Subversion Repositories Applications.papyrus

Compare Revisions

No changes between revisions

Ignore whitespace Rev 2153 → Rev 2154

/trunk/papyrus/bibliotheque/classes/pap_identificationsso.class.php
New file
0,0 → 1,196
<?php
 
// Remplacement de apache_request_headers pour les vieux serveurs
// http://stackoverflow.com/questions/2916232/call-to-undefined-function-apache-request-headers
if(!function_exists('apache_request_headers')) {
function apache_request_headers() {
// Based on: http://www.iana.org/assignments/message-headers/message-headers.xml#perm-headers
$arrCasedHeaders = array(
// HTTP
'Dasl' => 'DASL',
'Dav' => 'DAV',
'Etag' => 'ETag',
'Mime-Version' => 'MIME-Version',
'Slug' => 'SLUG',
'Te' => 'TE',
'Www-Authenticate' => 'WWW-Authenticate',
// MIME
'Content-Md5' => 'Content-MD5',
'Content-Id' => 'Content-ID',
'Content-Features' => 'Content-features',
);
$arrHttpHeaders = array();
 
foreach($_SERVER as $strKey => $mixValue) {
if('HTTP_' !== substr($strKey, 0, 5)) {
continue;
}
 
$strHeaderKey = strtolower(substr($strKey, 5));
 
if(0 < substr_count($strHeaderKey, '_')) {
$arrHeaderKey = explode('_', $strHeaderKey);
$arrHeaderKey = array_map('ucfirst', $arrHeaderKey);
$strHeaderKey = implode('-', $arrHeaderKey);
}
else {
$strHeaderKey = ucfirst($strHeaderKey);
}
 
if(array_key_exists($strHeaderKey, $arrCasedHeaders)) {
$strHeaderKey = $arrCasedHeaders[$strHeaderKey];
}
 
$arrHttpHeaders[$strHeaderKey] = $mixValue;
}
return $arrHttpHeaders;
}
}
 
class identificationSso {
// Attention bien vérifier la présence des variables suivantes :
// IDEN_UTILISE_SSO, IDEN_URL_SSO, IDEN_HEADER_SSO, IDEN_COOKIE_SSO
// dans le fichier iden_config.inc.php
private $cookie_tentative_identification = "";
private $delai_tentative_identification = 60;
private $auth_header = 'Authorization';
private $annuaire_url = '';
private $bdd_annuaire = '';
private $table_annuaire = '';
private $champ_login = '';
private $champ_mdp = '';
private $communs_papyrus = null;
 
public function __construct() {
$this->communs_papyrus = $GLOBALS['_GEN_commun'];
$this->cookie_tentative_identification = IDEN_COOKIE_SSO;
$this->auth_header = IDEN_HEADER_SSO;
$this->annuaire_url = IDEN_URL_SSO;
// c'est moche mais je n'ai pas trouvé plus simple pour récuperer la table annuaire en cours
// d'utilisation pour le site actuel (la bdd annuaire est la dernière partie du dsn)
$dsn_annuaire = $this->communs_papyrus['info_auth_bdd']->gsab_dsn;
$dsn_annuaire = explode('/', $dsn_annuaire);
$this->bdd_annuaire = end($dsn_annuaire);
$this->table_annuaire = $this->communs_papyrus['info_auth_bdd']->gsab_nom_table;
$this->champ_login = $this->communs_papyrus['info_auth_bdd']->gsab_nom_champ_login;
$this->champ_mdp = $this->communs_papyrus['info_auth_bdd']->gsab_nom_champ_mdp;
}
 
function getToken() {
// Premier essai, dans le header
$headers = @apache_request_headers();
$token = !empty($headers['Authorization']) ? $headers['Authorization'] : null;
// Eventuellement, le jeton a pu être passé dans un header non standard, comme dans
// le cas où le header Authorization est supprimé par le mod cgi d'apache
// Dans ce cas là on vérifie aussi dans un header alternatif si celui ci a été renseigné
if($token == null && $this->auth_header != 'Authorization') {
$token = !empty($headers[$this->auth_header]) ? $headers[$this->auth_header] : null;
}
 
// Sinon dans $_REQUEST ?
if($token == null) {
$token = !empty($_REQUEST['Authorization']) ? $_REQUEST['Authorization'] : null;
}
// Sinon dans $_COOKIE ?
if($token == null) {
$token = !empty($_COOKIE['tb_auth']) ? $_COOKIE['tb_auth'] : null;
}
 
return $token;
}
 
public function decoderToken($token) {
$token_parts = explode('.', $token);
return json_decode(base64_decode($token_parts[1]), true);
}
 
// http://stackoverflow.com/questions/1251582/beautiful-way-to-remove-get-variables-with-php?lq=1
function supprimerUrlVar($url, $var) {
return rtrim(preg_replace('/([?&])'.$var.'=[^&]+(&|$)/','$1',$url), '&?');
}
function connecterEtRediriger($utilisateur, $pass) {
$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$params = 'login='.$_POST['username'].'&password='.$_POST['password'].'&redirect_url='.urlencode($url_redirect);
$connexion_url = $this->annuaire_url."connexion?".$params;
header('Location: '.$connexion_url);
exit;
}
function deconnecterEtRediriger() {
$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$url_redirect = $this->supprimerUrlVar($url_redirect, 'logout');
$deconnexion_url = $this->annuaire_url."deconnexion?".'redirect_url='.urlencode($url_redirect);
header('Location: '.$deconnexion_url);
exit;
}
function verifierIdentiteEtRediriger() {
if(empty($_COOKIE['sso_tentative_identification'])) {
 
if($this->communs_papyrus['pear_auth']->getAuth()) {
$cookie_persistant_nom = session_name().'-memo';
$cookie_utilisateur_nom = session_name().'-utilisateur';
// Si l'utilisateur est déjà connecté par pear
// on fait tout de même une opération de logout
// pour coordonner la déconnection depuis une autre application
$this->communs_papyrus['pear_auth']->logout();
// Destruction du cookie de session de Papyrus : est ce utile?
setcookie(session_name(), session_id(), time()-3600, '/');
// Destruction du cookie de permanence de l'identitification de Papyrus
setcookie($cookie_persistant_nom, '', time()-3600, '/');
setcookie($cookie_utilisateur_nom, '', time()-3600, '/');
}
$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
$url = $this->annuaire_url."identite?redirect_url=".urlencode($url_redirect);
// une tentative par minute pour s'identifier suffit largement
setcookie($this->cookie_tentative_identification, 1, time()+60, '/');
header('Location: '.$url);
} else {
$jeton = $this->getToken();
 
if($jeton != null) {
$jeton_decode = $this->decoderToken($jeton);
// Récupération du mot de passe pour remplir les infos de l'objet PEAR Auth
$requete = 'SELECT '.$this->champ_mdp.' '.
'FROM '.$this->bdd_annuaire.'.'.$this->table_annuaire.' '.
'WHERE '.$this->champ_login.' = "'.$jeton_decode['sub'].'" ';
// TODO: normalement ça n'est jamais le cas mais que fait t'on si l'utilisateur n'existe pas
// dans notre base de données ? (au pire il ne sera pas connecté)
$this->communs_papyrus['pear_auth']->username = $jeton_decode['sub'];
$this->communs_papyrus['pear_auth']->password = $this->communs_papyrus['pear_db']->getOne($requete);
// Le mot de passe est déjà crypté dans la bdd donc il faut indiquer à pear de ne pas le re crytper
if (isset($this->communs_papyrus['pear_auth']->storage_options)) {
$this->communs_papyrus['pear_auth']->storage_options['cryptType'] = 'none';
}
if (isset($this->communs_papyrus['pear_auth']->storage->options)) {
$this->communs_papyrus['pear_auth']->storage->options['cryptType'] = 'none';
}
}
}
}
}
?>
Property changes:
Added: svn:executable
+*
\ No newline at end of property
/trunk/papyrus/applettes/identification/identification.php
23,7 → 23,7
/**
* Applette : identification
*
* Génère un formulaire les champs nécessaires pour s'identifier.
* Génére un formulaire les champs nécessaires pour s'identifier.
* Nécessite :
* - Variable globale de Génésia.
* - Pear Auth
43,7 → 43,7
*/
 
// +------------------------------------------------------------------------------------------------------+
// | ENTÊTE du PROGRAMME |
// | ENTéTE du PROGRAMME |
// +------------------------------------------------------------------------------------------------------+
$GLOBALS['_GEN_commun']['info_applette_nom_fonction'] = 'afficherFormIdentification';
$GLOBALS['_GEN_commun']['info_applette_balise'] = '(?:<!-- '.$GLOBALS['_GEN_commun']['balise_prefixe'].'(IDENTIFICATION) -->|'.
60,7 → 60,7
 
// Inclusion des fichiers de traduction de l'applette.
if (file_exists(IDEN_CHEMIN_LANGUE.'iden_langue_'.$GLOBALS['_GEN_commun']['i18n'].'.inc.php')) {
/** Inclusion du fichier de traduction suite à la transaction avec le navigateur.*/
/** Inclusion du fichier de traduction suite é la transaction avec le navigateur.*/
require_once IDEN_CHEMIN_LANGUE.'iden_langue_'.$GLOBALS['_GEN_commun']['i18n'].'.inc.php';
} else {
/** Inclusion du fichier de traduction par défaut.*/
72,6 → 72,12
 
// Si le site utilise une authentification.
if ($GLOBALS['_GEN_commun']['info_auth']->gsa_ce_type_auth == 1) {
if(IDEN_UTILISE_SSO) {
require_once GEN_CHEMIN_PAP.'bibliotheque/classes/pap_identificationsso.class.php';
$identification = new identificationSso();
}
$cookie_persistant_nom = session_name().'-memo';
$cookie_utilisateur_nom = session_name().'-utilisateur';
// Si un formulaire nous renvoie en POST une variable "deconnexion", nous délogons l'utilisateur.
82,6 → 88,12
// Destruction du cookie de permanence de l'identitification de Papyrus
setcookie($cookie_persistant_nom, '', time()-3600, '/');
setcookie($cookie_utilisateur_nom, '', time()-3600, '/');
if(IDEN_UTILISE_SSO) {
// On propage la deconnexion sur le sso, attention ceci provoque une redirection suivie d'un exit
$identification->deconnecterEtRediriger();
}
} else if (isset($_REQUEST['connexion'])) {
// Si un formulaire nous renvoie en POST une variable "connexion", nous logons l'utilisateur.
$cookie_val = md5($_POST['password']).$_POST['username'];
94,12 → 106,18
} else {
setcookie($cookie_utilisateur_nom, $cookie_val, 0, '/');
}
if(IDEN_UTILISE_SSO) {
// On propage la connexion sur le sso, attention ceci provoque une redirection suivie d'un exit
$identification->connecterEtRediriger($_POST['username'], $_POST['password']);
}
} else if (isset($_COOKIE[$cookie_persistant_nom])) {
// Si un cookie existe, nous loggons l'utilisateur.
$GLOBALS['_GEN_commun']['pear_auth']->password = substr($_COOKIE[$cookie_persistant_nom], 0, 32 );
$GLOBALS['_GEN_commun']['pear_auth']->username = substr($_COOKIE[$cookie_persistant_nom], 32);
 
// Nous sommes obligés de crypter le mot de passe
// Le mot de passe est déjé crypté dans cookie donc il faut indiquer é pear de ne pas le re crytper
if (isset($GLOBALS['_GEN_commun']['pear_auth']->storage_options)) {
$GLOBALS['_GEN_commun']['pear_auth']->storage_options['cryptType'] = 'none';
}
110,7 → 128,7
$GLOBALS['_GEN_commun']['pear_auth']->password = substr($_COOKIE[$cookie_utilisateur_nom], 0, 32 );
$GLOBALS['_GEN_commun']['pear_auth']->username = substr($_COOKIE[$cookie_utilisateur_nom], 32);
 
// Nous sommes obligés de crypter le mot de passe
// Le mot de passe est déjé crypté dans cookie donc il faut indiquer é pear de ne pas le re crytper
if (isset($GLOBALS['_GEN_commun']['pear_auth']->storage_options)) {
$GLOBALS['_GEN_commun']['pear_auth']->storage_options['cryptType'] = 'none';
}
118,6 → 136,13
$GLOBALS['_GEN_commun']['pear_auth']->storage->options['cryptType'] = 'none';
}
}
if(IDEN_UTILISE_SSO) {
// Si nous n'avons pas de cookie, on redirige vers le sso pour vérifier la présence du jeton
// attention ceci entraine une redirection suivie d'un exit
$identification->verifierIdentiteEtRediriger();
}
$GLOBALS['_GEN_commun']['pear_auth']->login();
}
 
130,7 → 155,7
* Retourne un formulaire d'identificatin ou de déconnexion suivant que l'utilisateur est
* identifié ou pas.
*
* @param array tableau d'éventuel arguments présent dans la balise transmis à la fonction.
* @param array tableau d'éventuel arguments présent dans la balise transmis é la fonction.
* @param array tableau global de Papyrus.
* @return string formulaire de connexion ou de déconnexion.
*/
168,10 → 193,10
$mot_de_passe = (! isset($_POST['password'])) ? '' : $_POST['password'];
$login = (! isset($_POST['username'])) ? '' : $_POST['username'];
 
$url_inscription_aide = (isset($InfoAuthBdd->url_erreur) ? $InfoAuthBdd->url_erreur : 'erreur');
$url_inscription_aide = $InfoAuthBdd->url_erreur;
 
// ATTENTION : Partie à supprimer une fois les mise à jour effectué dans l'annuaire de Tela Botanica
// Devrait être déplacer dans l'appli inscription de Tela.
// ATTENTION : Partie é supprimer une fois les mise é jour effectué dans l'annuaire de Tela Botanica
// Devrait étre déplacer dans l'appli inscription de Tela.
if (isset($InfoAuthBdd->gsab_nom_table) && $InfoAuthBdd->gsab_nom_table == 'annuaire_tela') {
verification_mot_de_passe($objet_pear_db, $mot_de_passe, $login);
if (isset($_POST['connexion'])) {
244,7 → 269,7
* Fusion avec la livraison AHA : 18 avril 2008
*
* Revision 1.35.2.2 2008-04-18 14:14:55 jp_milcent
* Gestion de plusieurs applettes identifications sur la même page html.
* Gestion de plusieurs applettes identifications sur la même page html.
* Correction de bogues.
*
* Revision 1.36 2007-11-27 11:26:55 jp_milcent
266,11 → 291,11
* Ajout de la gestion des erreurs d'identification.
*
* Revision 1.31 2006-12-15 14:49:47 jp_milcent
* Correction bogue : le type de cryptage est stocké à 2 endroits...
* Correction bogue : le type de cryptage est stocké é 2 endroits...
*
* Revision 1.30 2006/12/14 15:01:05 jp_milcent
* Utilisation d'un système permettant de mémoriser les idenitifications.
* Passage à Auth 1.4.3 et DB 1.7.6.
* Utilisation d'un systéme permettant de mémoriser les idenitifications.
* Passage é Auth 1.4.3 et DB 1.7.6.
*
* Revision 1.29 2006/12/12 13:53:54 jp_milcent
* Mise en place du nouveau format des balises d'applette.
286,7 → 311,7
*
* Revision 1.25 2006/11/20 18:40:33 jp_milcent
* Amélioration de la gestion des infos sur l'inscription.
* Ajout du paramêtre url_inscription_aide permettant d'indiquer l'url vers une page d'aide sur l'inscription.
* Ajout du paramétre url_inscription_aide permettant d'indiquer l'url vers une page d'aide sur l'inscription.
*
* Revision 1.24 2006/11/20 17:42:40 jp_milcent
* Ajout d'un test activant ou pas la mémorisation de l'identification.
312,7 → 337,7
* ajout d'un message si l'identification échoue
*
* Revision 1.19 2005/10/31 17:09:28 ddelon
* Suppression auth start suite à deconnexion ... attention aux effets de bord
* Suppression auth start suite é deconnexion ... attention aux effets de bord
*
* Revision 1.18 2005/09/27 09:07:32 ddelon
* size applette et squelettes
333,13 → 358,13
* Ajout de la gestion de la modification de son inscription.
*
* Revision 1.12 2005/03/25 14:40:51 jpm
* Prise en compte du paramêtre url_inscription permettant de faire figurer dans l'applette inscription un lien vers la page d'inscription.
* Prise en compte du paramétre url_inscription permettant de faire figurer dans l'applette inscription un lien vers la page d'inscription.
*
* Revision 1.11 2005/03/17 15:52:17 jpm
* Suppression d'un / causant un bogue.
*
* Revision 1.10 2005/03/15 14:47:14 jpm
* Utilisation d'un lien à la place d'un formulaire pour la déconnexion.
* Utilisation d'un lien é la place d'un formulaire pour la déconnexion.
*
* Revision 1.9 2005/03/15 14:17:46 jpm
* Ajout d'un fichier de config et de traduction.
349,7 → 374,7
* remplacement de & par &amp;
*
* Revision 1.7 2005/01/07 12:43:03 alex
* réauction de la taille des champs texte à 12
* réauction de la taille des champs texte é 12
*
* Revision 1.6 2004/12/13 18:07:09 alex
* désauthentification spip presque parfaite
370,7 → 395,7
* Changement de nom et d'arborescence de Genesia en Papyrus.
*
* Revision 1.5 2004/05/05 06:44:15 jpm
* Complément des commentaires indiquant les paquetages nécessaire à l'applette.
* Complément des commentaires indiquant les paquetages nécessaire é l'applette.
*
* Revision 1.4 2004/05/03 11:18:55 jpm
* Intégration de la variable globale de Génésia dans les arguments de la fonction de l'applette.
/trunk/papyrus/applettes/identification/configuration/iden_config.inc.php
66,6 → 66,14
/** Chemin vers le fichier squelette par defaut */
define ('ID_MENU_INCLUSION', '746');
 
define('IDEN_UTILISE_SSO','1');
 
define('IDEN_URL_SSO','https://www.tela-botanica.org/service:annuaire:auth/');
 
define('IDEN_HEADER_SSO','Auth');
 
define('IDEN_COOKIE_SSO','sso_tentative_identification');
 
/* +--Fin du code ----------------------------------------------------------------------------------------+
*
* $Log: iden_config.inc.php,v $