WebSVN – Applications.annuaire – Diff – /trunk/jrest/services/Auth.php

 	 * méthodes de l'annuaire
 	 */
 	protected function deconnexion() {
 		// suppression du cookie
 		$this->detruireCookie();
-		// envoi d'un jeton vide @TODO évaluer cette méthode
+		// envoi d'un jeton null
-		// par rapport à renvoyer simplement NULL comme jeton
-		/*$jetonVide = array(
-			"iss" => "https://www.tela-botanica.org",
-			"sub" => null, // id utilisateur - ou courriel ?
-			"iat" => time(),
-			"exp" => time(), // @TODO trouver mieux
-			"scopes" => array("tela-botanica.org")
-		);
-		$jwt = JWT::encode($jetonVide, $this->clef);*/
 		$jwt = null;
 		$this->envoyerJson(array(
 			"session" => false,
 			"token" => $jwt,
 			"token_id" => $this->nomCookie
 		));
+	}
 	/**
 	 * Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
-	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide
+	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,
+	 * header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie
-	 * ou jeton valide); renvoie une erreur si le cookie et/ou le jeton sont expirés;
+	 * et/ou le jeton sont expirés;
 	 * cela permet en théorie de forger des cookies avec des jetons expirés pour se les
 	 * faire rafraîchir franduleusement, mais le canal HTTPS fait qu'un client ne peut
 	 * être en possession que de ses propres jetons... au pire on peut se faire prolonger
 	 * à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour
-	 * Le cookie est prioritaire sur le paramètre "token" @TODO vérifier cette stratégie
+	 * Priorité : cookie > headers > paramètre "token" @TODO vérifier cette stratégie
 	 */
 	protected function identite() {
 		$cookieAvecJetonValide = false;
 		$jetonRetour = null;
 				$erreur = "invalid token in cookie";
+			}
+		}
 		// si le cookie n'existait pas ou ne contenait pas un jeton
 		if (! $cookieAvecJetonValide) {
+			// lire jeton depuis header ou paramètre
+			$jwt = $this->lireJetonDansHeader();
+			if ($jwt == null) {
-			// lire jeton
+				// dernière chance
-			$jwt = $this->getParam('token');
+				$jwt = $this->getParam('token');
+			}
+			// toutes les possibilités ont été essayées
 			if ($jwt != null) {
 				try {
 					// rafraîchir jeton si non expiré
 					$jetonRetour = $this->rafraichirJeton($jwt);
 				} catch (Exception $e) {
 					// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
-					$erreur = "invalid or expired token in parameter";
+					$erreur = "invalid or expired token in header or parameter";
+				}
 			} else {
 				// pas de jeton valide passé en paramètre
-				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie; invalid or expired token in parameter");
+				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in header or parameter");
+			}
+		}
 		// renvoi jeton
 		if ($jetonRetour === null) {
 			$this->erreur($erreur);
 		return $jwt;
+	}
+	/**
+	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par
+	 * défaut "Authorization")
+	 *
+	 * @param string $nomHeader nom de l'entête dans lequel chercher le jeton
+	 * @return String un jeton JWT ou null
+	 */
+	protected function lireJetonDansHeader($nomHeader="Authorization") {
+		$jwt = null;
+		$headers = apache_request_headers();
+		if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {
+			$jwt = $headers[$nomHeader];
+		}
+		return $jwt;
+	}
 	/**
 	 * Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
 	 * contenant $valeur
+	 *

Subversion Repositories Applications.annuaire

(root)/trunk/jrest/services/Auth.php – Rev 543 → 544