WebSVN – eFlore/Applications.del – Diff – /trunk/services/bibliotheque/ControleAcces.php

 <?php
 // declare(encoding='UTF-8');
 /**
- * Classe de controle d'accès aux services de DEL.
+ * Classe de controle d'accès HTTP AUTH aux services de DEL, à n'utiliser
+ * que dans ce cas (HTTP AUTH), et pas dans le cas de l'identification générale sur le SSO
+ *
  * Cette classe propose des méthodes permettant :
- *  - l'authentification http pour bloquer ou autoriser l'accès
+ *  - l'authentification HTTP pour bloquer ou autoriser l'accès
- *  - de déterminer les droits des utilisateurs
+ *  - de déterminer le statut d'admin des utilisateurs
+ *
  * @category  DEL
  * @package   Services
  * @package   Bibliotheque
  * @version   0.1
  * @license   CECILL v2 <http://www.cecill.info/licences/Licence_CeCILL_V2-en.txt>
  * @copyright 1999-2014 Tela Botanica <accueil@tela-botanica.org>
  */
 class ControleAcces {
-	private $conteneur;
+	protected $conteneur;
-	private $bdd;
+	protected $bdd;
 	public function __construct($conteneur) {
 		$this->conteneur = $conteneur;
+		$this->bdd = $this->conteneur->getBdd();
+	}
+	/**
+	 * Vérifie que l'IP du client est dans la liste "ip_autorisees" de la config
-		$this->bdd = $this->conteneur->getBdd();
+	 * @throws Exception
 	 * @return boolean
 	 */
 	public function controlerIpAutorisees() {
+			}
+		}
 		return true;
+	}
+	/**
+	 * Exige qu'un administrateur s'autenthentifie à l'aide de HTTP AUTH
 	 */
 	public function demanderAuthentificationAdmin() {
 		if (!$this->etreAdminAutoriseParHttp()) {
 			$this->authentifierAdmin();
+		}
+	}
+	/**
 	 * Exige qu'un utilisateur s'autenthentifie à l'aide de HTTP AUTH
 	 */
 	public function demanderAuthentificationUtilisateur() {
 		if (!$this->etreUtilisateurAutoriseParHttp()) {
 			$this->authentifierUtilisateur();
+		}
+	}
+	/**
+	 * Lit les entêtes HTTP AUTH et vérifie si l'utilisateur
+	 * existe (courriel / mot de passe); si $doitEtreAdmin est true,
+	 * vérifiera également que l'utilisateur est administrateur de Del
-		}
+	 *
 	 * @return boolean true si l'utilisateur est identifié, false sinon
 	 */
-	private function etreUtilisateurAutoriseParHttp() {
+	protected function etreUtilisateurAutoriseParHttp($doitEtreAdmin=false) {
 		$identifiant = $this->getAuthIdentifiant();
-		$mdp = $this->getAuthMotDePasse();
-		$existe = $this->obtenirUtilisateur($identifiant, $mdp);
-		$autorisation = (isset($existe) && $existe) ? true :false;
-		return $autorisation;
-	}
-	private function obtenirUtilisateur($login, $motDePasse) {
-		$login = $this->bdd->proteger($login);
-		$motDePasse = $this->bdd->proteger($motDePasse);
-		$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe '.
-			'FROM del_utilisateur AS du '.
-			"WHERE courriel = $login ".
-			"	AND mot_de_passe = MD5($motDePasse) ".
-			' -- '.__FILE__.':'.__LINE__."\n";
+		$mdp = $this->getAuthMotDePasse();
-		$utilisateur = $this->bdd->recuperer($requete);
+		$existe = $this->obtenirUtilisateur($identifiant, $mdp);
-		return $utilisateur;
 		$autorisation = (isset($existe) && $existe) ? true :false; // c'est quoi ces tests de clodos ??
-	private function etreAdminAutoriseParHttp() {
-		$identifiant = $this->getAuthIdentifiant();
-		$autorisation = ($this->etreAdmin($identifiant) && $this->etreUtilisateurAutorise()) ? true : false;
+		if ($doitEtreAdmin === true) {
-		return $autorisation;
+			$autorisation = ($autorisation && $this->etreAdmin($identifiant));
-	}
+		}
-	private function etreAdmin($courriel) {
-		$courriel = $this->bdd->proteger($courriel);
+		return $autorisation;
-		$requete = 'SELECT dui.admin '.
+	}
-			'FROM del_utilisateur AS du LEFT JOIN del_user_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '.
-			"WHERE du.courriel = $courriel ".
-			' -- '.__FILE__.':'.__LINE__."\n";
-		$infoUtilisateur = $this->bdd->recuperer($requete);
+	/**
+	 * Lit les entêtes HTTP AUTH et vérifie que l'utilisateur est identifié
-		$etreAdmin = $this->verifierDroitAdmin($infoUtilisateur['admin']);
-		return $etreAdmin;
-	}
-	private function verifierDroitAdmin($droit) {
-		$droitAdmin = $this->conteneur->getParametre('droit_superadmin');
+	 * et est administrateur de Del
+	 *
+	 * @return boolean true si l'utilisateur est identifié et admin de Del, false sinon
+	 */
+	protected function etreAdminAutoriseParHttp() {
-		$etreAdmin = false;
+		return $this->etreUtilisateurAutoriseParHttp(true);
 		if (isset($droit) && $droit == $droitAdmin) {
 			$etreAdmin = true;
 	/**
+	 * Lit l'identifiant utilisateur dans les entêtes HTTP AUTH
+	 * @return String l'identifiant utilisateur ou null
+	 */
+	protected function getAuthIdentifiant() {
-		return $etreAdmin;
+		$id = (isset($_SERVER['PHP_AUTH_USER'])) ? $_SERVER['PHP_AUTH_USER'] : null;
 		return $id;
+	}
 	private function getAuthIdentifiant() {
+	/**
+	 * Lit le mot de passe dans les entêtes HTTP AUTH
+	 * @return String le mot de passe ou null
-		$id = (isset($_SERVER['PHP_AUTH_USER'])) ? $_SERVER['PHP_AUTH_USER'] : null;
+	 */
+	protected function getAuthMotDePasse() {
+		$mdp = (isset($_SERVER['PHP_AUTH_PW'])) ? $_SERVER['PHP_AUTH_PW'] : null;
-		return $id;
+		return $mdp;
+	}
-	private function getAuthMotDePasse() {
+	/**
-		$mdp = (isset($_SERVER['PHP_AUTH_PW'])) ? $_SERVER['PHP_AUTH_PW'] : null;
+	 * Envoie un message HTTP 401 / une boîte de login HTTP AUTH avec des
-		return $mdp;
+	 * messages correspondant à la demande d'authentification d'un administrateur
 	 * TODO: externaliser noms et adresses spécifiques à Tela Botanica
+	 * @return boolean
+	 */
+	protected function authentifierAdmin() {
+		$message_accueil = "Veuillez vous identifier avec votre compte administrateur Tela Botanica.";
+		$message_echec = "Accès limité aux administrateurs de DEL.\n".
+			"Votre tentative d'identification a échoué.\n".
+			"Actualiser la page pour essayer à nouveau si vous êtes bien inscrit comme administrateur.";
-	//TODO: externaliser noms et adresses spécifiques à Tela Botanica
+		return $this->authentifier($message_accueil, $message_echec, 'Admin');
 	private function authentifierAdmin() {
 		$message_accueil = "Veuillez vous identifier avec votre compte administrateur Tela Botanica.";
-		$message_echec = "Accès limité aux administrateurs de DEL.\n".
+	/**
-			"Votre tentative d'identification a échoué.\n".
+	 * Envoie un message HTTP 401 / une boîte de login HTTP AUTH avec des
-			"Actualiser la page pour essayer à nouveau si vous êtes bien inscrit comme administrateur.";
+	 * messages correspondant à la demande d'authentification d'un utilisateur
-		return $this->authentifier($message_accueil, $message_echec, 'Admin');
+	 * TODO: externaliser noms et adresses spécifiques à Tela Botanica
+	 * @return boolean
+	 */
+	protected function authentifierUtilisateur() {
+		$message_accueil = "Veuillez vous identifier avec votre compte Tela Botanica.";
-	}
+		$message_echec = "Accès limité aux utilisateurs de DEL.\n".
 			"Inscrivez vous http://www.tela-botanica.org/page:inscription pour le devenir.\n".
-	private function authentifierUtilisateur() {
+			"Votre tentative d'identification a échoué.\n".
-		$message_accueil = "Veuillez vous identifier avec votre compte Tela Botanica.";
+			"Actualiser la page pour essayer à nouveau si vous êtes déjà inscrit ou contacter 'accueil@tela-botanica.org'.";
-		$message_echec = "Accès limité aux utilisateurs de DEL.\n".
+		return $this->authentifier($message_accueil, $message_echec, 'Utilisateur');
 			"Inscrivez vous http://www.tela-botanica.org/page:inscription pour le devenir.\n".
+			}
+		}
 		return true;
+	}
-	public function etreUtilisateurAvecDroitAdmin() {
-		$infos = $this->getInfosUtilisateurConnecte();
+	/**
-		$etreAdmin = false;
+	 * Envoie un message HTTP 401 / une boîte de login HTTP AUTH
-		if (isset($infos['admin'])) {
+	 * @param string $message_accueil
-			$etreAdmin = $this->verifierDroitAdmin($infos['admin']);
+	 * @param string $message_echec
-		}
+	 */
+	private function envoyerAuth($message_accueil, $message_echec) {
-		if ($etreAdmin == false) {
+		header('HTTP/1.0 401 Unauthorized');
-			$message = "Vous ne pouvez pas accéder à ce service car vous n'avez pas les droits d'administrateur !\n";
+		header('WWW-Authenticate:  realm="'.mb_convert_encoding($message_accueil, 'ISO-8859-1', 'UTF-8').'"');
-			$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
+		header('Content-type: text/plain; charset=UTF-8');
-			throw new Exception($message, $code);
-		}
+		print $message_echec;
-		return $etreAdmin;
+		exit(0);
 	}
+	/**
-	public function getInfosUtilisateurConnecte() {
-		$utilisateur = array();
-		if (isset($_COOKIE['del_courriel'])) {
-			$courriel = $_COOKIE['del_courriel'];
+	 * Authentifie et récupère un utilisateur directement depuis la table des
-			$motDePasse = $_COOKIE['del_mot_de_passe'];
+	 * utilisateurs Del, utile pour l'authentification HTTP AUTH - ne pas
-			$utilisateur = $this->obtenirUtilisateurSansEncryptionMdp($courriel, $motDePasse);
+	 * utiliser pour les services Del qui doivent être branchés au SSO
-		}
-		return $utilisateur;
-	}
+	 */
-	private function obtenirUtilisateurSansEncryptionMdp($login, $motDePasseEncrypte) {
+	protected function obtenirUtilisateur($login, $motDePasse) {
 		$login = $this->bdd->proteger($login);
-		$motDePasseEncrypte = $this->bdd->proteger($motDePasseEncrypte);
+		$motDePasse = $this->bdd->proteger($motDePasse);
-		$requete = 'SELECT du.*, admin, preferences, date_premiere_utilisation '.
+		$requete = 'SELECT id_utilisateur, nom, prenom, courriel, mot_de_passe '.
-			'FROM del_utilisateur AS du '.
-			'	LEFT JOIN del_utilisateur_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '.
+			'FROM del_utilisateur AS du '.
-			"WHERE du.courriel = $login ".
+			"WHERE courriel = $login ".
-			"	AND du.mot_de_passe = $motDePasseEncrypte ".
+			"	AND mot_de_passe = MD5($motDePasse) ".
 			' -- '.__FILE__.':'.__LINE__."\n";
 		$utilisateur = $this->bdd->recuperer($requete);
 		return $utilisateur;
+	}
+	/**
+	 * Vérifie dans la table des utilisateurs Del qu'un utilisateur
+	 * (identifié par son courriel) est administrateur de Del
+	 *
+	 * @param string $courriel
-	}
+	 * @return boolean true si l'utilisateur est administrateur de Del, false sinon
+	 */
+	protected function etreAdmin($courriel) {
+		$courriel = $this->bdd->proteger($courriel);
+		$requete = 'SELECT dui.admin '.
+			'FROM del_utilisateur AS du LEFT JOIN del_user_infos AS dui ON (du.id_utilisateur = dui.id_utilisateur) '.
+			"WHERE du.courriel = $courriel ".
+			' -- '.__FILE__.':'.__LINE__."\n";
+		$infoUtilisateur = $this->bdd->recuperer($requete);
-	public function getIdAnonymeTemporaire() {
-		$this->demarrerSession();
+		$etreAdmin = $this->verifierDroitAdmin($infoUtilisateur['admin']);
+		return $etreAdmin;
+	}
+	/**
+	 * Vérifie que la valeur "admin" d'un profil utilisateur correspond à la valeur
+	 * attendue dans la config
-		return session_id();
+	 *
+	 * @return true si sébon, false si sépabon
-	}
+	 */
+	protected function verifierDroitAdmin($droit) {
-	private function demarrerSession() {
+		$droitAdmin = $this->conteneur->getParametre('droit_superadmin');
-		if (session_id() == '') {
+		$etreAdmin = false;
+		if (isset($droit) && $droit == $droitAdmin) {
-			// TODO : modifier ce test lors du passage en php 5.4
+			$etreAdmin = true;
+		}
-			session_start();
+		return $etreAdmin;
+	}

Subversion Repositories eFlore/Applications.del

(root)/trunk/services/bibliotheque/ControleAcces.php – Rev 1815 → 2077