WebSVN – Applications.annuaire – Diff – /branches/v1.4-baleine/jrest/services/Auth.php


<?php
 
// composer
require_once '../vendor/autoload.php';
 
/**
 * Tentative de service d'authentification / SSO bien organisé
 * SSO - Mettez un tigre dans votre annuaire !
 * @author mathias
 * © Tela Botanica 2015
 * 
 * @TODO se baser sur autre chose que JRest qui est obsolète
 */
class Auth extends JRestService {
 
	/** Clef utilisée pour signer les jetons JWT */
	private $clef;
 
	/** Si true, refusera une connexion non-HTTPS */
	protected $forcerSSL = true;
 
	/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */
	protected $dureeJeton = 900;
 
	/** Durée en secondes du cookie */
	protected $dureeCookie = 31536000; // 3600 * 24 * 365
 
	/** Nom du cookie */
	protected $nomCookie = "this_is_not_a_good_cookie_name";
 
	/** Domaine du cookie, voir la doc de set_cookie() */
	protected $domaineCookie = null;
 
	public function __construct($config, $demarrer_session = true) {
		parent::__construct($config, $demarrer_session);
		$this->clef = file_get_contents("clef-auth.ini");
		if (strlen($this->clef) < 16) {
			throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");
		}
		$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");
		$this->dureeJeton = $this->config['auth']['duree_jeton'];
		$this->dureeCookie = $this->config['auth']['duree_cookie'];
		$this->nomCookie = $this->config['auth']['nom_cookie'];
		if (! empty($this->config['auth']['domaine_cookie'])) {
			$this->domaineCookie = $this->config['auth']['domaine_cookie'];
		}
	}
 
	/**
	 * Notice d'utilisation succincte
	 * @TODO essayer de choisir entre anglais et français
	 */
	protected function infosService() {
		$uri = $this->config['settings']['baseAlternativeURL'];
		if ($uri == '') {
			$uri = $this->config['settings']['baseURL'];
		}
		$uri = $uri . "auth/";
 
		$infos = array(
			'service' => 'TelaBotanica/annuaire/auth',
			'methodes' => array(
				'connexion' => array(
					"uri" => $uri . "connexion",
					"parametres" => array(
						"login" => "adresse email (ex: name@domain.com)",
						"password" => "mot de passe"
					),
					"alias" => $uri . "login",
					"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie
				),
				'deconnexion' => array(
					"uri" => $uri . "deconnexion",
					"parametres" => null,
					"alias" => $uri . "logout",
					"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie
				),
				'identite' => array(
					"uri" => $uri . "identite",
					"parametres" => array(
						"token" => "jeton JWT (facultatif)",
					),
					"alias" => array(
						$uri . "identity",
						$uri . "rafraichir",
						$uri . "refresh"
					),
					"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"
				),
				'verifierjeton' => array(
					"uri" => $uri . "verifierjeton",
					"parametres" => array(
						"token" => "jeton JWT",
					),
					"alias" => $uri . "verifytoken",
					"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"
				)
			)
		);
		$this->envoyerJson($infos);
	}
 
	/**
	 * Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);
	 * les paramètres GET sont ignorés
	 */
	public function getRessource() {
		//echo "get ressource\n";
		$this->infosService();
	}
 
	/**
	 * Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);
	 * les paramètres GET sont ignorés
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function getElement($ressources) {
		// Achtétépéèch portouguech lolch
		$this->verifierSSL();
		// le premier paramètre d'URL définit la méthode (non-magique)
		if (count($ressources) > 0) {
			switch ($ressources[0]) {
				case 'login':
				case 'connexion':
					$this->connexion($ressources);
					break;
				case 'logout':
				case 'deconnexion':
					$this->deconnexion();
					break;
				case 'identity':
				case 'identite':
				case 'rafraichir':
				case 'refresh':
					$this->identite();
					break;
				case 'verifytoken':
				case 'verifierjeton':
					$this->verifierJeton();
					break;
				case 'info':
				default:
					$this->infosService();
			}
		}
	}
 
	/**
	 * Lors d'un POST avec au moins une donnée dans le body (data);
	 * les paramètres GET sont ignorés
	 * @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET
	 * 
	 * @param array $ressources les éléments d'URL
	 * @param array $pairs les paramètres POST
	 */
	public function updateElement($ressources, $pairs) {
		//echo "update element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins
	 * un élément d'URL; dans tous les cas les paramètres GET sont ignorés
	 * 
	 * @param array $pairs les paramètres POST
	 */
	public function createElement($pairs) {
		//echo "create element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un DELETE avec au moins un élément d'URL
	 * @TODO utiliser pour invalider un jeton (nécessite stockage)
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function deleteElement($ressources) {
		//echo "delete element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Vérifie l'identité d'un utilisateur à partir de son courriel et son
	 * mot de passe ou d'un cookie; lui accorde un jeton et un cookie si
	 * tout va bien, sinon renvoie une erreur et détruit le cookie
	 * @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,
	 * le caractère "&" posera problème en GET
	 * 
	 * @param array $ressources non utilisé
	 */
	protected function connexion($ressources) {
		$login = $this->getParam('login');
		$password = $this->getParam('password', null);
		if ($login == '' || $password == '') {
			$this->erreur("parameters <login> and <password> required");
		}
		// vérification login / password
		$acces = $this->verifierAcces($login, $password);
		if ($acces === false) {
			$this->detruireCookie();
			// redirection si demandée - se charge de sortir du script en cas de succès
			$this->rediriger();
			// si la redirection n'a pas eu lieu
			$this->erreur("authentication failed", 401);
		}
		// infos utilisateur
		$util = new Utilisateur($this->config);
		$infos = $util->getIdentiteParCourriel($login);
		// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase
		$login = strtolower($login);
		if (count($infos) == 0 || empty($infos[$login])) {
			// redirection si demandée - se charge de sortir du script en cas de succès
			$this->rediriger();
			// si la redirection n'a pas eu lieu
			$this->erreur("could not get user info");
		}
		// nom Wiki
		$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");
		// date de dernière modification du profi
		$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);
		$infos[$login]['dateDerniereModif'] = $dateDerniereModif;
		// création du jeton
		$jwt = $this->creerJeton($login, $infos[$login]);
		// création du cookie
		$this->creerCookie($jwt);
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger($jwt);
		// envoi
		$this->envoyerJson(array(
			"session" => true,
			"token" => $jwt,
			"duration" => intval($this->dureeJeton),
			"token_id" => $this->nomCookie,
			"last_modif" => $infos[$login]['dateDerniereModif']
		));
	}
 
	/**
	 * Détruit le cookie et renvoie un jeton vide ou NULL - le client
	 * devrait toujours remplacer son jeton par celui renvoyé par les
	 * méthodes de l'annuaire
	 */
	protected function deconnexion() {
		// suppression du cookie
		$this->detruireCookie();
		// envoi d'un jeton null
		$jwt = null;
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger();
		// si la redirection n'a pas eu lieu
		$this->envoyerJson(array(
				"session" => false,
				"token" => $jwt,
				"token_id" => $this->nomCookie
		));
	}
 
	/**
	 * Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,
	 * header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie
	 * et/ou le jeton sont expirés;
	 * cela permet en théorie de forger des cookies avec des jetons expirés pour se les
	 * faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut
	 * être en possession que de ses propres jetons... au pire on peut se faire prolonger
	 * à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour
	 * Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette
	 * stratégie, l'inverse est peut-être plus malin
	 */
	protected function identite() {
		$cookieAvecJetonValide = false;
		$jetonRetour = null;
		$erreur = '';
		// lire cookie
		if (isset($_COOKIE[$this->nomCookie])) {
			$jwt = $_COOKIE[$this->nomCookie];
			try {
				// rafraîchir jeton quelque soit son état - "true" permet
				// d'ignorer les ExpiredException (on rafraîchit le jeton
				// expiré car le cookie est encore valide)
				$jetonRetour = $this->rafraichirJeton($jwt, true);
				// on ne tentera pas de lire un jeton fourni en paramètre
				$cookieAvecJetonValide = true;
			} catch (Exception $e) {
				// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)
				// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)
				$erreur = "invalid token in cookie";
			}
		}
		// si le cookie n'existait pas ou ne contenait pas un jeton
		if (! $cookieAvecJetonValide) {
			// lire jeton depuis header ou paramètre
			$jwt = $this->lireJetonDansHeader();
			if ($jwt == null) {
				// dernière chance
				$jwt = $this->getParam('token');
			}
			// toutes les possibilités ont été essayées
			if ($jwt != null) {
				try {
					// rafraîchir jeton si non expiré
					$jetonRetour = $this->rafraichirJeton($jwt);
				} catch (Exception $e) {
					// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
					$erreur = "invalid or expired token in Authorization header or parameter <token>";
				}
			} else {
				// pas de jeton valide passé en paramètre
				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");
			}
		}
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger($jetonRetour);
		// renvoi jeton
		if ($jetonRetour === null) {
			$this->erreur($erreur);
		} else {
			$this->envoyerJson(array(
					"session" => true,
					"token" => $jetonRetour,
					"duration" => intval($this->dureeJeton),
					"token_id" => $this->nomCookie
			));
		}
	}
 
	/**
	 * Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;
	 * sinon, ne fait rien et passe la main
	 * 
	 * @param string $jetonRetour jeton JWT à passer à l'URL de destination
	 * en GET; par défaut null
	 */
	protected function rediriger($jetonRetour=null) {
		if (!empty($_GET['redirect_url'])) {
			// dans le cas où une url de redirection est précisée,
			// on précise le jeton dans le get
			$url_redirection = $_GET['redirect_url'];
 
			// même si le jeton est vide, on ajoute un paramètre GET Authorization
			// pour spécifier à la cible qu'on a bien traité sa requête - permet
			// aussi de gérer les déconnexions en renvoyant un jeton vide
			$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';
			$url_redirection .= $separateur.'Authorization='.$jetonRetour;
 
			// retour à l'envoyeur !
			header('Location: '.$url_redirection);
			exit;
		}
	}
 
	/**
	 * Vérifie si un jeton est valide; retourne true si oui, une erreur avec
	 * des détails si non;
	 * Priorité : header "Authorization" > paramètre "token"
	 */
	protected function verifierJeton() {
		// vérifie que le jeton provient bien d'ici,
		// et qu'il est encore valide (date)
		$jwt = $this->lireJetonDansHeader();
		if ($jwt == null) {
			$jwt = $this->getParam('token');
			if ($jwt == '') {
				$this->erreur("parameter <token> or Authorization header required");
			}
		}
		try {
			$jeton = JWT::decode($jwt, $this->clef, array('HS256'));
			$jeton = (array) $jeton;
		} catch (Exception $e) {
			$this->erreur($e->getMessage());
			exit;
		}
		$this->envoyerJson(true);
	}
 
	/**
	 * Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne
	 * une période de validité de $this->dureeJeton; si $ignorerExpiration
	 * vaut true, rafraîchira le jeton même s'il a expiré
	 * (attention à ne pas appeler cette méthode n'importe comment !);
	 * jette une exception si le jeton est vide, mal signé ou autre erreur,
	 * ou s'il a expiré et que $ignorerExpiration est différent de true
	 * 
	 * @param string $jwt le jeton JWT
	 * @return string le jeton rafraîchi
	 */
	protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {
		$infos = array();
		// vérification avec lib JWT
		try {
			$infos = JWT::decode($jwt, $this->clef, array('HS256'));
			$infos = (array) $infos;
		} catch (ExpiredException $e) {
			if ($ignorerExpiration === true) {
				// on se fiche qu'il soit expiré
				// décodage d'un jeton expiré 
				// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),
				// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !
				$infos = $this->decoderJetonExpireManuellement($jwt);
			} else {
				// on renvoie l'exception plus haut
				throw $e;
			}
		}
		// vérification des infos
		if (empty($infos['sub'])) {
			// jeton vide (wtf?)
			throw new Exception("empty token (no <sub>)");
		}
		// rafraîchissement
		$infos['exp'] = time() + $this->dureeJeton;
		$jwtSortie = JWT::encode($infos, $this->clef);
 
		return $jwtSortie;
	}
 
	/**
	 * Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU
	 * SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton
	 * correct (vérifié avec la lib JWT) mais expiré !
	 * 
	 * @param string $jwt un jeton vérifié comme valide, mais expiré
	 */
	protected function decoderJetonExpireManuellement($jwt) {
		$parts = explode('.', $jwt);
		$payload = $parts[1];
		$payload = base64_decode($payload);
		$payload = json_decode($payload, true);
 
		return $payload;
	}
 
	/**
	 * Crée un jeton JWT signé avec la clef
	 * 
	 * @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon
	 * @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton
	 * @param array $donnees les données à ajouter au jeton (infos utilisateur)
	 * 
	 * @return string un jeton JWT signé
	 */
	protected function creerJeton($sub, $donnees=array(), $exp=null) {
		if ($exp === null) {
			$exp = time() + $this->dureeJeton;
		}
		$jeton = array(
			"iss" => "https://www.tela-botanica.org",
			"token_id" => $this->nomCookie,
			//"aud" => "http://example.com",
			"sub" => $sub,
			"iat" => time(),
			"exp" => $exp,
			//"nbf" => time() + 60,
			"scopes" => array("tela-botanica.org")
		);
		if (! empty($donnees)) {
			$jeton = array_merge($jeton, $donnees);
		}
		$jwt = JWT::encode($jeton, $this->clef);
 
		return $jwt;
	}
 
	/**
	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par
	 * défaut "Authorization")
	 * 
	 * @param string $nomHeader nom de l'entête dans lequel chercher le jeton
	 * @return String un jeton JWT ou null
	 */
	protected function lireJetonDansHeader($nomHeader="Authorization") {
		$jwt = null;
		$headers = apache_request_headers();
		if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {
			$jwt = $headers[$nomHeader];
		}
		return $jwt;
	}
 
	/**
	 * Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
	 * contenant $valeur
	 * 
	 * @param string $valeur le contenu du cookie (de préférence un jeton JWT)
	 */
	protected function creerCookie($valeur) {
		setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', $this->domaineCookie, true);
	}
 
	/**
	 * Renvoie le cookie avec une valeur vide et une date d'expiration dans le
	 * passé, afin que le navigateur le détruise au prochain appel
	 * @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie
	 * 
	 * @param string $valeur la valeur du cookie, par défaut ""
	 */
	protected function detruireCookie() {
		setcookie($this->nomCookie, "", -1, '/', $this->domaineCookie, true);
	}
 
	// ---------------- Méthodes à génériciser ci-dessous ----------------------------------
 
	/**
	 * Message succinct pour méthodes / actions non implémentées
	 */
	protected function nonImplemente() {
		$this->erreur("not implemented");
	}
	
	/**
	 * Si $this->forcerSSL vaut true, envoie une erreur et termine le programme si SSL n'est pas utilisé
	 */
	protected function verifierSSL() {
		if ($this->forcerSSL === true) {
			if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == 'off') {
				$this->erreur("HTTPS required");
				exit;
			}
		}
	}
 
	protected function getParamChain($names) {
		if (! is_array($names)) {
			// Hou ? (cri de chouette solitaire)
		}
	}
 
	/**
	 * Capture un paramètre de requête ($_REQUEST)
	 * 
	 * @param string $name nom du paramètre à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_REQUEST[$name])) {
			if ($traiterVideCommeDefaut === false || $_REQUEST[$name] !== '') {
				$ret = $_REQUEST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre GET
	 * 
	 * @param string $name nom du paramètre GET à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getGetParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_GET[$name])) {
			if ($traiterVideCommeDefaut === false || $_GET[$name] !== '') {
				$ret = $_GET[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre POST
	 * 
	 * @param string $name nom du paramètre POST à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getPostParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_POST[$name])) {
			if ($traiterVideCommeDefaut === false || $_POST[$name] !== '') {
				$ret = $_POST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Envoie une erreur HTTP $code (400 par défaut) avec les données $data en JSON
	 * 
	 * @param mixed $data données JSON de l'erreur - généralement array("error" => "raison de l'erreur") - si
	 * 		seule une chaîne est transmise, sera convertie en array("error" => $data)
	 * @param number $code code HTTP de l'erreur, par défaut 400 (bad request)
	 * @param boolean $exit si true (par défaut), termine le script après avoir envoyé l'erreur
	 */
	protected function erreur($data, $code=400, $exit=true) {
		if (! is_array($data)) {
			$data = array(
				"error" => $data
			);
		}
		http_response_code($code);
		$this->envoyerJson($data);
		if ($exit === true) {
			exit;
		}
	}
}
 
/**
 * Mode moderne pour PHP < 5.4
 */
if (!function_exists('http_response_code')) {
	function http_response_code($code = NULL) {
		if ($code !== NULL) {
			switch ($code) {
				case 100: $text = 'Continue'; break;
				case 101: $text = 'Switching Protocols'; break;
				case 200: $text = 'OK'; break;
				case 201: $text = 'Created'; break;
				case 202: $text = 'Accepted'; break;
				case 203: $text = 'Non-Authoritative Information'; break;
				case 204: $text = 'No Content'; break;
				case 205: $text = 'Reset Content'; break;
				case 206: $text = 'Partial Content'; break;
				case 300: $text = 'Multiple Choices'; break;
				case 301: $text = 'Moved Permanently'; break;
				case 302: $text = 'Moved Temporarily'; break;
				case 303: $text = 'See Other'; break;
				case 304: $text = 'Not Modified'; break;
				case 305: $text = 'Use Proxy'; break;
				case 400: $text = 'Bad Request'; break;
				case 401: $text = 'Unauthorized'; break;
				case 402: $text = 'Payment Required'; break;
				case 403: $text = 'Forbidden'; break;
				case 404: $text = 'Not Found'; break;
				case 405: $text = 'Method Not Allowed'; break;
				case 406: $text = 'Not Acceptable'; break;
				case 407: $text = 'Proxy Authentication Required'; break;
				case 408: $text = 'Request Time-out'; break;
				case 409: $text = 'Conflict'; break;
				case 410: $text = 'Gone'; break;
				case 411: $text = 'Length Required'; break;
				case 412: $text = 'Precondition Failed'; break;
				case 413: $text = 'Request Entity Too Large'; break;
				case 414: $text = 'Request-URI Too Large'; break;
				case 415: $text = 'Unsupported Media Type'; break;
				case 500: $text = 'Internal Server Error'; break;
				case 501: $text = 'Not Implemented'; break;
				case 502: $text = 'Bad Gateway'; break;
				case 503: $text = 'Service Unavailable'; break;
				case 504: $text = 'Gateway Time-out'; break;
				case 505: $text = 'HTTP Version not supported'; break;
				case 666: $text = 'Couscous overheat'; break;
				default:
					exit('Unknown http status code "' . htmlentities($code) . '"');
					break;
			}
 
			$protocol = (isset($_SERVER['SERVER_PROTOCOL']) ? $_SERVER['SERVER_PROTOCOL'] : 'HTTP/1.0');
			header($protocol . ' ' . $code . ' ' . $text);
			$GLOBALS['http_response_code'] = $code;
		} else {
			$code = (isset($GLOBALS['http_response_code']) ? $GLOBALS['http_response_code'] : 200);
		}
		return $code;
	}
}

Rev 578	Rev 593
1	`<?php`	1	`<?php`
2		2
3	`// composer`	3	`// composer`
4	`require_once '../vendor/autoload.php';`	4	`require_once '../vendor/autoload.php';`
5		5
6	`/**`	6	`/**`
7	`* Tentative de service d'authentification / SSO bien organisé`	7	`* Tentative de service d'authentification / SSO bien organisé`
8	`* SSO - Mettez un tigre dans votre annuaire !`	8	`* SSO - Mettez un tigre dans votre annuaire !`
9	`* @author mathias`	9	`* @author mathias`
10	`* © Tela Botanica 2015`	10	`* © Tela Botanica 2015`
11	`*`	11	`*`
12	`* @TODO se baser sur autre chose que JRest qui est obsolète`	12	`* @TODO se baser sur autre chose que JRest qui est obsolète`
13	`*/`	13	`*/`
14	`class Auth extends JRestService {`	14	`class Auth extends JRestService {`
15		15
16	`/** Clef utilisée pour signer les jetons JWT */`	16	`/** Clef utilisée pour signer les jetons JWT */`
17	`private $clef;`	17	`private $clef;`
18		18
19	`/** Si true, refusera une connexion non-HTTPS */`	19	`/** Si true, refusera une connexion non-HTTPS */`
20	`protected $forcerSSL = true;`	20	`protected $forcerSSL = true;`
21		21
22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`	22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`
23	`protected $dureeJeton = 900;`	23	`protected $dureeJeton = 900;`
24		24
25	`/** Durée en secondes du cookie */`	25	`/** Durée en secondes du cookie */`
26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`	26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`
27		27
28	`/** Nom du cookie */`	28	`/** Nom du cookie */`
29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`	29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`
-		30
-		31	`/** Domaine du cookie, voir la doc de set_cookie() */`
-		32	`protected $domaineCookie = null;`
30		33
31	`public function __construct($config, $demarrer_session = true) {`	34	`public function __construct($config, $demarrer_session = true) {`
32	`parent::__construct($config, $demarrer_session);`	35	`parent::__construct($config, $demarrer_session);`
33	`$this->clef = file_get_contents("clef-auth.ini");`	36	`$this->clef = file_get_contents("clef-auth.ini");`
34	`if (strlen($this->clef) < 16) {`	37	`if (strlen($this->clef) < 16) {`
35	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`	38	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`
36	`}`	39	`}`
37	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`	40	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`
38	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`	41	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`
39	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`	42	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`
40	`$this->nomCookie = $this->config['auth']['nom_cookie'];`	43	`$this->nomCookie = $this->config['auth']['nom_cookie'];`
-		44	`if (! empty($this->config['auth']['domaine_cookie'])) {`
-		45	`$this->domaineCookie = $this->config['auth']['domaine_cookie'];`
-		46	`}`
41	`}`	47	`}`
42		48
43	`/**`	49	`/**`
44	`* Notice d'utilisation succincte`	50	`* Notice d'utilisation succincte`
45	`* @TODO essayer de choisir entre anglais et français`	51	`* @TODO essayer de choisir entre anglais et français`
46	`*/`	52	`*/`
47	`protected function infosService() {`	53	`protected function infosService() {`
48	`$uri = $this->config['settings']['baseAlternativeURL'];`	54	`$uri = $this->config['settings']['baseAlternativeURL'];`
49	`if ($uri == '') {`	55	`if ($uri == '') {`
50	`$uri = $this->config['settings']['baseURL'];`	56	`$uri = $this->config['settings']['baseURL'];`
51	`}`	57	`}`
52	`$uri = $uri . "auth/";`	58	`$uri = $uri . "auth/";`
53		59
54	`$infos = array(`	60	`$infos = array(`
55	`'service' => 'TelaBotanica/annuaire/auth',`	61	`'service' => 'TelaBotanica/annuaire/auth',`
56	`'methodes' => array(`	62	`'methodes' => array(`
57	`'connexion' => array(`	63	`'connexion' => array(`
58	`"uri" => $uri . "connexion",`	64	`"uri" => $uri . "connexion",`
59	`"parametres" => array(`	65	`"parametres" => array(`
60	`"login" => "adresse email (ex: name@domain.com)",`	66	`"login" => "adresse email (ex: name@domain.com)",`
61	`"password" => "mot de passe"`	67	`"password" => "mot de passe"`
62	`),`	68	`),`
63	`"alias" => $uri . "login",`	69	`"alias" => $uri . "login",`
64	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`	70	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`
65	`),`	71	`),`
66	`'deconnexion' => array(`	72	`'deconnexion' => array(`
67	`"uri" => $uri . "deconnexion",`	73	`"uri" => $uri . "deconnexion",`
68	`"parametres" => null,`	74	`"parametres" => null,`
69	`"alias" => $uri . "logout",`	75	`"alias" => $uri . "logout",`
70	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`	76	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`
71	`),`	77	`),`
72	`'identite' => array(`	78	`'identite' => array(`
73	`"uri" => $uri . "identite",`	79	`"uri" => $uri . "identite",`
74	`"parametres" => array(`	80	`"parametres" => array(`
75	`"token" => "jeton JWT (facultatif)",`	81	`"token" => "jeton JWT (facultatif)",`
76	`),`	82	`),`
77	`"alias" => array(`	83	`"alias" => array(`
78	`$uri . "identity",`	84	`$uri . "identity",`
79	`$uri . "rafraichir",`	85	`$uri . "rafraichir",`
80	`$uri . "refresh"`	86	`$uri . "refresh"`
81	`),`	87	`),`
82	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`	88	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`
83	`),`	89	`),`
84	`'verifierjeton' => array(`	90	`'verifierjeton' => array(`
85	`"uri" => $uri . "verifierjeton",`	91	`"uri" => $uri . "verifierjeton",`
86	`"parametres" => array(`	92	`"parametres" => array(`
87	`"token" => "jeton JWT",`	93	`"token" => "jeton JWT",`
88	`),`	94	`),`
89	`"alias" => $uri . "verifytoken",`	95	`"alias" => $uri . "verifytoken",`
90	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`	96	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`
91	`)`	97	`)`
92	`)`	98	`)`
93	`);`	99	`);`
94	`$this->envoyerJson($infos);`	100	`$this->envoyerJson($infos);`
95	`}`	101	`}`
96		102
97	`/**`	103	`/**`
98	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`	104	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`
99	`* les paramètres GET sont ignorés`	105	`* les paramètres GET sont ignorés`
100	`*/`	106	`*/`
101	`public function getRessource() {`	107	`public function getRessource() {`
102	`//echo "get ressource\n";`	108	`//echo "get ressource\n";`
103	`$this->infosService();`	109	`$this->infosService();`
104	`}`	110	`}`
105		111
106	`/**`	112	`/**`
107	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`	113	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`
108	`* les paramètres GET sont ignorés`	114	`* les paramètres GET sont ignorés`
109	`*`	115	`*`
110	`* @param array $ressources les éléments d'URL`	116	`* @param array $ressources les éléments d'URL`
111	`*/`	117	`*/`
112	`public function getElement($ressources) {`	118	`public function getElement($ressources) {`
113	`// Achtétépéèch portouguech lolch`	119	`// Achtétépéèch portouguech lolch`
114	`$this->verifierSSL();`	120	`$this->verifierSSL();`
115	`// le premier paramètre d'URL définit la méthode (non-magique)`	121	`// le premier paramètre d'URL définit la méthode (non-magique)`
116	`if (count($ressources) > 0) {`	122	`if (count($ressources) > 0) {`
117	`switch ($ressources[0]) {`	123	`switch ($ressources[0]) {`
118	`case 'login':`	124	`case 'login':`
119	`case 'connexion':`	125	`case 'connexion':`
120	`$this->connexion($ressources);`	126	`$this->connexion($ressources);`
121	`break;`	127	`break;`
122	`case 'logout':`	128	`case 'logout':`
123	`case 'deconnexion':`	129	`case 'deconnexion':`
124	`$this->deconnexion();`	130	`$this->deconnexion();`
125	`break;`	131	`break;`
126	`case 'identity':`	132	`case 'identity':`
127	`case 'identite':`	133	`case 'identite':`
128	`case 'rafraichir':`	134	`case 'rafraichir':`
129	`case 'refresh':`	135	`case 'refresh':`
130	`$this->identite();`	136	`$this->identite();`
131	`break;`	137	`break;`
132	`case 'verifytoken':`	138	`case 'verifytoken':`
133	`case 'verifierjeton':`	139	`case 'verifierjeton':`
134	`$this->verifierJeton();`	140	`$this->verifierJeton();`
135	`break;`	141	`break;`
136	`case 'info':`	142	`case 'info':`
137	`default:`	143	`default:`
138	`$this->infosService();`	144	`$this->infosService();`
139	`}`	145	`}`
140	`}`	146	`}`
141	`}`	147	`}`
142		148
143	`/**`	149	`/**`
144	`* Lors d'un POST avec au moins une donnée dans le body (data);`	150	`* Lors d'un POST avec au moins une donnée dans le body (data);`
145	`* les paramètres GET sont ignorés`	151	`* les paramètres GET sont ignorés`
146	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`	152	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`
147	`*`	153	`*`
148	`* @param array $ressources les éléments d'URL`	154	`* @param array $ressources les éléments d'URL`
149	`* @param array $pairs les paramètres POST`	155	`* @param array $pairs les paramètres POST`
150	`*/`	156	`*/`
151	`public function updateElement($ressources, $pairs) {`	157	`public function updateElement($ressources, $pairs) {`
152	`//echo "update element\n";`	158	`//echo "update element\n";`
153	`$this->nonImplemente();`	159	`$this->nonImplemente();`
154	`}`	160	`}`
155		161
156	`/**`	162	`/**`
157	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`	163	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`
158	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`	164	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`
159	`*`	165	`*`
160	`* @param array $pairs les paramètres POST`	166	`* @param array $pairs les paramètres POST`
161	`*/`	167	`*/`
162	`public function createElement($pairs) {`	168	`public function createElement($pairs) {`
163	`//echo "create element\n";`	169	`//echo "create element\n";`
164	`$this->nonImplemente();`	170	`$this->nonImplemente();`
165	`}`	171	`}`
166		172
167	`/**`	173	`/**`
168	`* Lors d'un DELETE avec au moins un élément d'URL`	174	`* Lors d'un DELETE avec au moins un élément d'URL`
169	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`	175	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`
170	`*`	176	`*`
171	`* @param array $ressources les éléments d'URL`	177	`* @param array $ressources les éléments d'URL`
172	`*/`	178	`*/`
173	`public function deleteElement($ressources) {`	179	`public function deleteElement($ressources) {`
174	`//echo "delete element\n";`	180	`//echo "delete element\n";`
175	`$this->nonImplemente();`	181	`$this->nonImplemente();`
176	`}`	182	`}`
177		183
178	`/**`	184	`/**`
179	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`	185	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`
180	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`	186	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`
181	`* tout va bien, sinon renvoie une erreur et détruit le cookie`	187	`* tout va bien, sinon renvoie une erreur et détruit le cookie`
182	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`	188	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`
183	`* le caractère "&" posera problème en GET`	189	`* le caractère "&" posera problème en GET`
184	`*`	190	`*`
185	`* @param array $ressources non utilisé`	191	`* @param array $ressources non utilisé`
186	`*/`	192	`*/`
187	`protected function connexion($ressources) {`	193	`protected function connexion($ressources) {`
188	`$login = $this->getParam('login');`	194	`$login = $this->getParam('login');`
189	`$password = $this->getParam('password', null);`	195	`$password = $this->getParam('password', null);`
190	`if ($login == '' \|\| $password == '') {`	196	`if ($login == '' \|\| $password == '') {`
191	`$this->erreur("parameters <login> and <password> required");`	197	`$this->erreur("parameters <login> and <password> required");`
192	`}`	198	`}`
193	`// vérification login / password`	199	`// vérification login / password`
194	`$acces = $this->verifierAcces($login, $password);`	200	`$acces = $this->verifierAcces($login, $password);`
195	`if ($acces === false) {`	201	`if ($acces === false) {`
196	`$this->detruireCookie();`	202	`$this->detruireCookie();`
197	`// redirection si demandée - se charge de sortir du script en cas de succès`	203	`// redirection si demandée - se charge de sortir du script en cas de succès`
198	`$this->rediriger();`	204	`$this->rediriger();`
199	`// si la redirection n'a pas eu lieu`	205	`// si la redirection n'a pas eu lieu`
200	`$this->erreur("authentication failed", 401);`	206	`$this->erreur("authentication failed", 401);`
201	`}`	207	`}`
202	`// infos utilisateur`	208	`// infos utilisateur`
203	`$util = new Utilisateur($this->config);`	209	`$util = new Utilisateur($this->config);`
204	`$infos = $util->getIdentiteParCourriel($login);`	210	`$infos = $util->getIdentiteParCourriel($login);`
205	`// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase`	211	`// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase`
206	`$login = strtolower($login);`	212	`$login = strtolower($login);`
207	`if (count($infos) == 0 \|\| empty($infos[$login])) {`	213	`if (count($infos) == 0 \|\| empty($infos[$login])) {`
208	`// redirection si demandée - se charge de sortir du script en cas de succès`	214	`// redirection si demandée - se charge de sortir du script en cas de succès`
209	`$this->rediriger();`	215	`$this->rediriger();`
210	`// si la redirection n'a pas eu lieu`	216	`// si la redirection n'a pas eu lieu`
211	`$this->erreur("could not get user info");`	217	`$this->erreur("could not get user info");`
212	`}`	218	`}`
213	`// nom Wiki`	219	`// nom Wiki`
214	`$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");`	220	`$infos[$login]['nomWiki'] = $util->formaterNomWiki($infos[$login], "UnknownWikiName");`
215	`// date de dernière modification du profi`	221	`// date de dernière modification du profi`
216	`$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);`	222	`$dateDerniereModif = $util->getDateDerniereModifProfil($infos[$login]['id'], true);`
217	`$infos[$login]['dateDerniereModif'] = $dateDerniereModif;`	223	`$infos[$login]['dateDerniereModif'] = $dateDerniereModif;`
218	`// création du jeton`	224	`// création du jeton`
219	`$jwt = $this->creerJeton($login, $infos[$login]);`	225	`$jwt = $this->creerJeton($login, $infos[$login]);`
220	`// création du cookie`	226	`// création du cookie`
221	`$this->creerCookie($jwt);`	227	`$this->creerCookie($jwt);`
222	`// redirection si demandée - se charge de sortir du script en cas de succès`	228	`// redirection si demandée - se charge de sortir du script en cas de succès`
223	`$this->rediriger($jwt);`	229	`$this->rediriger($jwt);`
224	`// envoi`	230	`// envoi`
225	`$this->envoyerJson(array(`	231	`$this->envoyerJson(array(`
226	`"session" => true,`	232	`"session" => true,`
227	`"token" => $jwt,`	233	`"token" => $jwt,`
228	`"duration" => intval($this->dureeJeton),`	234	`"duration" => intval($this->dureeJeton),`
229	`"token_id" => $this->nomCookie,`	235	`"token_id" => $this->nomCookie,`
230	`"last_modif" => $infos[$login]['dateDerniereModif']`	236	`"last_modif" => $infos[$login]['dateDerniereModif']`
231	`));`	237	`));`
232	`}`	238	`}`
233		239
234	`/**`	240	`/**`
235	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`	241	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`
236	`* devrait toujours remplacer son jeton par celui renvoyé par les`	242	`* devrait toujours remplacer son jeton par celui renvoyé par les`
237	`* méthodes de l'annuaire`	243	`* méthodes de l'annuaire`
238	`*/`	244	`*/`
239	`protected function deconnexion() {`	245	`protected function deconnexion() {`
240	`// suppression du cookie`	246	`// suppression du cookie`
241	`$this->detruireCookie();`	247	`$this->detruireCookie();`
242	`// envoi d'un jeton null`	248	`// envoi d'un jeton null`
243	`$jwt = null;`	249	`$jwt = null;`
244	`// redirection si demandée - se charge de sortir du script en cas de succès`	250	`// redirection si demandée - se charge de sortir du script en cas de succès`
245	`$this->rediriger();`	251	`$this->rediriger();`
246	`// si la redirection n'a pas eu lieu`	252	`// si la redirection n'a pas eu lieu`
247	`$this->envoyerJson(array(`	253	`$this->envoyerJson(array(`
248	`"session" => false,`	254	`"session" => false,`
249	`"token" => $jwt,`	255	`"token" => $jwt,`
250	`"token_id" => $this->nomCookie`	256	`"token_id" => $this->nomCookie`
251	`));`	257	`));`
252	`}`	258	`}`
253		259
254	`/**`	260	`/**`
255	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`	261	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`
256	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`	262	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`
257	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`	263	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`
258	`* et/ou le jeton sont expirés;`	264	`* et/ou le jeton sont expirés;`
259	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`	265	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`
260	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`	266	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`
261	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`	267	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`
262	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`	268	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`
263	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`	269	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`
264	`* stratégie, l'inverse est peut-être plus malin`	270	`* stratégie, l'inverse est peut-être plus malin`
265	`*/`	271	`*/`
266	`protected function identite() {`	272	`protected function identite() {`
267	`$cookieAvecJetonValide = false;`	273	`$cookieAvecJetonValide = false;`
268	`$jetonRetour = null;`	274	`$jetonRetour = null;`
269	`$erreur = '';`	275	`$erreur = '';`
270	`// lire cookie`	276	`// lire cookie`
271	`if (isset($_COOKIE[$this->nomCookie])) {`	277	`if (isset($_COOKIE[$this->nomCookie])) {`
272	`$jwt = $_COOKIE[$this->nomCookie];`	278	`$jwt = $_COOKIE[$this->nomCookie];`
273	`try {`	279	`try {`
274	`// rafraîchir jeton quelque soit son état - "true" permet`	280	`// rafraîchir jeton quelque soit son état - "true" permet`
275	`// d'ignorer les ExpiredException (on rafraîchit le jeton`	281	`// d'ignorer les ExpiredException (on rafraîchit le jeton`
276	`// expiré car le cookie est encore valide)`	282	`// expiré car le cookie est encore valide)`
277	`$jetonRetour = $this->rafraichirJeton($jwt, true);`	283	`$jetonRetour = $this->rafraichirJeton($jwt, true);`
278	`// on ne tentera pas de lire un jeton fourni en paramètre`	284	`// on ne tentera pas de lire un jeton fourni en paramètre`
279	`$cookieAvecJetonValide = true;`	285	`$cookieAvecJetonValide = true;`
280	`} catch (Exception $e) {`	286	`} catch (Exception $e) {`
281	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`	287	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`
282	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`	288	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`
283	`$erreur = "invalid token in cookie";`	289	`$erreur = "invalid token in cookie";`
284	`}`	290	`}`
285	`}`	291	`}`
286	`// si le cookie n'existait pas ou ne contenait pas un jeton`	292	`// si le cookie n'existait pas ou ne contenait pas un jeton`
287	`if (! $cookieAvecJetonValide) {`	293	`if (! $cookieAvecJetonValide) {`
288	`// lire jeton depuis header ou paramètre`	294	`// lire jeton depuis header ou paramètre`
289	`$jwt = $this->lireJetonDansHeader();`	295	`$jwt = $this->lireJetonDansHeader();`
290	`if ($jwt == null) {`	296	`if ($jwt == null) {`
291	`// dernière chance`	297	`// dernière chance`
292	`$jwt = $this->getParam('token');`	298	`$jwt = $this->getParam('token');`
293	`}`	299	`}`
294	`// toutes les possibilités ont été essayées`	300	`// toutes les possibilités ont été essayées`
295	`if ($jwt != null) {`	301	`if ($jwt != null) {`
296	`try {`	302	`try {`
297	`// rafraîchir jeton si non expiré`	303	`// rafraîchir jeton si non expiré`
298	`$jetonRetour = $this->rafraichirJeton($jwt);`	304	`$jetonRetour = $this->rafraichirJeton($jwt);`
299	`} catch (Exception $e) {`	305	`} catch (Exception $e) {`
300	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`	306	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`
301	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`	307	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`
302	`}`	308	`}`
303	`} else {`	309	`} else {`
304	`// pas de jeton valide passé en paramètre`	310	`// pas de jeton valide passé en paramètre`
305	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`	311	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`
306	`}`	312	`}`
307	`}`	313	`}`
308	`// redirection si demandée - se charge de sortir du script en cas de succès`	314	`// redirection si demandée - se charge de sortir du script en cas de succès`
309	`$this->rediriger($jetonRetour);`	315	`$this->rediriger($jetonRetour);`
310	`// renvoi jeton`	316	`// renvoi jeton`
311	`if ($jetonRetour === null) {`	317	`if ($jetonRetour === null) {`
312	`$this->erreur($erreur);`	318	`$this->erreur($erreur);`
313	`} else {`	319	`} else {`
314	`$this->envoyerJson(array(`	320	`$this->envoyerJson(array(`
315	`"session" => true,`	321	`"session" => true,`
316	`"token" => $jetonRetour,`	322	`"token" => $jetonRetour,`
317	`"duration" => intval($this->dureeJeton),`	323	`"duration" => intval($this->dureeJeton),`
318	`"token_id" => $this->nomCookie`	324	`"token_id" => $this->nomCookie`
319	`));`	325	`));`
320	`}`	326	`}`
321	`}`	327	`}`
322		328
323	`/**`	329	`/**`
324	`* Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;`	330	`* Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;`
325	`* sinon, ne fait rien et passe la main`	331	`* sinon, ne fait rien et passe la main`
326	`*`	332	`*`
327	`* @param string $jetonRetour jeton JWT à passer à l'URL de destination`	333	`* @param string $jetonRetour jeton JWT à passer à l'URL de destination`
328	`* en GET; par défaut null`	334	`* en GET; par défaut null`
329	`*/`	335	`*/`
330	`protected function rediriger($jetonRetour=null) {`	336	`protected function rediriger($jetonRetour=null) {`
331	`if (!empty($_GET['redirect_url'])) {`	337	`if (!empty($_GET['redirect_url'])) {`
332	`// dans le cas où une url de redirection est précisée,`	338	`// dans le cas où une url de redirection est précisée,`
333	`// on précise le jeton dans le get`	339	`// on précise le jeton dans le get`
334	`$url_redirection = $_GET['redirect_url'];`	340	`$url_redirection = $_GET['redirect_url'];`
335		341
336	`// même si le jeton est vide, on ajoute un paramètre GET Authorization`	342	`// même si le jeton est vide, on ajoute un paramètre GET Authorization`
337	`// pour spécifier à la cible qu'on a bien traité sa requête - permet`	343	`// pour spécifier à la cible qu'on a bien traité sa requête - permet`
338	`// aussi de gérer les déconnexions en renvoyant un jeton vide`	344	`// aussi de gérer les déconnexions en renvoyant un jeton vide`
339	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`	345	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`
340	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`	346	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`
341		347
342	`// retour à l'envoyeur !`	348	`// retour à l'envoyeur !`
343	`header('Location: '.$url_redirection);`	349	`header('Location: '.$url_redirection);`
344	`exit;`	350	`exit;`
345	`}`	351	`}`
346	`}`	352	`}`
347		353
348	`/**`	354	`/**`
349	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`	355	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`
350	`* des détails si non;`	356	`* des détails si non;`
351	`* Priorité : header "Authorization" > paramètre "token"`	357	`* Priorité : header "Authorization" > paramètre "token"`
352	`*/`	358	`*/`
353	`protected function verifierJeton() {`	359	`protected function verifierJeton() {`
354	`// vérifie que le jeton provient bien d'ici,`	360	`// vérifie que le jeton provient bien d'ici,`
355	`// et qu'il est encore valide (date)`	361	`// et qu'il est encore valide (date)`
356	`$jwt = $this->lireJetonDansHeader();`	362	`$jwt = $this->lireJetonDansHeader();`
357	`if ($jwt == null) {`	363	`if ($jwt == null) {`
358	`$jwt = $this->getParam('token');`	364	`$jwt = $this->getParam('token');`
359	`if ($jwt == '') {`	365	`if ($jwt == '') {`
360	`$this->erreur("parameter <token> or Authorization header required");`	366	`$this->erreur("parameter <token> or Authorization header required");`
361	`}`	367	`}`
362	`}`	368	`}`
363	`try {`	369	`try {`
364	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`	370	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`
365	`$jeton = (array) $jeton;`	371	`$jeton = (array) $jeton;`
366	`} catch (Exception $e) {`	372	`} catch (Exception $e) {`
367	`$this->erreur($e->getMessage());`	373	`$this->erreur($e->getMessage());`
368	`exit;`	374	`exit;`
369	`}`	375	`}`
370	`$this->envoyerJson(true);`	376	`$this->envoyerJson(true);`
371	`}`	377	`}`
372		378
373	`/**`	379	`/**`
374	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`	380	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`
375	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`	381	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`
376	`* vaut true, rafraîchira le jeton même s'il a expiré`	382	`* vaut true, rafraîchira le jeton même s'il a expiré`
377	`* (attention à ne pas appeler cette méthode n'importe comment !);`	383	`* (attention à ne pas appeler cette méthode n'importe comment !);`
378	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`	384	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`
379	`* ou s'il a expiré et que $ignorerExpiration est différent de true`	385	`* ou s'il a expiré et que $ignorerExpiration est différent de true`
380	`*`	386	`*`
381	`* @param string $jwt le jeton JWT`	387	`* @param string $jwt le jeton JWT`
382	`* @return string le jeton rafraîchi`	388	`* @return string le jeton rafraîchi`
383	`*/`	389	`*/`
384	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`	390	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`
385	`$infos = array();`	391	`$infos = array();`
386	`// vérification avec lib JWT`	392	`// vérification avec lib JWT`
387	`try {`	393	`try {`
388	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`	394	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`
389	`$infos = (array) $infos;`	395	`$infos = (array) $infos;`
390	`} catch (ExpiredException $e) {`	396	`} catch (ExpiredException $e) {`
391	`if ($ignorerExpiration === true) {`	397	`if ($ignorerExpiration === true) {`
392	`// on se fiche qu'il soit expiré`	398	`// on se fiche qu'il soit expiré`
393	`// décodage d'un jeton expiré`	399	`// décodage d'un jeton expiré`
394	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`	400	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`
395	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`	401	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`
396	`$infos = $this->decoderJetonExpireManuellement($jwt);`	402	`$infos = $this->decoderJetonExpireManuellement($jwt);`
397	`} else {`	403	`} else {`
398	`// on renvoie l'exception plus haut`	404	`// on renvoie l'exception plus haut`
399	`throw $e;`	405	`throw $e;`
400	`}`	406	`}`
401	`}`	407	`}`
402	`// vérification des infos`	408	`// vérification des infos`
403	`if (empty($infos['sub'])) {`	409	`if (empty($infos['sub'])) {`
404	`// jeton vide (wtf?)`	410	`// jeton vide (wtf?)`
405	`throw new Exception("empty token (no <sub>)");`	411	`throw new Exception("empty token (no <sub>)");`
406	`}`	412	`}`
407	`// rafraîchissement`	413	`// rafraîchissement`
408	`$infos['exp'] = time() + $this->dureeJeton;`	414	`$infos['exp'] = time() + $this->dureeJeton;`
409	`$jwtSortie = JWT::encode($infos, $this->clef);`	415	`$jwtSortie = JWT::encode($infos, $this->clef);`
410		416
411	`return $jwtSortie;`	417	`return $jwtSortie;`
412	`}`	418	`}`
413		419
414	`/**`	420	`/**`
415	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`	421	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`
416	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`	422	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`
417	`* correct (vérifié avec la lib JWT) mais expiré !`	423	`* correct (vérifié avec la lib JWT) mais expiré !`
418	`*`	424	`*`
419	`* @param string $jwt un jeton vérifié comme valide, mais expiré`	425	`* @param string $jwt un jeton vérifié comme valide, mais expiré`
420	`*/`	426	`*/`
421	`protected function decoderJetonExpireManuellement($jwt) {`	427	`protected function decoderJetonExpireManuellement($jwt) {`
422	`$parts = explode('.', $jwt);`	428	`$parts = explode('.', $jwt);`
423	`$payload = $parts[1];`	429	`$payload = $parts[1];`
424	`$payload = base64_decode($payload);`	430	`$payload = base64_decode($payload);`
425	`$payload = json_decode($payload, true);`	431	`$payload = json_decode($payload, true);`
426		432
427	`return $payload;`	433	`return $payload;`
428	`}`	434	`}`
429		435
430	`/**`	436	`/**`
431	`* Crée un jeton JWT signé avec la clef`	437	`* Crée un jeton JWT signé avec la clef`
432	`*`	438	`*`
433	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`	439	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`
434	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`	440	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`
435	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`	441	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`
436	`*`	442	`*`
437	`* @return string un jeton JWT signé`	443	`* @return string un jeton JWT signé`
438	`*/`	444	`*/`
439	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`	445	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`
440	`if ($exp === null) {`	446	`if ($exp === null) {`
441	`$exp = time() + $this->dureeJeton;`	447	`$exp = time() + $this->dureeJeton;`
442	`}`	448	`}`
443	`$jeton = array(`	449	`$jeton = array(`
444	`"iss" => "https://www.tela-botanica.org",`	450	`"iss" => "https://www.tela-botanica.org",`
445	`"token_id" => $this->nomCookie,`	451	`"token_id" => $this->nomCookie,`
446	`//"aud" => "http://example.com",`	452	`//"aud" => "http://example.com",`
447	`"sub" => $sub,`	453	`"sub" => $sub,`
448	`"iat" => time(),`	454	`"iat" => time(),`
449	`"exp" => $exp,`	455	`"exp" => $exp,`
450	`//"nbf" => time() + 60,`	456	`//"nbf" => time() + 60,`
451	`"scopes" => array("tela-botanica.org")`	457	`"scopes" => array("tela-botanica.org")`
452	`);`	458	`);`
453	`if (! empty($donnees)) {`	459	`if (! empty($donnees)) {`
454	`$jeton = array_merge($jeton, $donnees);`	460	`$jeton = array_merge($jeton, $donnees);`
455	`}`	461	`}`
456	`$jwt = JWT::encode($jeton, $this->clef);`	462	`$jwt = JWT::encode($jeton, $this->clef);`
457		463
458	`return $jwt;`	464	`return $jwt;`
459	`}`	465	`}`
460		466
461	`/**`	467	`/**`
462	`* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par`	468	`* Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par`
463	`* défaut "Authorization")`	469	`* défaut "Authorization")`
464	`*`	470	`*`
465	`* @param string $nomHeader nom de l'entête dans lequel chercher le jeton`	471	`* @param string $nomHeader nom de l'entête dans lequel chercher le jeton`
466	`* @return String un jeton JWT ou null`	472	`* @return String un jeton JWT ou null`
467	`*/`	473	`*/`
468	`protected function lireJetonDansHeader($nomHeader="Authorization") {`	474	`protected function lireJetonDansHeader($nomHeader="Authorization") {`
469	`$jwt = null;`	475	`$jwt = null;`
470	`$headers = apache_request_headers();`	476	`$headers = apache_request_headers();`
471	`if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {`	477	`if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {`
472	`$jwt = $headers[$nomHeader];`	478	`$jwt = $headers[$nomHeader];`
473	`}`	479	`}`
474	`return $jwt;`	480	`return $jwt;`
475	`}`	481	`}`
476		482
477	`/**`	483	`/**`
478	`* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et`	484	`* Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et`
479	`* contenant $valeur`	485	`* contenant $valeur`
480	`*`	486	`*`
481	`* @param string $valeur le contenu du cookie (de préférence un jeton JWT)`	487	`* @param string $valeur le contenu du cookie (de préférence un jeton JWT)`
482	`*/`	488	`*/`
483	`protected function creerCookie($valeur) {`	489	`protected function creerCookie($valeur) {`
484	`setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', null, true);`	490	`setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', $this->domaineCookie, true);`
485	`}`	491	`}`
486		492
487	`/**`	493	`/**`
488	`* Renvoie le cookie avec une valeur vide et une date d'expiration dans le`	494	`* Renvoie le cookie avec une valeur vide et une date d'expiration dans le`
489	`* passé, afin que le navigateur le détruise au prochain appel`	495	`* passé, afin que le navigateur le détruise au prochain appel`
490	`* @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie`	496	`* @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie`
491	`*`	497	`*`
492	`* @param string $valeur la valeur du cookie, par défaut ""`	498	`* @param string $valeur la valeur du cookie, par défaut ""`
493	`*/`	499	`*/`
494	`protected function detruireCookie() {`	500	`protected function detruireCookie() {`

Subversion Repositories Applications.annuaire

(root)/branches/v1.4-baleine/jrest/services/Auth.php – Rev 578 → 593