WebSVN – Applications.annuaire – Diff – /branches/v1.4-baleine/jrest/services/Auth.php


<?php
 
// composer
require_once '../vendor/autoload.php';
 
/**
 * Tentative de service d'authentification / SSO bien organisé
 * SSO - Mettez un tigre dans votre annuaire !
 * @author mathias
 * © Tela Botanica 2015
 * 
 * @TODO se baser sur autre chose que JRest qui est obsolète
 */
class Auth extends JRestService {
 
	/** Clef utilisée pour signer les jetons JWT */
	private $clef;
 
	/** Si true, refusera une connexion non-HTTPS */
	protected $forcerSSL = true;
 
	/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */
	protected $dureeJeton = 900;
 
	/** Durée en secondes du cookie */
	protected $dureeCookie = 31536000; // 3600 * 24 * 365
 
	/** Nom du cookie */
	protected $nomCookie = "this_is_not_a_good_cookie_name";
 
	public function __construct($config, $demarrer_session = true) {
		parent::__construct($config, $demarrer_session);
		$this->clef = file_get_contents("clef-auth.ini");
		if (strlen($this->clef) < 16) {
			throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");
		}
		$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");
		$this->dureeJeton = $this->config['auth']['duree_jeton'];
		$this->dureeCookie = $this->config['auth']['duree_cookie'];
		$this->nomCookie = $this->config['auth']['nom_cookie'];
	}
 
	/**
	 * Notice d'utilisation succincte
	 * @TODO essayer de choisir entre anglais et français
	 */
	protected function infosService() {
		$uri = $this->config['settings']['baseAlternativeURL'];
		if ($uri == '') {
			$uri = $this->config['settings']['baseURL'];
		}
		$uri = $uri . "auth/";
 
		$infos = array(
			'service' => 'TelaBotanica/annuaire/auth',
			'methodes' => array(
				'connexion' => array(
					"uri" => $uri . "connexion",
					"parametres" => array(
						"login" => "adresse email (ex: name@domain.com)",
						"password" => "mot de passe"
					),
					"alias" => $uri . "login",
					"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie
				),
				'deconnexion' => array(
					"uri" => $uri . "deconnexion",
					"parametres" => null,
					"alias" => $uri . "logout",
					"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie
				),
				'identite' => array(
					"uri" => $uri . "identite",
					"parametres" => array(
						"token" => "jeton JWT (facultatif)",
					),
					"alias" => array(
						$uri . "identity",
						$uri . "rafraichir",
						$uri . "refresh"
					),
					"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"
				),
				'verifierjeton' => array(
					"uri" => $uri . "verifierjeton",
					"parametres" => array(
						"token" => "jeton JWT",
					),
					"alias" => $uri . "verifytoken",
					"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"
				)
			)
		);
		$this->envoyerJson($infos);
	}
 
	/**
	 * Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);
	 * les paramètres GET sont ignorés
	 */
	public function getRessource() {
		//echo "get ressource\n";
		$this->infosService();
	}
 
	/**
	 * Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);
	 * les paramètres GET sont ignorés
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function getElement($ressources) {
		// Achtétépéèch portouguech lolch
		$this->verifierSSL();
		// le premier paramètre d'URL définit la méthode (non-magique)
		if (count($ressources) > 0) {
			switch ($ressources[0]) {
				case 'login':
				case 'connexion':
					$this->connexion($ressources);
					break;
				case 'logout':
				case 'deconnexion':
					$this->deconnexion();
					break;
				case 'identity':
				case 'identite':
				case 'rafraichir':
				case 'refresh':
					$this->identite();
					break;
				case 'verifytoken':
				case 'verifierjeton':
					$this->verifierJeton();
					break;
				case 'info':
				default:
					$this->infosService();
			}
		}
	}
 
	/**
	 * Lors d'un POST avec au moins une donnée dans le body (data);
	 * les paramètres GET sont ignorés
	 * @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET
	 * 
	 * @param array $ressources les éléments d'URL
	 * @param array $pairs les paramètres POST
	 */
	public function updateElement($ressources, $pairs) {
		//echo "update element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins
	 * un élément d'URL; dans tous les cas les paramètres GET sont ignorés
	 * 
	 * @param array $pairs les paramètres POST
	 */
	public function createElement($pairs) {
		//echo "create element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un DELETE avec au moins un élément d'URL
	 * @TODO utiliser pour invalider un jeton (nécessite stockage)
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function deleteElement($ressources) {
		//echo "delete element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Vérifie l'identité d'un utilisateur à partir de son courriel et son
	 * mot de passe ou d'un cookie; lui accorde un jeton et un cookie si
	 * tout va bien, sinon renvoie une erreur et détruit le cookie
	 * @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,
	 * le caractère "&" posera problème en GET
	 * 
	 * @param array $ressources non utilisé
	 */
	protected function connexion($ressources) {
		$login = $this->getParam('login');
		$password = $this->getParam('password', null);
		if ($login == '' || $password == '') {
			$this->erreur("parameters <login> and <password> required");
		}
		// vérification login / password
		$acces = $this->verifierAcces($login, $password);
		if ($acces === false) {
			$this->detruireCookie();
			if(!empty($_GET['redirect_url'])) {
				header('Location: '.$_GET['redirect_url']);
				exit;
			} else {
				$this->erreur("authentication failed", 401);
			}
 
		}
		// infos utilisateur
		$util = new Utilisateur($this->config);
		$infos = $util->getIdentiteParCourriel($login);
		if (count($infos) == 0 || empty($infos[$login])) {
			if(!empty($_GET['redirect_url'])) {
				header('Location: '.$_GET['redirect_url']);
				exit;
			} else {
				$this->erreur("could not get user info");
			}
		}
		// nom Wiki
		$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");
		// date de dernière modification du profil
		$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);
		$infos[$login]['dateDerniereModif'] = $dateDerniereModif;
		// création du jeton
		$jwt = $this->creerJeton($login, $infos[$login]);
		// création du cookie
		$this->creerCookie($jwt);
		
		if(!empty($_GET['redirect_url'])) {
			$this->redirigerAvecJeton($_GET['redirect_url'], $jwt);
		} else {
			// envoi
			$this->envoyerJson(array(
				"session" => true,
				"token" => $jwt,
				"duration" => intval($this->dureeJeton),
				"token_id" => $this->nomCookie,
				"last_modif" => $infos[$login]['dateDerniereModif']
			));
		}
	}
 
	/**
	 * Détruit le cookie et renvoie un jeton vide ou NULL - le client
	 * devrait toujours remplacer son jeton par celui renvoyé par les
	 * méthodes de l'annuaire
	 */
	protected function deconnexion() {
		// suppression du cookie
		$this->detruireCookie();
		// envoi d'un jeton null
		$jwt = null;
		if(!empty($_GET['redirect_url'])) {
			header('Location: '.$_GET['redirect_url']);
		} else {
			$this->envoyerJson(array(
				"session" => false,
				"token" => $jwt,
				"token_id" => $this->nomCookie
			));
		}
	}
 
	/**
	 * Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,
	 * header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie
	 * et/ou le jeton sont expirés;
	 * cela permet en théorie de forger des cookies avec des jetons expirés pour se les
	 * faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut
	 * être en possession que de ses propres jetons... au pire on peut se faire prolonger
	 * à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour
	 * Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette
	 * stratégie, l'inverse est peut-être plus malin
	 */
	protected function identite() {
		$cookieAvecJetonValide = false;
		$jetonRetour = null;
		$erreur = '';
		// lire cookie
		if (isset($_COOKIE[$this->nomCookie])) {
			$jwt = $_COOKIE[$this->nomCookie];
			try {
				// rafraîchir jeton quelque soit son état - "true" permet
				// d'ignorer les ExpiredException (on rafraîchit le jeton
				// expiré car le cookie est encore valide)
				$jetonRetour = $this->rafraichirJeton($jwt, true);
				// on ne tentera pas de lire un jeton fourni en paramètre
				$cookieAvecJetonValide = true;
			} catch (Exception $e) {
				// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)
				// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)
				$erreur = "invalid token in cookie";
			}
		}
		// si le cookie n'existait pas ou ne contenait pas un jeton
		if (! $cookieAvecJetonValide) {
			// lire jeton depuis header ou paramètre
			$jwt = $this->lireJetonDansHeader();
			if ($jwt == null) {
				// dernière chance
				$jwt = $this->getParam('token');
			}
			// toutes les possibilités ont été essayées
			if ($jwt != null) {
				try {
					// rafraîchir jeton si non expiré
					$jetonRetour = $this->rafraichirJeton($jwt);
				} catch (Exception $e) {
					// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
					$erreur = "invalid or expired token in Authorization header or parameter <token>";
				}
			} else {
				// pas de jeton valide passé en paramètre
				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");
			}
		} 
		if(!empty($_GET['redirect_url'])) {
			if ($jetonRetour != null) {
				$this->redirigerAvecJeton($_GET['redirect_url'], $jetonRetour);
			} else {
				header('Location: '.$_GET['redirect_url']);
			}
		} else {
			// renvoi jeton
			if ($jetonRetour === null) {
				$this->erreur($erreur);
			} else {
				$this->envoyerJson(array(
					"session" => true,
					"token" => $jetonRetour,
					"duration" => intval($this->dureeJeton),
					"token_id" => $this->nomCookie
				));
			}
		}
	}
	
	protected function redirigerAvecJeton($url, $jetonRetour) {
		// dans le cas où une url de redirection est précisée,
		// on est généreux et on précise le jeton dans le header et le get
		if ($jetonRetour != null) {
			$url_redirection = $_GET['redirect_url'];
			$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';
			$url_redirection .= $separateur.'Authorization='.$jetonRetour;
			header('Authorization: '.$jetonRetour);
		}
		header('Location: '.$url_redirection);
		exit;
	}
 
	/**
	 * Vérifie si un jeton est valide; retourne true si oui, une erreur avec
	 * des détails si non;
	 * Priorité : header "Authorization" > paramètre "token"
	 */
	protected function verifierJeton() {
		// vérifie que le jeton provient bien d'ici,
		// et qu'il est encore valide (date)
		$jwt = $this->lireJetonDansHeader();
		if ($jwt == null) {
			$jwt = $this->getParam('token');
			if ($jwt == '') {
				$this->erreur("parameter <token> or Authorization header required");
			}
		}
		try {
			$jeton = JWT::decode($jwt, $this->clef, array('HS256'));
			$jeton = (array) $jeton;
		} catch (Exception $e) {
			$this->erreur($e->getMessage());
			exit;
		}
		$this->envoyerJson(true);
	}
 
	/**
	 * Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne
	 * une période de validité de $this->dureeJeton; si $ignorerExpiration
	 * vaut true, rafraîchira le jeton même s'il a expiré
	 * (attention à ne pas appeler cette méthode n'importe comment !);
	 * jette une exception si le jeton est vide, mal signé ou autre erreur,
	 * ou s'il a expiré et que $ignorerExpiration est différent de true
	 * 
	 * @param string $jwt le jeton JWT
	 * @return string le jeton rafraîchi
	 */
	protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {
		$infos = array();
		// vérification avec lib JWT
		try {
			$infos = JWT::decode($jwt, $this->clef, array('HS256'));
			$infos = (array) $infos;
		} catch (ExpiredException $e) {
			if ($ignorerExpiration === true) {
				// on se fiche qu'il soit expiré
				// décodage d'un jeton expiré 
				// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),
				// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !
				$infos = $this->decoderJetonExpireManuellement($jwt);
			} else {
				// on renvoie l'exception plus haut
				throw $e;
			}
		}
		// vérification des infos
		if (empty($infos['sub'])) {
			// jeton vide (wtf?)
			throw new Exception("empty token (no <sub>)");
		}
		// rafraîchissement
		$infos['exp'] = time() + $this->dureeJeton;
		$jwtSortie = JWT::encode($infos, $this->clef);
 
		return $jwtSortie;
	}
 
	/**
	 * Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU
	 * SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton
	 * correct (vérifié avec la lib JWT) mais expiré !
	 * 
	 * @param string $jwt un jeton vérifié comme valide, mais expiré
	 */
	protected function decoderJetonExpireManuellement($jwt) {
		$parts = explode('.', $jwt);
		$payload = $parts[1];
		$payload = base64_decode($payload);
		$payload = json_decode($payload, true);
 
		return $payload;
	}
 
	/**
	 * Crée un jeton JWT signé avec la clef
	 * 
	 * @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon
	 * @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton
	 * @param array $donnees les données à ajouter au jeton (infos utilisateur)
	 * 
	 * @return string un jeton JWT signé
	 */
	protected function creerJeton($sub, $donnees=array(), $exp=null) {
		if ($exp === null) {
			$exp = time() + $this->dureeJeton;
		}
		$jeton = array(
			"iss" => "https://www.tela-botanica.org",
			"token_id" => $this->nomCookie,
			//"aud" => "http://example.com",
			"sub" => $sub,
			"iat" => time(),
			"exp" => $exp,
			//"nbf" => time() + 60,
			"scopes" => array("tela-botanica.org")
		);
		if (! empty($donnees)) {
			$jeton = array_merge($jeton, $donnees);
		}
		$jwt = JWT::encode($jeton, $this->clef);
 
		return $jwt;
	}
 
	/**
	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par
	 * défaut "Authorization")
	 * 
	 * @param string $nomHeader nom de l'entête dans lequel chercher le jeton
	 * @return String un jeton JWT ou null
	 */
	protected function lireJetonDansHeader($nomHeader="Authorization") {
		$jwt = null;
		$headers = apache_request_headers();
		if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {
			$jwt = $headers[$nomHeader];
		}
		return $jwt;
	}
 
	/**
	 * Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
	 * contenant $valeur
	 * 
	 * @param string $valeur le contenu du cookie (de préférence un jeton JWT)
	 */
	protected function creerCookie($valeur) {
		setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);
	}
 
	/**
	 * Renvoie le cookie avec une valeur vide et une date d'expiration dans le
	 * passé, afin que le navigateur le détruise au prochain appel
	 * @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie
	 * 
	 * @param string $valeur la valeur du cookie, par défaut ""
	 */
	protected function detruireCookie() {
		setcookie($this->nomCookie, "", -1, '/', null, true);
	}
 
	// ---------------- Méthodes à génériciser ci-dessous ----------------------------------
 
	/**
	 * Message succinct pour méthodes / actions non implémentées
	 */
	protected function nonImplemente() {
		$this->erreur("not implemented");
	}
	
	/**
	 * Si $this->forcerSSL vaut true, envoie une erreur et termine le programme si SSL n'est pas utilisé
	 */
	protected function verifierSSL() {
		if ($this->forcerSSL === true) {
			if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == 'off') {
				$this->erreur("HTTPS required");
				exit;
			}
		}
	}
 
	protected function getParamChain($names) {
		if (! is_array($names)) {
			// Hou ? (cri de chouette solitaire)
		}
	}
 
	/**
	 * Capture un paramètre de requête ($_REQUEST)
	 * 
	 * @param string $name nom du paramètre à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_REQUEST[$name])) {
			if ($traiterVideCommeDefaut === false || $_REQUEST[$name] !== '') {
				$ret = $_REQUEST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre GET
	 * 
	 * @param string $name nom du paramètre GET à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getGetParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_GET[$name])) {
			if ($traiterVideCommeDefaut === false || $_GET[$name] !== '') {
				$ret = $_GET[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre POST
	 * 
	 * @param string $name nom du paramètre POST à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getPostParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_POST[$name])) {
			if ($traiterVideCommeDefaut === false || $_POST[$name] !== '') {
				$ret = $_POST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Envoie une erreur HTTP $code (400 par défaut) avec les données $data en JSON
	 * 
	 * @param mixed $data données JSON de l'erreur - généralement array("error" => "raison de l'erreur") - si
	 * 		seule une chaîne est transmise, sera convertie en array("error" => $data)
	 * @param number $code code HTTP de l'erreur, par défaut 400 (bad request)
	 * @param boolean $exit si true (par défaut), termine le script après avoir envoyé l'erreur
	 */
	protected function erreur($data, $code=400, $exit=true) {
		if (! is_array($data)) {
			$data = array(
				"error" => $data
			);
		}
		http_response_code($code);
		$this->envoyerJson($data);
		if ($exit === true) {
			exit;
		}
	}
}
 
/**
 * Mode moderne pour PHP < 5.4
 */
if (!function_exists('http_response_code')) {
	function http_response_code($code = NULL) {
		if ($code !== NULL) {
			switch ($code) {
				case 100: $text = 'Continue'; break;
				case 101: $text = 'Switching Protocols'; break;
				case 200: $text = 'OK'; break;
				case 201: $text = 'Created'; break;
				case 202: $text = 'Accepted'; break;
				case 203: $text = 'Non-Authoritative Information'; break;
				case 204: $text = 'No Content'; break;
				case 205: $text = 'Reset Content'; break;
				case 206: $text = 'Partial Content'; break;
				case 300: $text = 'Multiple Choices'; break;
				case 301: $text = 'Moved Permanently'; break;
				case 302: $text = 'Moved Temporarily'; break;
				case 303: $text = 'See Other'; break;
				case 304: $text = 'Not Modified'; break;
				case 305: $text = 'Use Proxy'; break;
				case 400: $text = 'Bad Request'; break;
				case 401: $text = 'Unauthorized'; break;
				case 402: $text = 'Payment Required'; break;
				case 403: $text = 'Forbidden'; break;
				case 404: $text = 'Not Found'; break;
				case 405: $text = 'Method Not Allowed'; break;
				case 406: $text = 'Not Acceptable'; break;
				case 407: $text = 'Proxy Authentication Required'; break;
				case 408: $text = 'Request Time-out'; break;
				case 409: $text = 'Conflict'; break;
				case 410: $text = 'Gone'; break;
				case 411: $text = 'Length Required'; break;
				case 412: $text = 'Precondition Failed'; break;
				case 413: $text = 'Request Entity Too Large'; break;
				case 414: $text = 'Request-URI Too Large'; break;
				case 415: $text = 'Unsupported Media Type'; break;
				case 500: $text = 'Internal Server Error'; break;
				case 501: $text = 'Not Implemented'; break;
				case 502: $text = 'Bad Gateway'; break;
				case 503: $text = 'Service Unavailable'; break;
				case 504: $text = 'Gateway Time-out'; break;
				case 505: $text = 'HTTP Version not supported'; break;
				case 666: $text = 'Couscous overheat'; break;
				default:
					exit('Unknown http status code "' . htmlentities($code) . '"');
					break;
			}
 
			$protocol = (isset($_SERVER['SERVER_PROTOCOL']) ? $_SERVER['SERVER_PROTOCOL'] : 'HTTP/1.0');
			header($protocol . ' ' . $code . ' ' . $text);
			$GLOBALS['http_response_code'] = $code;
		} else {
			$code = (isset($GLOBALS['http_response_code']) ? $GLOBALS['http_response_code'] : 200);
		}
		return $code;
	}
}

Rev 568	Rev 569
1	`<?php`	1	`<?php`
2		2
3	`// composer`	3	`// composer`
4	`require_once '../vendor/autoload.php';`	4	`require_once '../vendor/autoload.php';`
5		5
6	`/**`	6	`/**`
7	`* Tentative de service d'authentification / SSO bien organisé`	7	`* Tentative de service d'authentification / SSO bien organisé`
8	`* SSO - Mettez un tigre dans votre annuaire !`	8	`* SSO - Mettez un tigre dans votre annuaire !`
9	`* @author mathias`	9	`* @author mathias`
10	`* © Tela Botanica 2015`	10	`* © Tela Botanica 2015`
11	`*`	11	`*`
12	`* @TODO se baser sur autre chose que JRest qui est obsolète`	12	`* @TODO se baser sur autre chose que JRest qui est obsolète`
13	`*/`	13	`*/`
14	`class Auth extends JRestService {`	14	`class Auth extends JRestService {`
15		15
16	`/** Clef utilisée pour signer les jetons JWT */`	16	`/** Clef utilisée pour signer les jetons JWT */`
17	`private $clef;`	17	`private $clef;`
18		18
19	`/** Si true, refusera une connexion non-HTTPS */`	19	`/** Si true, refusera une connexion non-HTTPS */`
20	`protected $forcerSSL = true;`	20	`protected $forcerSSL = true;`
21		21
22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`	22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`
23	`protected $dureeJeton = 900;`	23	`protected $dureeJeton = 900;`
24		24
25	`/** Durée en secondes du cookie */`	25	`/** Durée en secondes du cookie */`
26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`	26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`
27		27
28	`/** Nom du cookie */`	28	`/** Nom du cookie */`
29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`	29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`
30		30
31	`public function __construct($config, $demarrer_session = true) {`	31	`public function __construct($config, $demarrer_session = true) {`
32	`parent::__construct($config, $demarrer_session);`	32	`parent::__construct($config, $demarrer_session);`
33	`$this->clef = file_get_contents("clef-auth.ini");`	33	`$this->clef = file_get_contents("clef-auth.ini");`
34	`if (strlen($this->clef) < 16) {`	34	`if (strlen($this->clef) < 16) {`
35	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`	35	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`
36	`}`	36	`}`
37	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`	37	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`
38	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`	38	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`
39	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`	39	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`
40	`$this->nomCookie = $this->config['auth']['nom_cookie'];`	40	`$this->nomCookie = $this->config['auth']['nom_cookie'];`
41	`}`	41	`}`
42		42
43	`/**`	43	`/**`
44	`* Notice d'utilisation succincte`	44	`* Notice d'utilisation succincte`
45	`* @TODO essayer de choisir entre anglais et français`	45	`* @TODO essayer de choisir entre anglais et français`
46	`*/`	46	`*/`
47	`protected function infosService() {`	47	`protected function infosService() {`
48	`$uri = $this->config['settings']['baseAlternativeURL'];`	48	`$uri = $this->config['settings']['baseAlternativeURL'];`
49	`if ($uri == '') {`	49	`if ($uri == '') {`
50	`$uri = $this->config['settings']['baseURL'];`	50	`$uri = $this->config['settings']['baseURL'];`
51	`}`	51	`}`
52	`$uri = $uri . "auth/";`	52	`$uri = $uri . "auth/";`
53		53
54	`$infos = array(`	54	`$infos = array(`
55	`'service' => 'TelaBotanica/annuaire/auth',`	55	`'service' => 'TelaBotanica/annuaire/auth',`
56	`'methodes' => array(`	56	`'methodes' => array(`
57	`'connexion' => array(`	57	`'connexion' => array(`
58	`"uri" => $uri . "connexion",`	58	`"uri" => $uri . "connexion",`
59	`"parametres" => array(`	59	`"parametres" => array(`
60	`"login" => "adresse email (ex: name@domain.com)",`	60	`"login" => "adresse email (ex: name@domain.com)",`
61	`"password" => "mot de passe"`	61	`"password" => "mot de passe"`
62	`),`	62	`),`
63	`"alias" => $uri . "login",`	63	`"alias" => $uri . "login",`
64	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`	64	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`
65	`),`	65	`),`
66	`'deconnexion' => array(`	66	`'deconnexion' => array(`
67	`"uri" => $uri . "deconnexion",`	67	`"uri" => $uri . "deconnexion",`
68	`"parametres" => null,`	68	`"parametres" => null,`
69	`"alias" => $uri . "logout",`	69	`"alias" => $uri . "logout",`
70	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`	70	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`
71	`),`	71	`),`
72	`'identite' => array(`	72	`'identite' => array(`
73	`"uri" => $uri . "identite",`	73	`"uri" => $uri . "identite",`
74	`"parametres" => array(`	74	`"parametres" => array(`
75	`"token" => "jeton JWT (facultatif)",`	75	`"token" => "jeton JWT (facultatif)",`
76	`),`	76	`),`
77	`"alias" => array(`	77	`"alias" => array(`
78	`$uri . "identity",`	78	`$uri . "identity",`
79	`$uri . "rafraichir",`	79	`$uri . "rafraichir",`
80	`$uri . "refresh"`	80	`$uri . "refresh"`
81	`),`	81	`),`
82	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`	82	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`
83	`),`	83	`),`
84	`'verifierjeton' => array(`	84	`'verifierjeton' => array(`
85	`"uri" => $uri . "verifierjeton",`	85	`"uri" => $uri . "verifierjeton",`
86	`"parametres" => array(`	86	`"parametres" => array(`
87	`"token" => "jeton JWT",`	87	`"token" => "jeton JWT",`
88	`),`	88	`),`
89	`"alias" => $uri . "verifytoken",`	89	`"alias" => $uri . "verifytoken",`
90	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`	90	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`
91	`)`	91	`)`
92	`)`	92	`)`
93	`);`	93	`);`
94	`$this->envoyerJson($infos);`	94	`$this->envoyerJson($infos);`
95	`}`	95	`}`
96		96
97	`/**`	97	`/**`
98	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`	98	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`
99	`* les paramètres GET sont ignorés`	99	`* les paramètres GET sont ignorés`
100	`*/`	100	`*/`
101	`public function getRessource() {`	101	`public function getRessource() {`
102	`//echo "get ressource\n";`	102	`//echo "get ressource\n";`
103	`$this->infosService();`	103	`$this->infosService();`
104	`}`	104	`}`
105		105
106	`/**`	106	`/**`
107	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`	107	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`
108	`* les paramètres GET sont ignorés`	108	`* les paramètres GET sont ignorés`
109	`*`	109	`*`
110	`* @param array $ressources les éléments d'URL`	110	`* @param array $ressources les éléments d'URL`
111	`*/`	111	`*/`
112	`public function getElement($ressources) {`	112	`public function getElement($ressources) {`
113	`// Achtétépéèch portouguech lolch`	113	`// Achtétépéèch portouguech lolch`
114	`$this->verifierSSL();`	114	`$this->verifierSSL();`
115	`// le premier paramètre d'URL définit la méthode (non-magique)`	115	`// le premier paramètre d'URL définit la méthode (non-magique)`
116	`if (count($ressources) > 0) {`	116	`if (count($ressources) > 0) {`
117	`switch ($ressources[0]) {`	117	`switch ($ressources[0]) {`
118	`case 'login':`	118	`case 'login':`
119	`case 'connexion':`	119	`case 'connexion':`
120	`$this->connexion($ressources);`	120	`$this->connexion($ressources);`
121	`break;`	121	`break;`
122	`case 'logout':`	122	`case 'logout':`
123	`case 'deconnexion':`	123	`case 'deconnexion':`
124	`$this->deconnexion();`	124	`$this->deconnexion();`
125	`break;`	125	`break;`
126	`case 'identity':`	126	`case 'identity':`
127	`case 'identite':`	127	`case 'identite':`
128	`case 'rafraichir':`	128	`case 'rafraichir':`
129	`case 'refresh':`	129	`case 'refresh':`
130	`$this->identite();`	130	`$this->identite();`
131	`break;`	131	`break;`
132	`case 'verifytoken':`	132	`case 'verifytoken':`
133	`case 'verifierjeton':`	133	`case 'verifierjeton':`
134	`$this->verifierJeton();`	134	`$this->verifierJeton();`
135	`break;`	135	`break;`
136	`case 'info':`	136	`case 'info':`
137	`default:`	137	`default:`
138	`$this->infosService();`	138	`$this->infosService();`
139	`}`	139	`}`
140	`}`	140	`}`
141	`}`	141	`}`
142		142
143	`/**`	143	`/**`
144	`* Lors d'un POST avec au moins une donnée dans le body (data);`	144	`* Lors d'un POST avec au moins une donnée dans le body (data);`
145	`* les paramètres GET sont ignorés`	145	`* les paramètres GET sont ignorés`
146	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`	146	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`
147	`*`	147	`*`
148	`* @param array $ressources les éléments d'URL`	148	`* @param array $ressources les éléments d'URL`
149	`* @param array $pairs les paramètres POST`	149	`* @param array $pairs les paramètres POST`
150	`*/`	150	`*/`
151	`public function updateElement($ressources, $pairs) {`	151	`public function updateElement($ressources, $pairs) {`
152	`//echo "update element\n";`	152	`//echo "update element\n";`
153	`$this->nonImplemente();`	153	`$this->nonImplemente();`
154	`}`	154	`}`
155		155
156	`/**`	156	`/**`
157	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`	157	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`
158	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`	158	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`
159	`*`	159	`*`
160	`* @param array $pairs les paramètres POST`	160	`* @param array $pairs les paramètres POST`
161	`*/`	161	`*/`
162	`public function createElement($pairs) {`	162	`public function createElement($pairs) {`
163	`//echo "create element\n";`	163	`//echo "create element\n";`
164	`$this->nonImplemente();`	164	`$this->nonImplemente();`
165	`}`	165	`}`
166		166
167	`/**`	167	`/**`
168	`* Lors d'un DELETE avec au moins un élément d'URL`	168	`* Lors d'un DELETE avec au moins un élément d'URL`
169	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`	169	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`
170	`*`	170	`*`
171	`* @param array $ressources les éléments d'URL`	171	`* @param array $ressources les éléments d'URL`
172	`*/`	172	`*/`
173	`public function deleteElement($ressources) {`	173	`public function deleteElement($ressources) {`
174	`//echo "delete element\n";`	174	`//echo "delete element\n";`
175	`$this->nonImplemente();`	175	`$this->nonImplemente();`
176	`}`	176	`}`
177		177
178	`/**`	178	`/**`
179	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`	179	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`
180	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`	180	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`
181	`* tout va bien, sinon renvoie une erreur et détruit le cookie`	181	`* tout va bien, sinon renvoie une erreur et détruit le cookie`
182	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`	182	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`
183	`* le caractère "&" posera problème en GET`	183	`* le caractère "&" posera problème en GET`
184	`*`	184	`*`
185	`* @param array $ressources non utilisé`	185	`* @param array $ressources non utilisé`
186	`*/`	186	`*/`
187	`protected function connexion($ressources) {`	187	`protected function connexion($ressources) {`
188	`$login = $this->getParam('login');`	188	`$login = $this->getParam('login');`
189	`$password = $this->getParam('password', null);`	189	`$password = $this->getParam('password', null);`
190	`if ($login == '' \|\| $password == '') {`	190	`if ($login == '' \|\| $password == '') {`
191	`$this->erreur("parameters <login> and <password> required");`	191	`$this->erreur("parameters <login> and <password> required");`
192	`}`	192	`}`
193	`// vérification login / password`	193	`// vérification login / password`
194	`$acces = $this->verifierAcces($login, $password);`	194	`$acces = $this->verifierAcces($login, $password);`
195	`if ($acces === false) {`	195	`if ($acces === false) {`
196	`$this->detruireCookie();`	196	`$this->detruireCookie();`
197	`if(!empty($_GET['redirect_url'])) {`	197	`if(!empty($_GET['redirect_url'])) {`
198	`header('Location: '.$_GET['redirect_url']);`	198	`header('Location: '.$_GET['redirect_url']);`
-		199	`exit;`
199	`} else {`	200	`} else {`
200	`$this->erreur("authentication failed", 401);`	201	`$this->erreur("authentication failed", 401);`
201	`}`	202	`}`
202		203
203	`}`	204	`}`
204	`// infos utilisateur`	205	`// infos utilisateur`
205	`$util = new Utilisateur($this->config);`	206	`$util = new Utilisateur($this->config);`
206	`$infos = $util->getIdentiteParCourriel($login);`	207	`$infos = $util->getIdentiteParCourriel($login);`
207	`if (count($infos) == 0 \|\| empty($infos[$login])) {`	208	`if (count($infos) == 0 \|\| empty($infos[$login])) {`
-		209	`if(!empty($_GET['redirect_url'])) {`
-		210	`header('Location: '.$_GET['redirect_url']);`
-		211	`exit;`
-		212	`} else {`
208	`$this->erreur("could not get user info");`	213	`$this->erreur("could not get user info");`
-		214	`}`
209	`}`	215	`}`
210	`// nom Wiki`	216	`// nom Wiki`
211	`$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");`	217	`$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");`
212	`// date de dernière modification du profil`	218	`// date de dernière modification du profil`
213	`$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);`	219	`$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);`
214	`$infos[$login]['dateDerniereModif'] = $dateDerniereModif;`	220	`$infos[$login]['dateDerniereModif'] = $dateDerniereModif;`
215	`// création du jeton`	221	`// création du jeton`
216	`$jwt = $this->creerJeton($login, $infos[$login]);`	222	`$jwt = $this->creerJeton($login, $infos[$login]);`
217	`// création du cookie`	223	`// création du cookie`
218	`$this->creerCookie($jwt);`	224	`$this->creerCookie($jwt);`
219		225
220	`if(!empty($_GET['redirect_url'])) {`	226	`if(!empty($_GET['redirect_url'])) {`
221	`$this->redirigerAvecJeton($_GET['redirect_url'], $jwt);`	227	`$this->redirigerAvecJeton($_GET['redirect_url'], $jwt);`
222	`} else {`	228	`} else {`
223	`// envoi`	229	`// envoi`
224	`$this->envoyerJson(array(`	230	`$this->envoyerJson(array(`
225	`"session" => true,`	231	`"session" => true,`
226	`"token" => $jwt,`	232	`"token" => $jwt,`
227	`"duration" => intval($this->dureeJeton),`	233	`"duration" => intval($this->dureeJeton),`
228	`"token_id" => $this->nomCookie,`	234	`"token_id" => $this->nomCookie,`
229	`"last_modif" => $infos[$login]['dateDerniereModif']`	235	`"last_modif" => $infos[$login]['dateDerniereModif']`
230	`));`	236	`));`
231	`}`	237	`}`
232	`}`	238	`}`
233		239
234	`/**`	240	`/**`
235	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`	241	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`
236	`* devrait toujours remplacer son jeton par celui renvoyé par les`	242	`* devrait toujours remplacer son jeton par celui renvoyé par les`
237	`* méthodes de l'annuaire`	243	`* méthodes de l'annuaire`
238	`*/`	244	`*/`
239	`protected function deconnexion() {`	245	`protected function deconnexion() {`
240	`// suppression du cookie`	246	`// suppression du cookie`
241	`$this->detruireCookie();`	247	`$this->detruireCookie();`
242	`// envoi d'un jeton null`	248	`// envoi d'un jeton null`
243	`$jwt = null;`	249	`$jwt = null;`
244	`if(!empty($_GET['redirect_url'])) {`	250	`if(!empty($_GET['redirect_url'])) {`
245	`header('Location: '.$_GET['redirect_url']);`	251	`header('Location: '.$_GET['redirect_url']);`
246	`} else {`	252	`} else {`
247	`$this->envoyerJson(array(`	253	`$this->envoyerJson(array(`
248	`"session" => false,`	254	`"session" => false,`
249	`"token" => $jwt,`	255	`"token" => $jwt,`
250	`"token_id" => $this->nomCookie`	256	`"token_id" => $this->nomCookie`
251	`));`	257	`));`
252	`}`	258	`}`
253	`}`	259	`}`
254		260
255	`/**`	261	`/**`
256	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`	262	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`
257	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`	263	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`
258	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`	264	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`
259	`* et/ou le jeton sont expirés;`	265	`* et/ou le jeton sont expirés;`
260	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`	266	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`
261	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`	267	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`
262	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`	268	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`
263	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`	269	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`
264	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`	270	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`
265	`* stratégie, l'inverse est peut-être plus malin`	271	`* stratégie, l'inverse est peut-être plus malin`
266	`*/`	272	`*/`
267	`protected function identite() {`	273	`protected function identite() {`
268	`$cookieAvecJetonValide = false;`	274	`$cookieAvecJetonValide = false;`
269	`$jetonRetour = null;`	275	`$jetonRetour = null;`
270	`$erreur = '';`	276	`$erreur = '';`
271	`// lire cookie`	277	`// lire cookie`
272	`if (isset($_COOKIE[$this->nomCookie])) {`	278	`if (isset($_COOKIE[$this->nomCookie])) {`
273	`$jwt = $_COOKIE[$this->nomCookie];`	279	`$jwt = $_COOKIE[$this->nomCookie];`
274	`try {`	280	`try {`
275	`// rafraîchir jeton quelque soit son état - "true" permet`	281	`// rafraîchir jeton quelque soit son état - "true" permet`
276	`// d'ignorer les ExpiredException (on rafraîchit le jeton`	282	`// d'ignorer les ExpiredException (on rafraîchit le jeton`
277	`// expiré car le cookie est encore valide)`	283	`// expiré car le cookie est encore valide)`
278	`$jetonRetour = $this->rafraichirJeton($jwt, true);`	284	`$jetonRetour = $this->rafraichirJeton($jwt, true);`
279	`// on ne tentera pas de lire un jeton fourni en paramètre`	285	`// on ne tentera pas de lire un jeton fourni en paramètre`
280	`$cookieAvecJetonValide = true;`	286	`$cookieAvecJetonValide = true;`
281	`} catch (Exception $e) {`	287	`} catch (Exception $e) {`
282	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`	288	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`
283	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`	289	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`
284	`$erreur = "invalid token in cookie";`	290	`$erreur = "invalid token in cookie";`
285	`}`	291	`}`
286	`}`	292	`}`
287	`// si le cookie n'existait pas ou ne contenait pas un jeton`	293	`// si le cookie n'existait pas ou ne contenait pas un jeton`
288	`if (! $cookieAvecJetonValide) {`	294	`if (! $cookieAvecJetonValide) {`
289	`// lire jeton depuis header ou paramètre`	295	`// lire jeton depuis header ou paramètre`
290	`$jwt = $this->lireJetonDansHeader();`	296	`$jwt = $this->lireJetonDansHeader();`
291	`if ($jwt == null) {`	297	`if ($jwt == null) {`
292	`// dernière chance`	298	`// dernière chance`
293	`$jwt = $this->getParam('token');`	299	`$jwt = $this->getParam('token');`
294	`}`	300	`}`
295	`// toutes les possibilités ont été essayées`	301	`// toutes les possibilités ont été essayées`
296	`if ($jwt != null) {`	302	`if ($jwt != null) {`
297	`try {`	303	`try {`
298	`// rafraîchir jeton si non expiré`	304	`// rafraîchir jeton si non expiré`
299	`$jetonRetour = $this->rafraichirJeton($jwt);`	305	`$jetonRetour = $this->rafraichirJeton($jwt);`
300	`} catch (Exception $e) {`	306	`} catch (Exception $e) {`
301	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`	307	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`
302	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`	308	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`
303	`}`	309	`}`
304	`} else {`	310	`} else {`
305	`// pas de jeton valide passé en paramètre`	311	`// pas de jeton valide passé en paramètre`
306	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`	312	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`
307	`}`	313	`}`
308	`}`	314	`}`
309	`if(!empty($_GET['redirect_url'])) {`	315	`if(!empty($_GET['redirect_url'])) {`
310	`if ($jetonRetour != null) {`	316	`if ($jetonRetour != null) {`
311	`$this->redirigerAvecJeton($_GET['redirect_url'], $jetonRetour);`	317	`$this->redirigerAvecJeton($_GET['redirect_url'], $jetonRetour);`
312	`} else {`	318	`} else {`
313	`header('Location: '.$_GET['redirect_url']);`	319	`header('Location: '.$_GET['redirect_url']);`
314	`}`	320	`}`
315	`} else {`	321	`} else {`
316	`// renvoi jeton`	322	`// renvoi jeton`
317	`if ($jetonRetour === null) {`	323	`if ($jetonRetour === null) {`
318	`$this->erreur($erreur);`	324	`$this->erreur($erreur);`
319	`} else {`	325	`} else {`
320	`$this->envoyerJson(array(`	326	`$this->envoyerJson(array(`
321	`"session" => true,`	327	`"session" => true,`
322	`"token" => $jetonRetour,`	328	`"token" => $jetonRetour,`
323	`"duration" => intval($this->dureeJeton),`	329	`"duration" => intval($this->dureeJeton),`
324	`"token_id" => $this->nomCookie`	330	`"token_id" => $this->nomCookie`
325	`));`	331	`));`
326	`}`	332	`}`
327	`}`	333	`}`
328	`}`	334	`}`
329		335
330	`protected function redirigerAvecJeton($url, $jetonRetour) {`	336	`protected function redirigerAvecJeton($url, $jetonRetour) {`
331	`// dans le cas où une url de redirection est précisée,`	337	`// dans le cas où une url de redirection est précisée,`
332	`// on est généreux et on précise le jeton dans le header et le get`	338	`// on est généreux et on précise le jeton dans le header et le get`
333	`if ($jetonRetour != null) {`	339	`if ($jetonRetour != null) {`
334	`$url_redirection = $_GET['redirect_url'];`	340	`$url_redirection = $_GET['redirect_url'];`
335	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`	341	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`
336	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`	342	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`
337	`header('Authorization: '.$jetonRetour);`	343	`header('Authorization: '.$jetonRetour);`
338	`}`	344	`}`
339	`header('Location: '.$url_redirection);`	345	`header('Location: '.$url_redirection);`
340	`exit;`	346	`exit;`
341	`}`	347	`}`
342		348
343	`/**`	349	`/**`
344	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`	350	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`
345	`* des détails si non;`	351	`* des détails si non;`
346	`* Priorité : header "Authorization" > paramètre "token"`	352	`* Priorité : header "Authorization" > paramètre "token"`
347	`*/`	353	`*/`
348	`protected function verifierJeton() {`	354	`protected function verifierJeton() {`
349	`// vérifie que le jeton provient bien d'ici,`	355	`// vérifie que le jeton provient bien d'ici,`
350	`// et qu'il est encore valide (date)`	356	`// et qu'il est encore valide (date)`
351	`$jwt = $this->lireJetonDansHeader();`	357	`$jwt = $this->lireJetonDansHeader();`
352	`if ($jwt == null) {`	358	`if ($jwt == null) {`
353	`$jwt = $this->getParam('token');`	359	`$jwt = $this->getParam('token');`
354	`if ($jwt == '') {`	360	`if ($jwt == '') {`
355	`$this->erreur("parameter <token> or Authorization header required");`	361	`$this->erreur("parameter <token> or Authorization header required");`
356	`}`	362	`}`
357	`}`	363	`}`
358	`try {`	364	`try {`
359	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`	365	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`
360	`$jeton = (array) $jeton;`	366	`$jeton = (array) $jeton;`
361	`} catch (Exception $e) {`	367	`} catch (Exception $e) {`
362	`$this->erreur($e->getMessage());`	368	`$this->erreur($e->getMessage());`
363	`exit;`	369	`exit;`
364	`}`	370	`}`
365	`$this->envoyerJson(true);`	371	`$this->envoyerJson(true);`
366	`}`	372	`}`
367		373
368	`/**`	374	`/**`
369	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`	375	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`
370	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`	376	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`
371	`* vaut true, rafraîchira le jeton même s'il a expiré`	377	`* vaut true, rafraîchira le jeton même s'il a expiré`
372	`* (attention à ne pas appeler cette méthode n'importe comment !);`	378	`* (attention à ne pas appeler cette méthode n'importe comment !);`
373	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`	379	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`
374	`* ou s'il a expiré et que $ignorerExpiration est différent de true`	380	`* ou s'il a expiré et que $ignorerExpiration est différent de true`
375	`*`	381	`*`
376	`* @param string $jwt le jeton JWT`	382	`* @param string $jwt le jeton JWT`
377	`* @return string le jeton rafraîchi`	383	`* @return string le jeton rafraîchi`
378	`*/`	384	`*/`
379	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`	385	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`
380	`$infos = array();`	386	`$infos = array();`
381	`// vérification avec lib JWT`	387	`// vérification avec lib JWT`
382	`try {`	388	`try {`
383	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`	389	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`
384	`$infos = (array) $infos;`	390	`$infos = (array) $infos;`
385	`} catch (ExpiredException $e) {`	391	`} catch (ExpiredException $e) {`
386	`if ($ignorerExpiration === true) {`	392	`if ($ignorerExpiration === true) {`
387	`// on se fiche qu'il soit expiré`	393	`// on se fiche qu'il soit expiré`
388	`// décodage d'un jeton expiré`	394	`// décodage d'un jeton expiré`
389	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`	395	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`
390	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`	396	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`
391	`$infos = $this->decoderJetonExpireManuellement($jwt);`	397	`$infos = $this->decoderJetonExpireManuellement($jwt);`
392	`} else {`	398	`} else {`
393	`// on renvoie l'exception plus haut`	399	`// on renvoie l'exception plus haut`
394	`throw $e;`	400	`throw $e;`
395	`}`	401	`}`
396	`}`	402	`}`
397	`// vérification des infos`	403	`// vérification des infos`
398	`if (empty($infos['sub'])) {`	404	`if (empty($infos['sub'])) {`
399	`// jeton vide (wtf?)`	405	`// jeton vide (wtf?)`
400	`throw new Exception("empty token (no <sub>)");`	406	`throw new Exception("empty token (no <sub>)");`
401	`}`	407	`}`
402	`// rafraîchissement`	408	`// rafraîchissement`
403	`$infos['exp'] = time() + $this->dureeJeton;`	409	`$infos['exp'] = time() + $this->dureeJeton;`
404	`$jwtSortie = JWT::encode($infos, $this->clef);`	410	`$jwtSortie = JWT::encode($infos, $this->clef);`
405		411
406	`return $jwtSortie;`	412	`return $jwtSortie;`
407	`}`	413	`}`
408		414
409	`/**`	415	`/**`
410	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`	416	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`
411	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`	417	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`
412	`* correct (vérifié avec la lib JWT) mais expiré !`	418	`* correct (vérifié avec la lib JWT) mais expiré !`
413	`*`	419	`*`
414	`* @param string $jwt un jeton vérifié comme valide, mais expiré`	420	`* @param string $jwt un jeton vérifié comme valide, mais expiré`
415	`*/`	421	`*/`
416	`protected function decoderJetonExpireManuellement($jwt) {`	422	`protected function decoderJetonExpireManuellement($jwt) {`
417	`$parts = explode('.', $jwt);`	423	`$parts = explode('.', $jwt);`
418	`$payload = $parts[1];`	424	`$payload = $parts[1];`
419	`$payload = base64_decode($payload);`	425	`$payload = base64_decode($payload);`
420	`$payload = json_decode($payload, true);`	426	`$payload = json_decode($payload, true);`
421		427
422	`return $payload;`	428	`return $payload;`
423	`}`	429	`}`
424		430
425	`/**`	431	`/**`
426	`* Crée un jeton JWT signé avec la clef`	432	`* Crée un jeton JWT signé avec la clef`
427	`*`	433	`*`
428	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`	434	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`
429	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`	435	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`
430	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`	436	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`
431	`*`	437	`*`
432	`* @return string un jeton JWT signé`	438	`* @return string un jeton JWT signé`
433	`*/`	439	`*/`
434	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`	440	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`
435	`if ($exp === null) {`	441	`if ($exp === null) {`
436	`$exp = time() + $this->dureeJeton;`	442	`$exp = time() + $this->dureeJeton;`
437	`}`	443	`}`
438	`$jeton = array(`	444	`$jeton = array(`
439	`"iss" => "https://www.tela-botanica.org",`	445	`"iss" => "https://www.tela-botanica.org",`
440	`"token_id" => $this->nomCookie,`	446	`"token_id" => $this->nomCookie,`
441	`//"aud" => "http://example.com",`	447	`//"aud" => "http://example.com",`
442	`"sub" => $sub,`	448	`"sub" => $sub,`
443	`"iat" => time(),`	449	`"iat" => time(),`
444	`"exp" => $exp,`	450	`"exp" => $exp,`
445	`//"nbf" => time() + 60,`	451	`//"nbf" => time() + 60,`
446	`"scopes" => array("tela-botanica.org")`	452	`"scopes" => array("tela-botanica.org")`
447	`);`	453	`);`
448	`if (! empty($donnees)) {`	454	`if (! empty($donnees)) {`
449	`$jeton = array_merge($jeton, $donnees);`	455	`$jeton = array_merge($jeton, $donnees);`
450	`}`	456	`}`
451	`$jwt = JWT::encode($jeton, $this->clef);`	457	`$jwt = JWT::encode($jeton, $this->clef);`
452		458
453	`return $jwt;`	459	`return $jwt;`
454	`}`	460	`}`
455		461
456	`/**`	462	`/**`
457	`* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par`	463	`* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par`
458	`* défaut "Authorization")`	464	`* défaut "Authorization")`
459	`*`	465	`*`
460	`* @param string $nomHeader nom de l'entête dans lequel chercher le jeton`	466	`* @param string $nomHeader nom de l'entête dans lequel chercher le jeton`
461	`* @return String un jeton JWT ou null`	467	`* @return String un jeton JWT ou null`
462	`*/`	468	`*/`
463	`protected function lireJetonDansHeader($nomHeader="Authorization") {`	469	`protected function lireJetonDansHeader($nomHeader="Authorization") {`
464	`$jwt = null;`	470	`$jwt = null;`
465	`$headers = apache_request_headers();`	471	`$headers = apache_request_headers();`
466	`if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {`	472	`if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {`
467	`$jwt = $headers[$nomHeader];`	473	`$jwt = $headers[$nomHeader];`
468	`}`	474	`}`
469	`return $jwt;`	475	`return $jwt;`
470	`}`	476	`}`
471		477
472	`/**`	478	`/**`
473	`* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et`	479	`* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et`
474	`* contenant $valeur`	480	`* contenant $valeur`
475	`*`	481	`*`
476	`* @param string $valeur le contenu du cookie (de préférence un jeton JWT)`	482	`* @param string $valeur le contenu du cookie (de préférence un jeton JWT)`
477	`*/`	483	`*/`
478	`protected function creerCookie($valeur) {`	484	`protected function creerCookie($valeur) {`
479	`setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);`	485	`setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);`
480	`}`	486	`}`
481		487
482	`/**`	488	`/**`
483	`* Renvoie le cookie avec une valeur vide et une date d'expiration dans le`	489	`* Renvoie le cookie avec une valeur vide et une date d'expiration dans le`
484	`* passé, afin que le navigateur le détruise au prochain appel`	490	`* passé, afin que le navigateur le détruise au prochain appel`
485	`* @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie`	491	`* @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie`
486	`*`	492	`*`
487	`* @param string $valeur la valeur du cookie, par défaut ""`	493	`* @param string $valeur la valeur du cookie, par défaut ""`
488	`*/`	494	`*/`
489	`protected function detruireCookie() {`	495	`protected function detruireCookie() {`
490	`setcookie($this->nomCookie, "", -1, '/', null, true);`	496	`setcookie($this->nomCookie, "", -1, '/', null, true);`
491	`}`	497	`}`
492		498
493	`// ---------------- Méthodes à génériciser ci-dessous ----------------------------------`	499	`// ---------------- Méthodes à génériciser ci-dessous ----------------------------------`
494		500

Subversion Repositories Applications.annuaire

(root)/branches/v1.4-baleine/jrest/services/Auth.php – Rev 568 → 569