WebSVN – Applications.papyrus – Diff – /trunk/papyrus/bibliotheque/classes/pap_identificationsso.class.php

+	}
+}
 class identificationSso {
-	// Attention bien vérifier la présence des variables suivantes :
+	// Attention bien v�rifier la pr�sence des variables suivantes :
 	// IDEN_UTILISE_SSO, IDEN_URL_SSO, IDEN_HEADER_SSO, IDEN_COOKIE_SSO
+	// dans le fichier iden_config.inc.php
-	// dans le fichier iden_config.inc.php
+	private $cookie_tentative_identification = "";
-	private $cookie_tentative_identification = "";
+	/** Une tentative par minute pour s'identifier suffit largement */
 	private $delai_tentative_identification = 60;
 		$this->cookie_tentative_identification = IDEN_COOKIE_SSO;
 		$this->auth_header = IDEN_HEADER_SSO;
 		$this->annuaire_url = IDEN_URL_SSO;
-		// c'est moche mais je n'ai pas trouvé plus simple pour récuperer la table annuaire en cours
+		// c'est moche mais je n'ai pas trouv� plus simple pour r�cuperer la table annuaire en cours
-		// d'utilisation pour le site actuel (la bdd annuaire est la dernière partie du dsn)
+		// d'utilisation pour le site actuel (la bdd annuaire est la derni�re partie du dsn)
 		$dsn_annuaire = $this->communs_papyrus['info_auth_bdd']->gsab_dsn;
 		$dsn_annuaire = explode('/', $dsn_annuaire);
 	function getToken() {
 		// Premier essai, dans le header
 		$headers = @apache_request_headers();
 		$token = !empty($headers['Authorization']) ? $headers['Authorization'] : null;
-		// Eventuellement, le jeton a pu être passé dans un header non standard, comme dans
+		// Eventuellement, le jeton a pu �tre pass� dans un header non standard, comme dans
-		// le cas où le header Authorization est supprimé par le mod cgi d'apache
+		// le cas o� le header Authorization est supprim� par le mod cgi d'apache
-		// Dans ce cas là on vérifie aussi dans un header alternatif si celui ci a été renseigné
+		// Dans ce cas l� on v�rifie aussi dans un header alternatif si celui ci a �t� renseign�
 		if($token == null && $this->auth_header != 'Authorization') {
 			$token = !empty($headers[$this->auth_header]) ? $headers[$this->auth_header] : null;
+		}
 	// http://stackoverflow.com/questions/1251582/beautiful-way-to-remove-get-variables-with-php?lq=1
 	function supprimerUrlVar($url, $var) {
 		 return rtrim(preg_replace('/([?&])'.$var.'=[^&]+(&|$)/','$1',$url), '&?');
+	}
-	function connecterEtRediriger($utilisateur, $pass) {
+	function connecterEtRediriger() {
 		$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
 		$params = 'login='.$_POST['username'].'&password='.$_POST['password'].'&redirect_url='.urlencode($url_redirect);
 		$connexion_url = $this->annuaire_url."connexion?".$params;
 		header('Location: '.$deconnexion_url);
 		exit;
+	}
-	function verifierIdentiteEtRediriger() {
+	function verifierIdentiteEtRediriger() {
+		// si on fait autre chose qu'un GET, on ne vérifie pas l'identité, car
+		// cela conduirait à une redirection en GET (avec le jeton), qui
+		// supprimerait les données du corps de la requête
 		if ($_SERVER['REQUEST_METHOD'] == "GET") {
-		if(empty($_COOKIE['sso_tentative_identification'])) {
+			if(empty($_COOKIE['sso_tentative_identification'])) {
-			if($this->communs_papyrus['pear_auth']->getAuth()) {
+				if($this->communs_papyrus['pear_auth']->getAuth()) {
-				$cookie_persistant_nom = session_name().'-memo';
+					$cookie_persistant_nom = session_name().'-memo';
-				$cookie_utilisateur_nom = session_name().'-utilisateur';
+					$cookie_utilisateur_nom = session_name().'-utilisateur';
-				// Si l'utilisateur est déjà connecté par pear
+					// Si l'utilisateur est d�j� connect� par pear
-				// on fait tout de même une opération de logout
+					// on fait tout de m�me une op�ration de logout
-				// pour coordonner la déconnection depuis une autre application
+					// pour coordonner la d�connection depuis une autre application
-				$this->communs_papyrus['pear_auth']->logout();
+					$this->communs_papyrus['pear_auth']->logout();
+				}
-			$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
+				$url_redirect = 'http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI'];
-			$url = $this->annuaire_url."identite?redirect_url=".urlencode($url_redirect);
+				$url = $this->annuaire_url."identite?redirect_url=".urlencode($url_redirect);
-			// une tentative par minute pour s'identifier suffit largement
+				// une tentative toutes les $this->delai_tentative_identification
-			setcookie($this->cookie_tentative_identification, 1, time()+60, '/');
+				setcookie($this->cookie_tentative_identification, 1, time() + $this->delai_tentative_identification, '/');
-			header('Location: '.$url);
+				header('Location: '.$url);
+			} else {
+				$jeton = $this->getToken();
-		} else {
+				if($jeton != null) {
-			$jeton = $this->getToken();
+					// Verification du jeton aupres de l'annuaire
 					$valide = $this->verifierToken($jeton);
-			if($jeton != null) {
+					if ($valide === true) {
-				$jeton_decode = $this->decoderToken($jeton);
+						$jeton_decode = $this->decoderToken($jeton);
-				// Récupération du mot de passe pour remplir les infos de l'objet PEAR Auth
+						// R�cup�ration du mot de passe pour remplir les infos de l'objet PEAR Auth
-				$requete =  'SELECT '.$this->champ_mdp.' '.
+						$requete =  'SELECT '.$this->champ_mdp.' '.
-						'FROM '.$this->bdd_annuaire.'.'.$this->table_annuaire.' '.
+								'FROM '.$this->bdd_annuaire.'.'.$this->table_annuaire.' '.
-						'WHERE '.$this->champ_login.' = "'.$jeton_decode['sub'].'" ';
+								'WHERE '.$this->champ_login.' = "'.$jeton_decode['sub'].'" ';
-				// TODO: normalement ça n'est jamais le cas mais que fait t'on si l'utilisateur n'existe pas
+						// TODO: normalement �a n'est jamais le cas mais que fait t'on si l'utilisateur n'existe pas
-				// dans notre base de données ? (au pire il ne sera pas connecté)
+						// dans notre base de donn�es ? (au pire il ne sera pas connect�)
-				$this->communs_papyrus['pear_auth']->username = $jeton_decode['sub'];
+						$this->communs_papyrus['pear_auth']->username = $jeton_decode['sub'];
-				$this->communs_papyrus['pear_auth']->password = $this->communs_papyrus['pear_db']->getOne($requete);
+						$this->communs_papyrus['pear_auth']->password = $this->communs_papyrus['pear_db']->getOne($requete);
-				// Le mot de passe est déjà crypté dans la bdd donc il faut indiquer à pear de ne pas le re crytper
+						// Le mot de passe est d�j� crypt� dans la bdd donc il faut indiquer � pear de ne pas le re crytper
-				if (isset($this->communs_papyrus['pear_auth']->storage_options)) {
+						if (isset($this->communs_papyrus['pear_auth']->storage_options)) {
+							$this->communs_papyrus['pear_auth']->storage_options['cryptType'] = 'none';
+						}
+						if (isset($this->communs_papyrus['pear_auth']->storage->options)) {
+							$this->communs_papyrus['pear_auth']->storage->options['cryptType'] = 'none';
+						}
+					}
+				}
+			}
+		}
+	}
+	/**
+	 * Vérifie un jeton auprès de l'annuaire
+	 */
+	protected function verifierToken($token) {
-					$this->communs_papyrus['pear_auth']->storage_options['cryptType'] = 'none';
+		$verificationServiceURL = $this->annuaire_url . "verifytoken";
 		$verificationServiceURL .= "?token=" . $token;

Subversion Repositories Applications.papyrus

(root)/trunk/papyrus/bibliotheque/classes/pap_identificationsso.class.php – Rev 2154 → 2155