentifierAdmin(); |
59,9 → 50,6 |
} |
} |
/** |
* Exige qu'un utilisateur s'autenthentifie à l'aide de HTTP AUTH |
*/ |
public function demanderAuthentificationUtilisateur() { |
if (!$this->etreUtilisateurAutoriseParHttp()) { |
$this->authentifierUtilisateur(); |
68,61 → 56,66 |
} |
} |
/** |
* Lit les entêtes HTTP AUTH et vérifie si l'utilisateur |
* existe (courriel / mot de passe); si $doitEtreAdmin est true, |
* vérifiera également que l'utilisateur est administrateur de Del |
* |
* @return boolean true si l'utilisateur est identifié, false sinon |
*/ |
protected function etreUtilisateurAutoriseParHttp($doitEtreAdmin=false) { |
private function etreUtilisateurAutoriseParHttp() { |
$identifiant = $this->getAuthIdentifiant(); |
$mdp = $this->getAuthMotDePasse(); |
$existe = $this->obtenirUtilisateur($identifiant, $mdp); |
$autorisation = (isset($existe) && $existe) ? true :false; // c'est quoi ces tests de clodos ?? |
$autorisation = (isset($existe) && $existe) ? true :false; |
return $autorisation; |
} |
if ($doitEtreAdmin === true) { |
$autorisation = ($autorisation && $this->etreAdmin($identifiant)); |
} |
private function obtenirUtilisateur($login, $motDePasse) { |
$login = $this->bdd->proteger($login); |
$motDePasse = $this->bdd->proteger($motDePasse); |
$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe '. |
'FROM del_utilisateur AS du '. |
"WHERE courriel = $login ". |
" AND mot_de_passe = MD5($motDePasse) ". |
' -- '.__FILE__.':'.__LINE__."\n"; |
$utilisateur = $this->bdd->recuperer($requete); |
return $utilisateur; |
} |
private function etreAdminAutoriseParHttp() { |
$identifiant = $this->getAuthIdentifiant(); |
$autorisation = ($this->etreAdmin($identifiant) && $this->etreUtilisateurAutorise()) ? true : false; |
return $autorisation; |
} |
/** |
* Lit les entêtes HTTP AUTH et vérifie que l'utilisateur est identifié |
* et est administrateur de Del |
* |
* @return boolean true si l'utilisateur est identifié et admin de Del, false sinon |
*/ |
protected function etreAdminAutoriseParHttp() { |
return $this->etreUtilisateurAutoriseParHttp(true); |
private function etreAdmin($courriel) { |
$courriel = $this->bdd->proteger($courriel); |
$requete = 'SELECT dui.admin '. |
'FROM del_utilisateur AS du LEFT JOIN del_user_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '. |
"WHERE du.courriel = $courriel ". |
' -- '.__FILE__.':'.__LINE__."\n"; |
$infoUtilisateur = $this->bdd->recuperer($requete); |
$etreAdmin = $this->verifierDroitAdmin($infoUtilisateur['admin']); |
return $etreAdmin; |
} |
/** |
* Lit l'identifiant utilisateur dans les entêtes HTTP AUTH |
* @return String l'identifiant utilisateur ou null |
*/ |
protected function getAuthIdentifiant() { |
private function verifierDroitAdmin($droit) { |
$droitAdmin = $this->conteneur->getParametre('droit_superadmin'); |
$etreAdmin = false; |
if (isset($droit) && $droit == $droitAdmin) { |
$etreAdmin = true; |
} |
return $etreAdmin; |
} |
private function getAuthIdentifiant() { |
$id = (isset($_SERVER['PHP_AUTH_USER'])) ? $_SERVER['PHP_AUTH_USER'] : null; |
return $id; |
} |
/** |
* Lit le mot de passe dans les entêtes HTTP AUTH |
* @return String le mot de passe ou null |
*/ |
protected function getAuthMotDePasse() { |
private function getAuthMotDePasse() { |
$mdp = (isset($_SERVER['PHP_AUTH_PW'])) ? $_SERVER['PHP_AUTH_PW'] : null; |
return $mdp; |
} |
/** |
* Envoie un message HTTP 401 / une boîte de login HTTP AUTH avec des |
* messages correspondant à la demande d'authentification d'un administrateur |
* TODO: externaliser noms et adresses spécifiques à Tela Botanica |
* @return boolean |
*/ |
protected function authentifierAdmin() { |
//TODO: externaliser noms et adresses spécifiques à Tela Botanica |
private function authentifierAdmin() { |
$message_accueil = "Veuillez vous identifier avec votre compte administrateur Tela Botanica."; |
$message_echec = "Accès limité aux administrateurs de DEL.\n". |
"Votre tentative d'identification a échoué.\n". |
130,13 → 123,7 |
return $this->authentifier($message_accueil, $message_echec, 'Admin'); |
} |
/** |
* Envoie un message HTTP 401 / une boîte de login HTTP AUTH avec des |
* messages correspondant à la demande d'authentification d'un utilisateur |
* TODO: externaliser noms et adresses spécifiques à Tela Botanica |
* @return boolean |
*/ |
protected function authentifierUtilisateur() { |
private function authentifierUtilisateur() { |
$message_accueil = "Veuillez vous identifier avec votre compte Tela Botanica."; |
$message_echec = "Accès limité aux utilisateurs de DEL.\n". |
"Inscrivez vous http://www.tela-botanica.org/page:inscription pour le devenir.\n". |
145,11 → 132,7 |
return $this->authentifier($message_accueil, $message_echec, 'Utilisateur'); |
} |
/** |
* Envoie l'authentification HTTP AUTH , et accepte un mode "debug" pour |
* les petits malins |
*/ |
protected function authentifier($message_accueil, $message_echec, $type) { |
private function authentifier($message_accueil, $message_echec, $type) { |
$id = $this->getAuthIdentifiant(); |
if (!isset($id)) { |
$this->envoyerAuth($message_accueil, $message_echec); |
167,68 → 150,54 |
return true; |
} |
/** |
* Envoie un message HTTP 401 / une boîte de login HTTP AUTH |
* @param string $message_accueil |
* @param string $message_echec |
*/ |
private function envoyerAuth($message_accueil, $message_echec) { |
header('HTTP/1.0 401 Unauthorized'); |
header('WWW-Authenticate: realm="'.mb_convert_encoding($message_accueil, 'ISO-8859-1', 'UTF-8').'"'); |
header('Content-type: text/plain; charset=UTF-8'); |
print $message_echec; |
exit(0); |
public function etreUtilisateurAvecDroitAdmin() { |
$infos = $this->getInfosUtilisateurConnecte(); |
$etreAdmin = false; |
if (isset($infos['admin'])) { |
$etreAdmin = $this->verifierDroitAdmin($infos['admin']); |
} |
if ($etreAdmin == false) { |
$message = "Vous ne pouvez pas accéder à ce service car vous n'avez pas les droits d'administrateur !\n"; |
$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE; |
throw new Exception($message, $code); |
} |
return $etreAdmin; |
} |
/** |
* Authentifie et récupère un utilisateur directement depuis la table des |
* utilisateurs Del, utile pour l'authentification HTTP AUTH - ne pas |
* utiliser pour les services Del qui doivent être branchés au SSO |
*/ |
protected function obtenirUtilisateur($login, $motDePasse) { |
public function getInfosUtilisateurConnecte() { |
$utilisateur = array(); |
if (isset($_COOKIE['del_courriel'])) { |
$courriel = $_COOKIE['del_courriel']; |
$motDePasse = $_COOKIE['del_mot_de_passe']; |
$utilisateur = $this->obtenirUtilisateurSansEncryptionMdp($courriel, $motDePasse); |
} |
return $utilisateur; |
} |
private function obtenirUtilisateurSansEncryptionMdp($login, $motDePasseEncrypte) { |
$login = $this->bdd->proteger($login); |
$motDePasse = $this->bdd->proteger($motDePasse); |
$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe '. |
$motDePasseEncrypte = $this->bdd->proteger($motDePasseEncrypte); |
$requete = 'SELECT du.*, admin, preferences, date_premiere_utilisation '. |
'FROM del_utilisateur AS du '. |
"WHERE courriel = $login ". |
" AND mot_de_passe = MD5($motDePasse) ". |
' LEFT JOIN del_utilisateur_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '. |
"WHERE du.courriel = $login ". |
" AND du.mot_de_passe = $motDePasseEncrypte ". |
' -- '.__FILE__.':'.__LINE__."\n"; |
$utilisateur = $this->bdd->recuperer($requete); |
return $utilisateur; |
} |
/** |
* Vérifie dans la table des utilisateurs Del qu'un utilisateur |
* (identifié par son courriel) est administrateur de Del |
* |
* @param string $courriel |
* @return boolean true si l'utilisateur est administrateur de Del, false sinon |
*/ |
protected function etreAdmin($courriel) { |
$courriel = $this->bdd->proteger($courriel); |
$requete = 'SELECT dui.admin '. |
'FROM del_utilisateur AS du LEFT JOIN del_user_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '. |
"WHERE du.courriel = $courriel ". |
' -- '.__FILE__.':'.__LINE__."\n"; |
$infoUtilisateur = $this->bdd->recuperer($requete); |
$etreAdmin = $this->verifierDroitAdmin($infoUtilisateur['admin']); |
return $etreAdmin; |
public function getIdAnonymeTemporaire() { |
$this->demarrerSession(); |
return session_id(); |
} |
/** |
* Vérifie que la valeur "admin" d'un profil utilisateur correspond à la valeur |
* attendue dans la config |
* |
* @return true si sébon, false si sépabon |
*/ |
protected function verifierDroitAdmin($droit) { |
$droitAdmin = $this->conteneur->getParametre('droit_superadmin'); |
$etreAdmin = false; |
if (isset($droit) && $droit == $droitAdmin) { |
$etreAdmin = true; |
private function demarrerSession() { |
if (session_id() == '') { |
// TODO : modifier ce test lors du passage en php 5.4 |
session_start(); |
} |
return $etreAdmin; |
} |
} |