WebSVN – Applications.annuaire – Diff – /branches/v1.4-baleine/jrest/services/Auth.php


<?php
 
// composer
require_once '../vendor/autoload.php';
 
/**
 * Tentative de service d'authentification / SSO bien organisé
 * SSO - Mettez un tigre dans votre annuaire !
 * @author mathias
 * © Tela Botanica 2015
 * 
 * @TODO se baser sur autre chose que JRest qui est obsolète
 */
class Auth extends JRestService {
 
	/** Clef utilisée pour signer les jetons JWT */
	private $clef;
 
	/** Si true, refusera une connexion non-HTTPS */
	protected $forcerSSL = true;
 
	/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */
	protected $dureeJeton = 900;
 
	/** Durée en secondes du cookie */
	protected $dureeCookie = 31536000; // 3600 * 24 * 365
 
	/** Nom du cookie */
	protected $nomCookie = "this_is_not_a_good_cookie_name";
 
	public function __construct($config, $demarrer_session = true) {
		parent::__construct($config, $demarrer_session);
		$this->clef = file_get_contents("clef-auth.ini");
		if (strlen($this->clef) < 16) {
			throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");
		}
		$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");
		$this->dureeJeton = $this->config['auth']['duree_jeton'];
		$this->dureeCookie = $this->config['auth']['duree_cookie'];
		$this->nomCookie = $this->config['auth']['nom_cookie'];
	}
 
	/**
	 * Notice d'utilisation succincte
	 * @TODO essayer de choisir entre anglais et français
	 */
	protected function infosService() {
		$uri = $this->config['settings']['baseAlternativeURL'];
		if ($uri == '') {
			$uri = $this->config['settings']['baseURL'];
		}
		$uri = $uri . "auth/";
 
		$infos = array(
			'service' => 'TelaBotanica/annuaire/auth',
			'methodes' => array(
				'connexion' => array(
					"uri" => $uri . "connexion",
					"parametres" => array(
						"login" => "adresse email (ex: name@domain.com)",
						"password" => "mot de passe"
					),
					"alias" => $uri . "login",
					"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie
				),
				'deconnexion' => array(
					"uri" => $uri . "deconnexion",
					"parametres" => null,
					"alias" => $uri . "logout",
					"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie
				),
				'identite' => array(
					"uri" => $uri . "identite",
					"parametres" => array(
						"token" => "jeton JWT (facultatif)",
					),
					"alias" => array(
						$uri . "identity",
						$uri . "rafraichir",
						$uri . "refresh"
					),
					"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"
				),
				'verifierjeton' => array(
					"uri" => $uri . "verifierjeton",
					"parametres" => array(
						"token" => "jeton JWT",
					),
					"alias" => $uri . "verifytoken",
					"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"
				)
			)
		);
		$this->envoyerJson($infos);
	}
 
	/**
	 * Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);
	 * les paramètres GET sont ignorés
	 */
	public function getRessource() {
		//echo "get ressource\n";
		$this->infosService();
	}
 
	/**
	 * Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);
	 * les paramètres GET sont ignorés
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function getElement($ressources) {
		// Achtétépéèch portouguech lolch
		$this->verifierSSL();
		// le premier paramètre d'URL définit la méthode (non-magique)
		if (count($ressources) > 0) {
			switch ($ressources[0]) {
				case 'login':
				case 'connexion':
					$this->connexion($ressources);
					break;
				case 'logout':
				case 'deconnexion':
					$this->deconnexion();
					break;
				case 'identity':
				case 'identite':
				case 'rafraichir':
				case 'refresh':
					$this->identite();
					break;
				case 'verifytoken':
				case 'verifierjeton':
					$this->verifierJeton();
					break;
				case 'info':
				default:
					$this->infosService();
			}
		}
	}
 
	/**
	 * Lors d'un POST avec au moins une donnée dans le body (data);
	 * les paramètres GET sont ignorés
	 * @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET
	 * 
	 * @param array $ressources les éléments d'URL
	 * @param array $pairs les paramètres POST
	 */
	public function updateElement($ressources, $pairs) {
		//echo "update element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins
	 * un élément d'URL; dans tous les cas les paramètres GET sont ignorés
	 * 
	 * @param array $pairs les paramètres POST
	 */
	public function createElement($pairs) {
		//echo "create element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un DELETE avec au moins un élément d'URL
	 * @TODO utiliser pour invalider un jeton (nécessite stockage)
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function deleteElement($ressources) {
		//echo "delete element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Vérifie l'identité d'un utilisateur à partir de son courriel et son
	 * mot de passe ou d'un cookie; lui accorde un jeton et un cookie si
	 * tout va bien, sinon renvoie une erreur et détruit le cookie
	 * @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,
	 * le caractère "&" posera problème en GET
	 * 
	 * @param array $ressources non utilisé
	 */
	protected function connexion($ressources) {
		$login = $this->getParam('login');
		$password = $this->getParam('password', null);
		if ($login == '' || $password == '') {
			$this->erreur("parameters <login> and <password> required");
		}
		// vérification login / password
		$acces = $this->verifierAcces($login, $password);
		if ($acces === false) {
			$this->detruireCookie();
 
			// redirection si demandée - se charge de sortir du script en cas de succès
			$this->rediriger();
			// si la redirection n'a pas eu lieu
			$this->erreur("authentication failed", 401);
 
 
		}
		// infos utilisateur
		$util = new Utilisateur($this->config);
		$infos = $util->getIdentiteParCourriel($login);
		if (count($infos) == 0 || empty($infos[$login])) {
 
			// redirection si demandée - se charge de sortir du script en cas de succès
			$this->rediriger();
			// si la redirection n'a pas eu lieu
			$this->erreur("could not get user info");
 
		}
		// nom Wiki
		$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");
		// date de dernière modification du profil
		$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);
		$infos[$login]['dateDerniereModif'] = $dateDerniereModif;
		// création du jeton
		$jwt = $this->creerJeton($login, $infos[$login]);
		// création du cookie
		$this->creerCookie($jwt);
 
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger($jwt);
 
		// envoi
		$this->envoyerJson(array(
			"session" => true,
			"token" => $jwt,
			"duration" => intval($this->dureeJeton),
			"token_id" => $this->nomCookie,
			"last_modif" => $infos[$login]['dateDerniereModif']
		));
 
	}
 
	/**
	 * Détruit le cookie et renvoie un jeton vide ou NULL - le client
	 * devrait toujours remplacer son jeton par celui renvoyé par les
	 * méthodes de l'annuaire
	 */
	protected function deconnexion() {
		// suppression du cookie
		$this->detruireCookie();
		// envoi d'un jeton null
		$jwt = null;
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger();
		// si la redirection n'a pas eu lieu
		$this->envoyerJson(array(
			"session" => false,
			"token" => $jwt,
			"token_id" => $this->nomCookie
		));
 
	}
 
	/**
	 * Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,
	 * header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie
	 * et/ou le jeton sont expirés;
	 * cela permet en théorie de forger des cookies avec des jetons expirés pour se les
	 * faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut
	 * être en possession que de ses propres jetons... au pire on peut se faire prolonger
	 * à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour
	 * Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette
	 * stratégie, l'inverse est peut-être plus malin
	 */
	protected function identite() {
		$cookieAvecJetonValide = false;
		$jetonRetour = null;
		$erreur = '';
		// lire cookie
		if (isset($_COOKIE[$this->nomCookie])) {
			$jwt = $_COOKIE[$this->nomCookie];
			try {
				// rafraîchir jeton quelque soit son état - "true" permet
				// d'ignorer les ExpiredException (on rafraîchit le jeton
				// expiré car le cookie est encore valide)
				$jetonRetour = $this->rafraichirJeton($jwt, true);
				// on ne tentera pas de lire un jeton fourni en paramètre
				$cookieAvecJetonValide = true;
			} catch (Exception $e) {
				// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)
				// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)
				$erreur = "invalid token in cookie";
			}
		}
		// si le cookie n'existait pas ou ne contenait pas un jeton
		if (! $cookieAvecJetonValide) {
			// lire jeton depuis header ou paramètre
			$jwt = $this->lireJetonDansHeader();
			if ($jwt == null) {
				// dernière chance
				$jwt = $this->getParam('token');
			}
			// toutes les possibilités ont été essayées
			if ($jwt != null) {
				try {
					// rafraîchir jeton si non expiré
					$jetonRetour = $this->rafraichirJeton($jwt);
				} catch (Exception $e) {
					// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
					$erreur = "invalid or expired token in Authorization header or parameter <token>";
				}
			} else {
				// pas de jeton valide passé en paramètre
				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");
			}
		} 
 
 
		// redirection si demandée - se charge de sortir du script en cas de succès
 
		$this->rediriger($jetonRetour);
 
 
		// renvoi jeton
		if ($jetonRetour === null) {
			$this->erreur($erreur);
		} else {
			$this->envoyerJson(array(
				"session" => true,
				"token" => $jetonRetour,
				"duration" => intval($this->dureeJeton),
				"token_id" => $this->nomCookie
			));
 
		}
	}
	
	/**
	 * Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;
	 * sinon, ne fait rien et passe la main
	 * 
	 * @param string $jetonRetour jeton JWT à passer à l'URL de destination (en GET
	 * et dans le header "Authorization"); par défaut null
	 */
	protected function rediriger($jetonRetour=null) {
		if (!empty($_GET['redirect_url'])) {
			// dans le cas où une url de redirection est précisée,
 
			// on est généreux et on précise le jeton dans le header et le get
			$url_redirection = $_GET['redirect_url'];
			if ($jetonRetour !== null) {
				$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';
				$url_redirection .= $separateur.'Authorization='.$jetonRetour;
				header('Authorization: '.$jetonRetour);
			}
			header('Location: '.$url_redirection);
			exit;
 
 
		}
	}
 
	/**
	 * Vérifie si un jeton est valide; retourne true si oui, une erreur avec
	 * des détails si non;
	 * Priorité : header "Authorization" > paramètre "token"
	 */
	protected function verifierJeton() {
		// vérifie que le jeton provient bien d'ici,
		// et qu'il est encore valide (date)
		$jwt = $this->lireJetonDansHeader();
		if ($jwt == null) {
			$jwt = $this->getParam('token');
			if ($jwt == '') {
				$this->erreur("parameter <token> or Authorization header required");
			}
		}
		try {
			$jeton = JWT::decode($jwt, $this->clef, array('HS256'));
			$jeton = (array) $jeton;
		} catch (Exception $e) {
			$this->erreur($e->getMessage());
			exit;
		}
		$this->envoyerJson(true);
	}
 
	/**
	 * Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne
	 * une période de validité de $this->dureeJeton; si $ignorerExpiration
	 * vaut true, rafraîchira le jeton même s'il a expiré
	 * (attention à ne pas appeler cette méthode n'importe comment !);
	 * jette une exception si le jeton est vide, mal signé ou autre erreur,
	 * ou s'il a expiré et que $ignorerExpiration est différent de true
	 * 
	 * @param string $jwt le jeton JWT
	 * @return string le jeton rafraîchi
	 */
	protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {
		$infos = array();
		// vérification avec lib JWT
		try {
			$infos = JWT::decode($jwt, $this->clef, array('HS256'));
			$infos = (array) $infos;
		} catch (ExpiredException $e) {
			if ($ignorerExpiration === true) {
				// on se fiche qu'il soit expiré
				// décodage d'un jeton expiré 
				// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),
				// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !
				$infos = $this->decoderJetonExpireManuellement($jwt);
			} else {
				// on renvoie l'exception plus haut
				throw $e;
			}
		}
		// vérification des infos
		if (empty($infos['sub'])) {
			// jeton vide (wtf?)
			throw new Exception("empty token (no <sub>)");
		}
		// rafraîchissement
		$infos['exp'] = time() + $this->dureeJeton;
		$jwtSortie = JWT::encode($infos, $this->clef);
 
		return $jwtSortie;
	}
 
	/**
	 * Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU
	 * SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton
	 * correct (vérifié avec la lib JWT) mais expiré !
	 * 
	 * @param string $jwt un jeton vérifié comme valide, mais expiré
	 */
	protected function decoderJetonExpireManuellement($jwt) {
		$parts = explode('.', $jwt);
		$payload = $parts[1];
		$payload = base64_decode($payload);
		$payload = json_decode($payload, true);
 
		return $payload;
	}
 
	/**
	 * Crée un jeton JWT signé avec la clef
	 * 
	 * @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon
	 * @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton
	 * @param array $donnees les données à ajouter au jeton (infos utilisateur)
	 * 
	 * @return string un jeton JWT signé
	 */
	protected function creerJeton($sub, $donnees=array(), $exp=null) {
		if ($exp === null) {
			$exp = time() + $this->dureeJeton;
		}
		$jeton = array(
			"iss" => "https://www.tela-botanica.org",
			"token_id" => $this->nomCookie,
			//"aud" => "http://example.com",
			"sub" => $sub,
			"iat" => time(),
			"exp" => $exp,
			//"nbf" => time() + 60,
			"scopes" => array("tela-botanica.org")
		);
		if (! empty($donnees)) {
			$jeton = array_merge($jeton, $donnees);
		}
		$jwt = JWT::encode($jeton, $this->clef);
 
		return $jwt;
	}
 
	/**
	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par
	 * défaut "Authorization")
	 * 
	 * @param string $nomHeader nom de l'entête dans lequel chercher le jeton
	 * @return String un jeton JWT ou null
	 */
	protected function lireJetonDansHeader($nomHeader="Authorization") {
		$jwt = null;
		$headers = apache_request_headers();
		if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {
			$jwt = $headers[$nomHeader];
		}
		return $jwt;
	}
 
	/**
	 * Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
	 * contenant $valeur
	 * 
	 * @param string $valeur le contenu du cookie (de préférence un jeton JWT)
	 */
	protected function creerCookie($valeur) {
		setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);
	}
 
	/**
	 * Renvoie le cookie avec une valeur vide et une date d'expiration dans le
	 * passé, afin que le navigateur le détruise au prochain appel
	 * @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie
	 * 
	 * @param string $valeur la valeur du cookie, par défaut ""
	 */
	protected function detruireCookie() {
		setcookie($this->nomCookie, "", -1, '/', null, true);
	}
 
	// ---------------- Méthodes à génériciser ci-dessous ----------------------------------
 
	/**
	 * Message succinct pour méthodes / actions non implémentées
	 */
	protected function nonImplemente() {
		$this->erreur("not implemented");
	}
	
	/**
	 * Si $this->forcerSSL vaut true, envoie une erreur et termine le programme si SSL n'est pas utilisé
	 */
	protected function verifierSSL() {
		if ($this->forcerSSL === true) {
			if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == 'off') {
				$this->erreur("HTTPS required");
				exit;
			}
		}
	}
 
	protected function getParamChain($names) {
		if (! is_array($names)) {
			// Hou ? (cri de chouette solitaire)
		}
	}
 
	/**
	 * Capture un paramètre de requête ($_REQUEST)
	 * 
	 * @param string $name nom du paramètre à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_REQUEST[$name])) {
			if ($traiterVideCommeDefaut === false || $_REQUEST[$name] !== '') {
				$ret = $_REQUEST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre GET
	 * 
	 * @param string $name nom du paramètre GET à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getGetParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_GET[$name])) {
			if ($traiterVideCommeDefaut === false || $_GET[$name] !== '') {
				$ret = $_GET[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre POST
	 * 
	 * @param string $name nom du paramètre POST à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getPostParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_POST[$name])) {
			if ($traiterVideCommeDefaut === false || $_POST[$name] !== '') {
				$ret = $_POST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Envoie une erreur HTTP $code (400 par défaut) avec les données $data en JSON
	 * 
	 * @param mixed $data données JSON de l'erreur - généralement array("error" => "raison de l'erreur") - si
	 * 		seule une chaîne est transmise, sera convertie en array("error" => $data)
	 * @param number $code code HTTP de l'erreur, par défaut 400 (bad request)
	 * @param boolean $exit si true (par défaut), termine le script après avoir envoyé l'erreur
	 */
	protected function erreur($data, $code=400, $exit=true) {
		if (! is_array($data)) {
			$data = array(
				"error" => $data
			);
		}
		http_response_code($code);
		$this->envoyerJson($data);
		if ($exit === true) {
			exit;
		}
	}
}
 
/**
 * Mode moderne pour PHP < 5.4
 */
if (!function_exists('http_response_code')) {
	function http_response_code($code = NULL) {
		if ($code !== NULL) {
			switch ($code) {
				case 100: $text = 'Continue'; break;
				case 101: $text = 'Switching Protocols'; break;
				case 200: $text = 'OK'; break;
				case 201: $text = 'Created'; break;
				case 202: $text = 'Accepted'; break;
				case 203: $text = 'Non-Authoritative Information'; break;
				case 204: $text = 'No Content'; break;
				case 205: $text = 'Reset Content'; break;
				case 206: $text = 'Partial Content'; break;
				case 300: $text = 'Multiple Choices'; break;
				case 301: $text = 'Moved Permanently'; break;
				case 302: $text = 'Moved Temporarily'; break;
				case 303: $text = 'See Other'; break;
				case 304: $text = 'Not Modified'; break;
				case 305: $text = 'Use Proxy'; break;
				case 400: $text = 'Bad Request'; break;
				case 401: $text = 'Unauthorized'; break;
				case 402: $text = 'Payment Required'; break;
				case 403: $text = 'Forbidden'; break;
				case 404: $text = 'Not Found'; break;
				case 405: $text = 'Method Not Allowed'; break;
				case 406: $text = 'Not Acceptable'; break;
				case 407: $text = 'Proxy Authentication Required'; break;
				case 408: $text = 'Request Time-out'; break;
				case 409: $text = 'Conflict'; break;
				case 410: $text = 'Gone'; break;
				case 411: $text = 'Length Required'; break;
				case 412: $text = 'Precondition Failed'; break;
				case 413: $text = 'Request Entity Too Large'; break;
				case 414: $text = 'Request-URI Too Large'; break;
				case 415: $text = 'Unsupported Media Type'; break;
				case 500: $text = 'Internal Server Error'; break;
				case 501: $text = 'Not Implemented'; break;
				case 502: $text = 'Bad Gateway'; break;
				case 503: $text = 'Service Unavailable'; break;
				case 504: $text = 'Gateway Time-out'; break;
				case 505: $text = 'HTTP Version not supported'; break;
				case 666: $text = 'Couscous overheat'; break;
				default:
					exit('Unknown http status code "' . htmlentities($code) . '"');
					break;
			}
 
			$protocol = (isset($_SERVER['SERVER_PROTOCOL']) ? $_SERVER['SERVER_PROTOCOL'] : 'HTTP/1.0');
			header($protocol . ' ' . $code . ' ' . $text);
			$GLOBALS['http_response_code'] = $code;
		} else {
			$code = (isset($GLOBALS['http_response_code']) ? $GLOBALS['http_response_code'] : 200);
		}
		return $code;
	}
}

Rev 569	Rev 570
1	`<?php`	1	`<?php`
2		2
3	`// composer`	3	`// composer`
4	`require_once '../vendor/autoload.php';`	4	`require_once '../vendor/autoload.php';`
5		5
6	`/**`	6	`/**`
7	`* Tentative de service d'authentification / SSO bien organisé`	7	`* Tentative de service d'authentification / SSO bien organisé`
8	`* SSO - Mettez un tigre dans votre annuaire !`	8	`* SSO - Mettez un tigre dans votre annuaire !`
9	`* @author mathias`	9	`* @author mathias`
10	`* © Tela Botanica 2015`	10	`* © Tela Botanica 2015`
11	`*`	11	`*`
12	`* @TODO se baser sur autre chose que JRest qui est obsolète`	12	`* @TODO se baser sur autre chose que JRest qui est obsolète`
13	`*/`	13	`*/`
14	`class Auth extends JRestService {`	14	`class Auth extends JRestService {`
15		15
16	`/** Clef utilisée pour signer les jetons JWT */`	16	`/** Clef utilisée pour signer les jetons JWT */`
17	`private $clef;`	17	`private $clef;`
18		18
19	`/** Si true, refusera une connexion non-HTTPS */`	19	`/** Si true, refusera une connexion non-HTTPS */`
20	`protected $forcerSSL = true;`	20	`protected $forcerSSL = true;`
21		21
22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`	22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`
23	`protected $dureeJeton = 900;`	23	`protected $dureeJeton = 900;`
24		24
25	`/** Durée en secondes du cookie */`	25	`/** Durée en secondes du cookie */`
26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`	26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`
27		27
28	`/** Nom du cookie */`	28	`/** Nom du cookie */`
29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`	29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`
30		30
31	`public function __construct($config, $demarrer_session = true) {`	31	`public function __construct($config, $demarrer_session = true) {`
32	`parent::__construct($config, $demarrer_session);`	32	`parent::__construct($config, $demarrer_session);`
33	`$this->clef = file_get_contents("clef-auth.ini");`	33	`$this->clef = file_get_contents("clef-auth.ini");`
34	`if (strlen($this->clef) < 16) {`	34	`if (strlen($this->clef) < 16) {`
35	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`	35	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`
36	`}`	36	`}`
37	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`	37	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`
38	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`	38	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`
39	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`	39	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`
40	`$this->nomCookie = $this->config['auth']['nom_cookie'];`	40	`$this->nomCookie = $this->config['auth']['nom_cookie'];`
41	`}`	41	`}`
42		42
43	`/**`	43	`/**`
44	`* Notice d'utilisation succincte`	44	`* Notice d'utilisation succincte`
45	`* @TODO essayer de choisir entre anglais et français`	45	`* @TODO essayer de choisir entre anglais et français`
46	`*/`	46	`*/`
47	`protected function infosService() {`	47	`protected function infosService() {`
48	`$uri = $this->config['settings']['baseAlternativeURL'];`	48	`$uri = $this->config['settings']['baseAlternativeURL'];`
49	`if ($uri == '') {`	49	`if ($uri == '') {`
50	`$uri = $this->config['settings']['baseURL'];`	50	`$uri = $this->config['settings']['baseURL'];`
51	`}`	51	`}`
52	`$uri = $uri . "auth/";`	52	`$uri = $uri . "auth/";`
53		53
54	`$infos = array(`	54	`$infos = array(`
55	`'service' => 'TelaBotanica/annuaire/auth',`	55	`'service' => 'TelaBotanica/annuaire/auth',`
56	`'methodes' => array(`	56	`'methodes' => array(`
57	`'connexion' => array(`	57	`'connexion' => array(`
58	`"uri" => $uri . "connexion",`	58	`"uri" => $uri . "connexion",`
59	`"parametres" => array(`	59	`"parametres" => array(`
60	`"login" => "adresse email (ex: name@domain.com)",`	60	`"login" => "adresse email (ex: name@domain.com)",`
61	`"password" => "mot de passe"`	61	`"password" => "mot de passe"`
62	`),`	62	`),`
63	`"alias" => $uri . "login",`	63	`"alias" => $uri . "login",`
64	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`	64	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`
65	`),`	65	`),`
66	`'deconnexion' => array(`	66	`'deconnexion' => array(`
67	`"uri" => $uri . "deconnexion",`	67	`"uri" => $uri . "deconnexion",`
68	`"parametres" => null,`	68	`"parametres" => null,`
69	`"alias" => $uri . "logout",`	69	`"alias" => $uri . "logout",`
70	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`	70	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`
71	`),`	71	`),`
72	`'identite' => array(`	72	`'identite' => array(`
73	`"uri" => $uri . "identite",`	73	`"uri" => $uri . "identite",`
74	`"parametres" => array(`	74	`"parametres" => array(`
75	`"token" => "jeton JWT (facultatif)",`	75	`"token" => "jeton JWT (facultatif)",`
76	`),`	76	`),`
77	`"alias" => array(`	77	`"alias" => array(`
78	`$uri . "identity",`	78	`$uri . "identity",`
79	`$uri . "rafraichir",`	79	`$uri . "rafraichir",`
80	`$uri . "refresh"`	80	`$uri . "refresh"`
81	`),`	81	`),`
82	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`	82	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`
83	`),`	83	`),`
84	`'verifierjeton' => array(`	84	`'verifierjeton' => array(`
85	`"uri" => $uri . "verifierjeton",`	85	`"uri" => $uri . "verifierjeton",`
86	`"parametres" => array(`	86	`"parametres" => array(`
87	`"token" => "jeton JWT",`	87	`"token" => "jeton JWT",`
88	`),`	88	`),`
89	`"alias" => $uri . "verifytoken",`	89	`"alias" => $uri . "verifytoken",`
90	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`	90	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`
91	`)`	91	`)`
92	`)`	92	`)`
93	`);`	93	`);`
94	`$this->envoyerJson($infos);`	94	`$this->envoyerJson($infos);`
95	`}`	95	`}`
96		96
97	`/**`	97	`/**`
98	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`	98	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`
99	`* les paramètres GET sont ignorés`	99	`* les paramètres GET sont ignorés`
100	`*/`	100	`*/`
101	`public function getRessource() {`	101	`public function getRessource() {`
102	`//echo "get ressource\n";`	102	`//echo "get ressource\n";`
103	`$this->infosService();`	103	`$this->infosService();`
104	`}`	104	`}`
105		105
106	`/**`	106	`/**`
107	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`	107	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`
108	`* les paramètres GET sont ignorés`	108	`* les paramètres GET sont ignorés`
109	`*`	109	`*`
110	`* @param array $ressources les éléments d'URL`	110	`* @param array $ressources les éléments d'URL`
111	`*/`	111	`*/`
112	`public function getElement($ressources) {`	112	`public function getElement($ressources) {`
113	`// Achtétépéèch portouguech lolch`	113	`// Achtétépéèch portouguech lolch`
114	`$this->verifierSSL();`	114	`$this->verifierSSL();`
115	`// le premier paramètre d'URL définit la méthode (non-magique)`	115	`// le premier paramètre d'URL définit la méthode (non-magique)`
116	`if (count($ressources) > 0) {`	116	`if (count($ressources) > 0) {`
117	`switch ($ressources[0]) {`	117	`switch ($ressources[0]) {`
118	`case 'login':`	118	`case 'login':`
119	`case 'connexion':`	119	`case 'connexion':`
120	`$this->connexion($ressources);`	120	`$this->connexion($ressources);`
121	`break;`	121	`break;`
122	`case 'logout':`	122	`case 'logout':`
123	`case 'deconnexion':`	123	`case 'deconnexion':`
124	`$this->deconnexion();`	124	`$this->deconnexion();`
125	`break;`	125	`break;`
126	`case 'identity':`	126	`case 'identity':`
127	`case 'identite':`	127	`case 'identite':`
128	`case 'rafraichir':`	128	`case 'rafraichir':`
129	`case 'refresh':`	129	`case 'refresh':`
130	`$this->identite();`	130	`$this->identite();`
131	`break;`	131	`break;`
132	`case 'verifytoken':`	132	`case 'verifytoken':`
133	`case 'verifierjeton':`	133	`case 'verifierjeton':`
134	`$this->verifierJeton();`	134	`$this->verifierJeton();`
135	`break;`	135	`break;`
136	`case 'info':`	136	`case 'info':`
137	`default:`	137	`default:`
138	`$this->infosService();`	138	`$this->infosService();`
139	`}`	139	`}`
140	`}`	140	`}`
141	`}`	141	`}`
142		142
143	`/**`	143	`/**`
144	`* Lors d'un POST avec au moins une donnée dans le body (data);`	144	`* Lors d'un POST avec au moins une donnée dans le body (data);`
145	`* les paramètres GET sont ignorés`	145	`* les paramètres GET sont ignorés`
146	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`	146	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`
147	`*`	147	`*`
148	`* @param array $ressources les éléments d'URL`	148	`* @param array $ressources les éléments d'URL`
149	`* @param array $pairs les paramètres POST`	149	`* @param array $pairs les paramètres POST`
150	`*/`	150	`*/`
151	`public function updateElement($ressources, $pairs) {`	151	`public function updateElement($ressources, $pairs) {`
152	`//echo "update element\n";`	152	`//echo "update element\n";`
153	`$this->nonImplemente();`	153	`$this->nonImplemente();`
154	`}`	154	`}`
155		155
156	`/**`	156	`/**`
157	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`	157	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`
158	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`	158	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`
159	`*`	159	`*`
160	`* @param array $pairs les paramètres POST`	160	`* @param array $pairs les paramètres POST`
161	`*/`	161	`*/`
162	`public function createElement($pairs) {`	162	`public function createElement($pairs) {`
163	`//echo "create element\n";`	163	`//echo "create element\n";`
164	`$this->nonImplemente();`	164	`$this->nonImplemente();`
165	`}`	165	`}`
166		166
167	`/**`	167	`/**`
168	`* Lors d'un DELETE avec au moins un élément d'URL`	168	`* Lors d'un DELETE avec au moins un élément d'URL`
169	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`	169	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`
170	`*`	170	`*`
171	`* @param array $ressources les éléments d'URL`	171	`* @param array $ressources les éléments d'URL`
172	`*/`	172	`*/`
173	`public function deleteElement($ressources) {`	173	`public function deleteElement($ressources) {`
174	`//echo "delete element\n";`	174	`//echo "delete element\n";`
175	`$this->nonImplemente();`	175	`$this->nonImplemente();`
176	`}`	176	`}`
177		177
178	`/**`	178	`/**`
179	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`	179	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`
180	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`	180	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`
181	`* tout va bien, sinon renvoie une erreur et détruit le cookie`	181	`* tout va bien, sinon renvoie une erreur et détruit le cookie`
182	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`	182	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`
183	`* le caractère "&" posera problème en GET`	183	`* le caractère "&" posera problème en GET`
184	`*`	184	`*`
185	`* @param array $ressources non utilisé`	185	`* @param array $ressources non utilisé`
186	`*/`	186	`*/`
187	`protected function connexion($ressources) {`	187	`protected function connexion($ressources) {`
188	`$login = $this->getParam('login');`	188	`$login = $this->getParam('login');`
189	`$password = $this->getParam('password', null);`	189	`$password = $this->getParam('password', null);`
190	`if ($login == '' \|\| $password == '') {`	190	`if ($login == '' \|\| $password == '') {`
191	`$this->erreur("parameters <login> and <password> required");`	191	`$this->erreur("parameters <login> and <password> required");`
192	`}`	192	`}`
193	`// vérification login / password`	193	`// vérification login / password`
194	`$acces = $this->verifierAcces($login, $password);`	194	`$acces = $this->verifierAcces($login, $password);`
195	`if ($acces === false) {`	195	`if ($acces === false) {`
196	`$this->detruireCookie();`	196	`$this->detruireCookie();`
197	`if(!empty($_GET['redirect_url'])) {`	-
198	`header('Location: '.$_GET['redirect_url']);`	197	`// redirection si demandée - se charge de sortir du script en cas de succès`
199	`exit;`	198	`$this->rediriger();`
200	`} else {`	199	`// si la redirection n'a pas eu lieu`
201	`$this->erreur("authentication failed", 401);`	200	`$this->erreur("authentication failed", 401);`
202	`}`	-
203		-
204	`}`	201	`}`
205	`// infos utilisateur`	202	`// infos utilisateur`
206	`$util = new Utilisateur($this->config);`	203	`$util = new Utilisateur($this->config);`
207	`$infos = $util->getIdentiteParCourriel($login);`	204	`$infos = $util->getIdentiteParCourriel($login);`
208	`if (count($infos) == 0 \|\| empty($infos[$login])) {`	205	`if (count($infos) == 0 \|\| empty($infos[$login])) {`
209	`if(!empty($_GET['redirect_url'])) {`	-
210	`header('Location: '.$_GET['redirect_url']);`	206	`// redirection si demandée - se charge de sortir du script en cas de succès`
211	`exit;`	207	`$this->rediriger();`
212	`} else {`	208	`// si la redirection n'a pas eu lieu`
213	`$this->erreur("could not get user info");`	209	`$this->erreur("could not get user info");`
214	`}`	-
215	`}`	210	`}`
216	`// nom Wiki`	211	`// nom Wiki`
217	`$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");`	212	`$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");`
218	`// date de dernière modification du profil`	213	`// date de dernière modification du profil`
219	`$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);`	214	`$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);`
220	`$infos[$login]['dateDerniereModif'] = $dateDerniereModif;`	215	`$infos[$login]['dateDerniereModif'] = $dateDerniereModif;`
221	`// création du jeton`	216	`// création du jeton`
222	`$jwt = $this->creerJeton($login, $infos[$login]);`	217	`$jwt = $this->creerJeton($login, $infos[$login]);`
223	`// création du cookie`	218	`// création du cookie`
224	`$this->creerCookie($jwt);`	219	`$this->creerCookie($jwt);`
225		-
226	`if(!empty($_GET['redirect_url'])) {`	220	`// redirection si demandée - se charge de sortir du script en cas de succès`
227	`$this->redirigerAvecJeton($_GET['redirect_url'], $jwt);`	221	`$this->rediriger($jwt);`
228	`} else {`	-
229	`// envoi`	222	`// envoi`
230	`$this->envoyerJson(array(`	223	`$this->envoyerJson(array(`
231	`"session" => true,`	224	`"session" => true,`
232	`"token" => $jwt,`	225	`"token" => $jwt,`
233	`"duration" => intval($this->dureeJeton),`	226	`"duration" => intval($this->dureeJeton),`
234	`"token_id" => $this->nomCookie,`	227	`"token_id" => $this->nomCookie,`
235	`"last_modif" => $infos[$login]['dateDerniereModif']`	228	`"last_modif" => $infos[$login]['dateDerniereModif']`
236	`));`	229	`));`
237	`}`	-
238	`}`	230	`}`
239		231
240	`/**`	232	`/**`
241	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`	233	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`
242	`* devrait toujours remplacer son jeton par celui renvoyé par les`	234	`* devrait toujours remplacer son jeton par celui renvoyé par les`
243	`* méthodes de l'annuaire`	235	`* méthodes de l'annuaire`
244	`*/`	236	`*/`
245	`protected function deconnexion() {`	237	`protected function deconnexion() {`
246	`// suppression du cookie`	238	`// suppression du cookie`
247	`$this->detruireCookie();`	239	`$this->detruireCookie();`
248	`// envoi d'un jeton null`	240	`// envoi d'un jeton null`
249	`$jwt = null;`	241	`$jwt = null;`
250	`if(!empty($_GET['redirect_url'])) {`	242	`// redirection si demandée - se charge de sortir du script en cas de succès`
251	`header('Location: '.$_GET['redirect_url']);`	243	`$this->rediriger();`
252	`} else {`	244	`// si la redirection n'a pas eu lieu`
253	`$this->envoyerJson(array(`	245	`$this->envoyerJson(array(`
254	`"session" => false,`	246	`"session" => false,`
255	`"token" => $jwt,`	247	`"token" => $jwt,`
256	`"token_id" => $this->nomCookie`	248	`"token_id" => $this->nomCookie`
257	`));`	249	`));`
258	`}`	-
259	`}`	250	`}`
260		251
261	`/**`	252	`/**`
262	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`	253	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`
263	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`	254	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`
264	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`	255	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`
265	`* et/ou le jeton sont expirés;`	256	`* et/ou le jeton sont expirés;`
266	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`	257	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`
267	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`	258	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`
268	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`	259	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`
269	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`	260	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`
270	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`	261	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`
271	`* stratégie, l'inverse est peut-être plus malin`	262	`* stratégie, l'inverse est peut-être plus malin`
272	`*/`	263	`*/`
273	`protected function identite() {`	264	`protected function identite() {`
274	`$cookieAvecJetonValide = false;`	265	`$cookieAvecJetonValide = false;`
275	`$jetonRetour = null;`	266	`$jetonRetour = null;`
276	`$erreur = '';`	267	`$erreur = '';`
277	`// lire cookie`	268	`// lire cookie`
278	`if (isset($_COOKIE[$this->nomCookie])) {`	269	`if (isset($_COOKIE[$this->nomCookie])) {`
279	`$jwt = $_COOKIE[$this->nomCookie];`	270	`$jwt = $_COOKIE[$this->nomCookie];`
280	`try {`	271	`try {`
281	`// rafraîchir jeton quelque soit son état - "true" permet`	272	`// rafraîchir jeton quelque soit son état - "true" permet`
282	`// d'ignorer les ExpiredException (on rafraîchit le jeton`	273	`// d'ignorer les ExpiredException (on rafraîchit le jeton`
283	`// expiré car le cookie est encore valide)`	274	`// expiré car le cookie est encore valide)`
284	`$jetonRetour = $this->rafraichirJeton($jwt, true);`	275	`$jetonRetour = $this->rafraichirJeton($jwt, true);`
285	`// on ne tentera pas de lire un jeton fourni en paramètre`	276	`// on ne tentera pas de lire un jeton fourni en paramètre`
286	`$cookieAvecJetonValide = true;`	277	`$cookieAvecJetonValide = true;`
287	`} catch (Exception $e) {`	278	`} catch (Exception $e) {`
288	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`	279	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`
289	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`	280	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`
290	`$erreur = "invalid token in cookie";`	281	`$erreur = "invalid token in cookie";`
291	`}`	282	`}`
292	`}`	283	`}`
293	`// si le cookie n'existait pas ou ne contenait pas un jeton`	284	`// si le cookie n'existait pas ou ne contenait pas un jeton`
294	`if (! $cookieAvecJetonValide) {`	285	`if (! $cookieAvecJetonValide) {`
295	`// lire jeton depuis header ou paramètre`	286	`// lire jeton depuis header ou paramètre`
296	`$jwt = $this->lireJetonDansHeader();`	287	`$jwt = $this->lireJetonDansHeader();`
297	`if ($jwt == null) {`	288	`if ($jwt == null) {`
298	`// dernière chance`	289	`// dernière chance`
299	`$jwt = $this->getParam('token');`	290	`$jwt = $this->getParam('token');`
300	`}`	291	`}`
301	`// toutes les possibilités ont été essayées`	292	`// toutes les possibilités ont été essayées`
302	`if ($jwt != null) {`	293	`if ($jwt != null) {`
303	`try {`	294	`try {`
304	`// rafraîchir jeton si non expiré`	295	`// rafraîchir jeton si non expiré`
305	`$jetonRetour = $this->rafraichirJeton($jwt);`	296	`$jetonRetour = $this->rafraichirJeton($jwt);`
306	`} catch (Exception $e) {`	297	`} catch (Exception $e) {`
307	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`	298	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`
308	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`	299	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`
309	`}`	300	`}`
310	`} else {`	301	`} else {`
311	`// pas de jeton valide passé en paramètre`	302	`// pas de jeton valide passé en paramètre`
312	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`	303	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`
313	`}`	304	`}`
314	`}`	305	`}`
315	`if(!empty($_GET['redirect_url'])) {`	-
316	`if ($jetonRetour != null) {`	-
317	`$this->redirigerAvecJeton($_GET['redirect_url'], $jetonRetour);`	306	`// redirection si demandée - se charge de sortir du script en cas de succès`
318	`} else {`	-
319	`header('Location: '.$_GET['redirect_url']);`	307	`$this->rediriger($jetonRetour);`
320	`}`	-
321	`} else {`	-
322	`// renvoi jeton`	308	`// renvoi jeton`
323	`if ($jetonRetour === null) {`	309	`if ($jetonRetour === null) {`
324	`$this->erreur($erreur);`	310	`$this->erreur($erreur);`
325	`} else {`	311	`} else {`
326	`$this->envoyerJson(array(`	312	`$this->envoyerJson(array(`
327	`"session" => true,`	313	`"session" => true,`
328	`"token" => $jetonRetour,`	314	`"token" => $jetonRetour,`
329	`"duration" => intval($this->dureeJeton),`	315	`"duration" => intval($this->dureeJeton),`
330	`"token_id" => $this->nomCookie`	316	`"token_id" => $this->nomCookie`
331	`));`	317	`));`
332	`}`	-
333	`}`	318	`}`
334	`}`	319	`}`
-		320
-		321	`/**`
-		322	`* Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;`
-		323	`* sinon, ne fait rien et passe la main`
-		324	`*`
-		325	`* @param string $jetonRetour jeton JWT à passer à l'URL de destination (en GET`
-		326	`* et dans le header "Authorization"); par défaut null`
335		327	`*/`
-		328	`protected function rediriger($jetonRetour=null) {`
336	`protected function redirigerAvecJeton($url, $jetonRetour) {`	329	`if (!empty($_GET['redirect_url'])) {`
337	`// dans le cas où une url de redirection est précisée,`	330	`// dans le cas où une url de redirection est précisée,`
338	`// on est généreux et on précise le jeton dans le header et le get`	-
339	`if ($jetonRetour != null) {`	331	`// on est généreux et on précise le jeton dans le header et le get`
-		332	`$url_redirection = $_GET['redirect_url'];`
340	`$url_redirection = $_GET['redirect_url'];`	333	`if ($jetonRetour !== null) {`
341	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`	334	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`
342	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`	335	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`
-		336	`header('Authorization: '.$jetonRetour);`
-		337	`}`
-		338	`header('Location: '.$url_redirection);`
343	`header('Authorization: '.$jetonRetour);`	339	`exit;`
344	`}`	-
345	`header('Location: '.$url_redirection);`	-
346	`exit;`	340	`}`
347	`}`	341	`}`
348		342
349	`/**`	343	`/**`
350	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`	344	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`
351	`* des détails si non;`	345	`* des détails si non;`
352	`* Priorité : header "Authorization" > paramètre "token"`	346	`* Priorité : header "Authorization" > paramètre "token"`
353	`*/`	347	`*/`
354	`protected function verifierJeton() {`	348	`protected function verifierJeton() {`
355	`// vérifie que le jeton provient bien d'ici,`	349	`// vérifie que le jeton provient bien d'ici,`
356	`// et qu'il est encore valide (date)`	350	`// et qu'il est encore valide (date)`
357	`$jwt = $this->lireJetonDansHeader();`	351	`$jwt = $this->lireJetonDansHeader();`
358	`if ($jwt == null) {`	352	`if ($jwt == null) {`
359	`$jwt = $this->getParam('token');`	353	`$jwt = $this->getParam('token');`
360	`if ($jwt == '') {`	354	`if ($jwt == '') {`
361	`$this->erreur("parameter <token> or Authorization header required");`	355	`$this->erreur("parameter <token> or Authorization header required");`
362	`}`	356	`}`
363	`}`	357	`}`
364	`try {`	358	`try {`
365	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`	359	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`
366	`$jeton = (array) $jeton;`	360	`$jeton = (array) $jeton;`
367	`} catch (Exception $e) {`	361	`} catch (Exception $e) {`
368	`$this->erreur($e->getMessage());`	362	`$this->erreur($e->getMessage());`
369	`exit;`	363	`exit;`
370	`}`	364	`}`
371	`$this->envoyerJson(true);`	365	`$this->envoyerJson(true);`
372	`}`	366	`}`
373		367
374	`/**`	368	`/**`
375	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`	369	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`
376	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`	370	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`
377	`* vaut true, rafraîchira le jeton même s'il a expiré`	371	`* vaut true, rafraîchira le jeton même s'il a expiré`
378	`* (attention à ne pas appeler cette méthode n'importe comment !);`	372	`* (attention à ne pas appeler cette méthode n'importe comment !);`
379	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`	373	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`
380	`* ou s'il a expiré et que $ignorerExpiration est différent de true`	374	`* ou s'il a expiré et que $ignorerExpiration est différent de true`
381	`*`	375	`*`
382	`* @param string $jwt le jeton JWT`	376	`* @param string $jwt le jeton JWT`
383	`* @return string le jeton rafraîchi`	377	`* @return string le jeton rafraîchi`
384	`*/`	378	`*/`
385	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`	379	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`
386	`$infos = array();`	380	`$infos = array();`
387	`// vérification avec lib JWT`	381	`// vérification avec lib JWT`
388	`try {`	382	`try {`
389	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`	383	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`
390	`$infos = (array) $infos;`	384	`$infos = (array) $infos;`
391	`} catch (ExpiredException $e) {`	385	`} catch (ExpiredException $e) {`
392	`if ($ignorerExpiration === true) {`	386	`if ($ignorerExpiration === true) {`
393	`// on se fiche qu'il soit expiré`	387	`// on se fiche qu'il soit expiré`
394	`// décodage d'un jeton expiré`	388	`// décodage d'un jeton expiré`
395	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`	389	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`
396	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`	390	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`
397	`$infos = $this->decoderJetonExpireManuellement($jwt);`	391	`$infos = $this->decoderJetonExpireManuellement($jwt);`
398	`} else {`	392	`} else {`
399	`// on renvoie l'exception plus haut`	393	`// on renvoie l'exception plus haut`
400	`throw $e;`	394	`throw $e;`
401	`}`	395	`}`
402	`}`	396	`}`
403	`// vérification des infos`	397	`// vérification des infos`
404	`if (empty($infos['sub'])) {`	398	`if (empty($infos['sub'])) {`
405	`// jeton vide (wtf?)`	399	`// jeton vide (wtf?)`
406	`throw new Exception("empty token (no <sub>)");`	400	`throw new Exception("empty token (no <sub>)");`
407	`}`	401	`}`
408	`// rafraîchissement`	402	`// rafraîchissement`
409	`$infos['exp'] = time() + $this->dureeJeton;`	403	`$infos['exp'] = time() + $this->dureeJeton;`
410	`$jwtSortie = JWT::encode($infos, $this->clef);`	404	`$jwtSortie = JWT::encode($infos, $this->clef);`
411		405
412	`return $jwtSortie;`	406	`return $jwtSortie;`
413	`}`	407	`}`
414		408
415	`/**`	409	`/**`
416	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`	410	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`
417	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`	411	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`
418	`* correct (vérifié avec la lib JWT) mais expiré !`	412	`* correct (vérifié avec la lib JWT) mais expiré !`
419	`*`	413	`*`
420	`* @param string $jwt un jeton vérifié comme valide, mais expiré`	414	`* @param string $jwt un jeton vérifié comme valide, mais expiré`
421	`*/`	415	`*/`
422	`protected function decoderJetonExpireManuellement($jwt) {`	416	`protected function decoderJetonExpireManuellement($jwt) {`
423	`$parts = explode('.', $jwt);`	417	`$parts = explode('.', $jwt);`
424	`$payload = $parts[1];`	418	`$payload = $parts[1];`
425	`$payload = base64_decode($payload);`	419	`$payload = base64_decode($payload);`
426	`$payload = json_decode($payload, true);`	420	`$payload = json_decode($payload, true);`
427		421
428	`return $payload;`	422	`return $payload;`
429	`}`	423	`}`
430		424
431	`/**`	425	`/**`
432	`* Crée un jeton JWT signé avec la clef`	426	`* Crée un jeton JWT signé avec la clef`
433	`*`	427	`*`
434	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`	428	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`
435	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`	429	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`
436	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`	430	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`
437	`*`	431	`*`
438	`* @return string un jeton JWT signé`	432	`* @return string un jeton JWT signé`
439	`*/`	433	`*/`
440	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`	434	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`
441	`if ($exp === null) {`	435	`if ($exp === null) {`
442	`$exp = time() + $this->dureeJeton;`	436	`$exp = time() + $this->dureeJeton;`
443	`}`	437	`}`
444	`$jeton = array(`	438	`$jeton = array(`
445	`"iss" => "https://www.tela-botanica.org",`	439	`"iss" => "https://www.tela-botanica.org",`
446	`"token_id" => $this->nomCookie,`	440	`"token_id" => $this->nomCookie,`
447	`//"aud" => "http://example.com",`	441	`//"aud" => "http://example.com",`
448	`"sub" => $sub,`	442	`"sub" => $sub,`
449	`"iat" => time(),`	443	`"iat" => time(),`
450	`"exp" => $exp,`	444	`"exp" => $exp,`
451	`//"nbf" => time() + 60,`	445	`//"nbf" => time() + 60,`
452	`"scopes" => array("tela-botanica.org")`	446	`"scopes" => array("tela-botanica.org")`
453	`);`	447	`);`
454	`if (! empty($donnees)) {`	448	`if (! empty($donnees)) {`
455	`$jeton = array_merge($jeton, $donnees);`	449	`$jeton = array_merge($jeton, $donnees);`
456	`}`	450	`}`
457	`$jwt = JWT::encode($jeton, $this->clef);`	451	`$jwt = JWT::encode($jeton, $this->clef);`
458		452
459	`return $jwt;`	453	`return $jwt;`
460	`}`	454	`}`
461		455
462	`/**`	456	`/**`
463	`* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par`	457	`* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par`
464	`* défaut "Authorization")`	458	`* défaut "Authorization")`
465	`*`	459	`*`
466	`* @param string $nomHeader nom de l'entête dans lequel chercher le jeton`	460	`* @param string $nomHeader nom de l'entête dans lequel chercher le jeton`
467	`* @return String un jeton JWT ou null`	461	`* @return String un jeton JWT ou null`
468	`*/`	462	`*/`
469	`protected function lireJetonDansHeader($nomHeader="Authorization") {`	463	`protected function lireJetonDansHeader($nomHeader="Authorization") {`
470	`$jwt = null;`	464	`$jwt = null;`
471	`$headers = apache_request_headers();`	465	`$headers = apache_request_headers();`
472	`if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {`	466	`if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {`
473	`$jwt = $headers[$nomHeader];`	467	`$jwt = $headers[$nomHeader];`
474	`}`	468	`}`
475	`return $jwt;`	469	`return $jwt;`
476	`}`	470	`}`
477		471
478	`/**`	472	`/**`
479	`* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et`	473	`* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et`
480	`* contenant $valeur`	474	`* contenant $valeur`
481	`*`	475	`*`
482	`* @param string $valeur le contenu du cookie (de préférence un jeton JWT)`	476	`* @param string $valeur le contenu du cookie (de préférence un jeton JWT)`
483	`*/`	477	`*/`
484	`protected function creerCookie($valeur) {`	478	`protected function creerCookie($valeur) {`
485	`setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);`	479	`setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);`
486	`}`	480	`}`
487		481
488	`/**`	482	`/**`

Subversion Repositories Applications.annuaire

(root)/branches/v1.4-baleine/jrest/services/Auth.php – Rev 569 → 570