WebSVN – eFlore/Applications.del – Diff – //trunk/services/bibliotheque/ControleAcces.php

 <?php
 /**
-* Classe de controle d'accès utilisant l'authentification http pour bloquer ou autoriser l'accès.
+* Classe de controle d'accès aux services
-* Elle offre des méthodes permettant de réserver l'accès à une section aux admins ou bien aux utilisateurs identifiés
+*
+* Cette classe propose des méthodes permettant :
+*  - l'authentification http pour bloquer ou autoriser l'accès
+*  - de déterminer les droits des utilisateurs
+*
-* @category php 5.2
+* @category DEL
-* @package del
+* @package Commun
 * @author Aurélien Peronnet <aurelien@tela-botanica.org>
-* @copyright Copyright (c) 2012, Tela Botanica (accueil@tela-botanica.org)
+* @author Jean-Pascal Milcent <jpm@tela-botanica.org>
 * @license	http://www.cecill.info/licences/Licence_CeCILL_V2-fr.txt Licence CECILL
 * @license	http://www.gnu.org/licenses/gpl.html Licence GNU-GPL
-* @version	$Id$
+* @copyright Copyright (c) 1999-2014, Tela Botanica (accueil@tela-botanica.org)
 */
 class ControleAcces {
 	private $conteneur;
 	private $gestionBdd;
 	private $bdd;
 	public function __construct($conteneur) {
 		$this->conteneur = $conteneur;
 		$this->gestionBdd = $conteneur->getGestionBdd();
 		$this->bdd = $this->gestionBdd->getBdd();
+	}
+	public function controlerIpAutorisees() {
+		$ipAutorisees = $this->conteneur->getParametre('ip_autorisees');
+		$ipAutorisees = explode(',', $ipAutorisees);
+		if (!in_array($_SERVER['REMOTE_ADDR'], $ipAutorisees) && $_SERVER['REMOTE_ADDR'] != $_SERVER['SERVER_ADDR']) {
+			$message = "Accès interdit. \n"."Vous n'êtes pas autorisé à accéder à ce service depuis '{$_SERVER['REMOTE_ADDR']}' !\n";
+			$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
+			throw new Exception($message, $code);
+		}
+		return true;
+	}
 	public function demanderAuthentificationAdmin() {
-		if(!$this->etreAdminAutorise()) {
+		if (!$this->etreAdminAutoriseParHttp()) {
 			$this->authentifierAdmin();
+		}
+	}
 	public function demanderAuthentificationUtilisateur() {
-		if(!$this->etreUtilisateurAutorise()) {
+		if (!$this->etreUtilisateurAutoriseParHttp()) {
 			$this->authentifierUtilisateur();
+		}
+	}
-	public function etreUtilisateurAutorise() {
+	private function etreUtilisateurAutoriseParHttp() {
 		$identifiant = $this->getAuthIdentifiant();
 		$mdp = $this->getAuthMotDePasse();
 		$existe = $this->obtenirUtilisateur($identifiant, $mdp);
 		$autorisation = (isset($existe) && $existe) ? true :false;
 		return $autorisation;
+	}
 	private function obtenirUtilisateur($login, $motDePasse) {
+		$login = $this->bdd->proteger($login);
+		$motDePasse = $this->bdd->proteger($motDePasse);
-		$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe FROM '.$this->gestionBdd->formaterTable('del_utilisateur', 'du').
+		$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe '.
+			'FROM del_utilisateur AS du '.
-						'WHERE courriel = '.$this->gestionBdd->getBdd()->proteger($login).' '.
+			"WHERE courriel = $login ".
-						'AND mot_de_passe = MD5('.$this->gestionBdd->getBdd()->proteger($motDePasse).')';
+			"	AND mot_de_passe = MD5($motDePasse) ".
+			' -- '.__FILE__.':'.__LINE__."\n";
-		$utilisateur = $this->gestionBdd->getBdd()->recuperer($requete . ' -- ' . __FILE__ . ':' . __LINE__);
+		$utilisateur = $this->bdd->recuperer($requete);
 		return $utilisateur;
+	}
-	private function obtenirUtilisateurSansEncryptionMdp($login, $motDePasseEncrypte) {
-		$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe FROM '.$this->gestionBdd->formaterTable('del_utilisateur', 'du').
-							'WHERE courriel = '.$this->gestionBdd->getBdd()->proteger($login).' '.
-							'AND mot_de_passe = '.$this->gestionBdd->getBdd()->proteger($motDePasseEncrypte).' ';
-		$utilisateur = $this->gestionBdd->getBdd()->recuperer($requete . ' -- ' . __FILE__ . ':' . __LINE__);
-		return $utilisateur;
-	}
-	public function etreAdminAutorise() {
+	private function etreAdminAutoriseParHttp() {
 		$identifiant = $this->getAuthIdentifiant();
-		$autorisation = ($this->etreAdminDel($identifiant) && $this->etreUtilisateurAutorise()) ? true : false;
+		$autorisation = ($this->etreAdmin($identifiant) && $this->etreUtilisateurAutorise()) ? true : false;
 		return $autorisation;
+	}
-	public function etreAdminDel($courriel) {
+	private function etreAdmin($courriel) {
+		$courriel = $this->bdd->proteger($courriel);
-		$admins = Config::get('admins');
+		$requete = 'SELECT dui.admin '.
+			'FROM del_utilisateur AS du LEFT JOIN del_user_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '.
+			"WHERE du.courriel = $courriel ".
+			' -- '.__FILE__.':'.__LINE__."\n";
+		$infoUtilisateur = $this->bdd->recuperer($requete);
+		$etreAdmin = $this->verifierDroitAdmin($infoUtilisateur['admin']);
+		return $etreAdmin;
+	}
-		$courriels_autorises = explode(',', $admins);
+	private function verifierDroitAdmin($droit) {
-		$autorisation = (in_array($courriel, $courriels_autorises)) ? true : false ;
+		$droitAdmin = $this->conteneur->getParametre('droit_superadmin');
+		$etreAdmin = false;
+		if (isset($droit) && $droit == $droitAdmin) {
+			$etreAdmin = true;
+		}
-		return $autorisation;
+		return $etreAdmin;
+	}
 	private function getAuthIdentifiant() {
 		$id = (isset($_SERVER['PHP_AUTH_USER'])) ? $_SERVER['PHP_AUTH_USER'] : null;
 		return $id;
+	}
 	private function getAuthMotDePasse() {
 		$mdp = (isset($_SERVER['PHP_AUTH_PW'])) ? $_SERVER['PHP_AUTH_PW'] : null;
 		return $mdp;
+	}
 	//TODO: externaliser noms et adresses spécifiques à Tela Botanica
 	private function authentifierAdmin() {
 		$message_accueil = "Veuillez vous identifier avec votre compte administrateur Tela Botanica.";
 		$message_echec = "Accès limité aux administrateurs de DEL.\n".
-					"Votre tentative d'identification a échoué.\n".
+			"Votre tentative d'identification a échoué.\n".
-					"Actualiser la page pour essayer à nouveau si vous êtes bien inscrit comme administrateur.";
+			"Actualiser la page pour essayer à nouveau si vous êtes bien inscrit comme administrateur.";
 		return $this->authentifier($message_accueil, $message_echec, 'Admin');
+	}
 	private function authentifierUtilisateur() {
 		$message_accueil = "Veuillez vous identifier avec votre compte Tela Botanica.";
 		$message_echec = "Accès limité aux utilisateurs de DEL.\n".
-				"Inscrivez vous http://www.tela-botanica.org/page:inscription pour le devenir.\n".
+			"Inscrivez vous http://www.tela-botanica.org/page:inscription pour le devenir.\n".
-				"Votre tentative d'identification a échoué.\n".
+			"Votre tentative d'identification a échoué.\n".
-				"Actualiser la page pour essayer à nouveau si vous êtes déjà inscrit ou contacter 'accueil@tela-botanica.org'.";
+			"Actualiser la page pour essayer à nouveau si vous êtes déjà inscrit ou contacter 'accueil@tela-botanica.org'.";
 		return $this->authentifier($message_accueil, $message_echec, 'Utilisateur');
+	}
 	private function authentifier($message_accueil, $message_echec, $type) {
 		$id = $this->getAuthIdentifiant();
 		if (!isset($id)) {
 			$this->envoyerAuth($message_accueil, $message_echec);
 		} else {
 				$this->envoyerAuth($message_accueil, $message_echec);
+			}
+		}
 		return true;
+	}
+	public function etreUtilisateurAvecDroitAdmin() {
+		$infos = $this->getInfosUtilisateurConnecte();
+		$etreAdmin = false;
+		if (isset($infos['admin'])) {
+			$etreAdmin = $this->verifierDroitAdmin($infos['admin']);
+		}
+		return $etreAdmin;
+	}
 	public function getInfosUtilisateurConnecte() {
+		$utilisateur = array();
-		if(isset($_COOKIE["del_courriel"])) {
+		if (isset($_COOKIE['del_courriel'])) {
-			$utilisateur = array('del_courriel' => $_COOKIE["del_courriel"],
+			$courriel = $_COOKIE['del_courriel'];
-								'del_mot_de_passe' => $_COOKIE["del_mot_de_passe"]);
+			$motDePasse = $_COOKIE['del_mot_de_passe'];
-			$utilisateur = $this->obtenirUtilisateurSansEncryptionMdp($utilisateur['del_courriel'], $utilisateur['del_mot_de_passe']);
+			$utilisateur = $this->obtenirUtilisateurSansEncryptionMdp($courriel, $motDePasse);
+			if ($utilisateur == false) {
+				$message = "Vos login et/ou mot de passe ne sont pas corrects !\n";
+				$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
+				throw new Exception($message, $code);
+			}
+		} else {
+			$message = "Vous n'êtes pas identifié à DEL et/ou le cookie de DEL n'est pas accessible !\n";
+			$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
+			throw new Exception($message, $code);
+		}
 		return $utilisateur;
+	}
+	private function obtenirUtilisateurSansEncryptionMdp($login, $motDePasseEncrypte) {
+		$login = $this->bdd->proteger($login);
+		$motDePasseEncrypte = $this->bdd->proteger($motDePasseEncrypte);
+		$requete = 'SELECT du.*, dui.* '.
+			'FROM del_utilisateur AS du '.
+			'	LEFT JOIN del_utilisateur_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '.
+			"WHERE du.courriel = $login ".
+			"	AND du.mot_de_passe = $motDePasseEncrypte ".
+			' -- '.__FILE__.':'.__LINE__."\n";
+		$utilisateur = $this->bdd->recuperer($requete);
+		return $utilisateur;
+	}
 	public function getIdAnonymeTemporaire() {
 		$this->demarrerSession();
 		return session_id();
+	}
 	private function demarrerSession() {
-		if(session_id() == '') {
+		if (session_id() == '') {
-			// modifier ce test lors du passage en php 5.4
+			// TODO : modifier ce test lors du passage en php 5.4
 			session_start();
+		}
+	}
+}

Subversion Repositories eFlore/Applications.del

(root)//trunk/services/bibliotheque/ControleAcces.php – Rev 1478 → 1606