WebSVN – Applications.annuaire – Diff – /trunk/jrest/services/Auth.php


<?php
 
// composer
require_once '../vendor/autoload.php';
 
/**
 * Tentative de service d'authentification / SSO bien organisé
 * SSO - Mettez un tigre dans votre annuaire !
 * @author mathias
 * © Tela Botanica 2015
 * 
 * @TODO se baser sur autre chose que JRest qui est obsolète
 */
class Auth extends JRestService {
 
	/** Clef utilisée pour signer les jetons JWT */
	private $clef;
 
	/** Si true, refusera une connexion non-HTTPS */
	protected $forcerSSL = true;
 
	/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */
	protected $dureeJeton = 900;
 
	/** Durée en secondes du cookie */
	protected $dureeCookie = 31536000; // 3600 * 24 * 365
 
	/** Nom du cookie */
	protected $nomCookie = "this_is_not_a_good_cookie_name";
 
	/** Domaine du cookie - lire la doc de set_cookie() */
	protected $domaineCookie = null;
 
	/** Si true, passera secure=true à setCookie; le cookie sera reçu en HTTPS seulement */
	protected $cookieSecurise = true;
 
	/** Bibliothèque de gestion des utilisateurs */
	protected $utilisateur;
 
	public function __construct($config, $demarrer_session = true) {
		parent::__construct($config, $demarrer_session);
		$this->clef = file_get_contents("clef-auth.ini");
		if (strlen($this->clef) < 16) {
			throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");
		}
		$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");
		$this->dureeJeton = $this->config['auth']['duree_jeton'];
		$this->dureeCookie = $this->config['auth']['duree_cookie'];
		$this->nomCookie = $this->config['auth']['nom_cookie'];
		$this->cookieSecurise = $this->config['auth']['cookie_securise'];
		if (! empty($this->config['auth']['domaine_cookie'])) {
			$this->domaineCookie = $this->config['auth']['domaine_cookie'];
		}
		// gestion des utilisateurs @WARNING on utilise un service comme une lib, c'est
		// mal !!  @TODO séparer service et lib (ou réécrire tout ce foutoir)
		$this->utilisateur = new Utilisateur($config);
	}
 
	/**
	 * Retourne la bobliothèque de gestion des utilisateurs (pour utilisation
	 * par les classes partenaires)
	 */
	public function getUtilisateur() {
		return $this->utilisateur;
	}
 
	/**
	 * Notice d'utilisation succincte
	 * @TODO essayer de choisir entre anglais et français
	 */
	protected function infosService() {
		$uri = $this->config['settings']['baseAlternativeURL'];
		if ($uri == '') {
			$uri = $this->config['settings']['baseURL'];
		}
		$uri = $uri . "auth/";
 
		$infos = array(
			'service' => 'TelaBotanica/annuaire/auth',
			'methodes' => array(
				'connexion' => array(
					"uri" => $uri . "connexion",
					"parametres" => array(
						"login" => "adresse email (ex: name@domain.com)",
						"password" => "mot de passe",
						"partner" => "nom du partenaire (ex: plantnet)"
					),
					"alias" => $uri . "login",
					"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie
				),
				'deconnexion' => array(
					"uri" => $uri . "deconnexion",
					"parametres" => null,
					"alias" => $uri . "logout",
					"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie
				),
				'identite' => array(
					"uri" => $uri . "identite",
					"parametres" => array(
						"token" => "jeton JWT (facultatif)",
					),
					"alias" => array(
						$uri . "identity",
						$uri . "rafraichir",
						$uri . "refresh"
					),
					"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"
				),
				'verifierjeton' => array(
					"uri" => $uri . "verifierjeton",
					"parametres" => array(
						"token" => "jeton JWT",
					),
					"alias" => $uri . "verifytoken",
					"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"
				)
			)
		);
		$this->envoyerJson($infos);
	}
 
	/**
	 * Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);
	 * les paramètres GET sont ignorés
	 */
	public function getRessource() {
		//echo "get ressource\n";
		$this->infosService();
	}
 
	/**
	 * Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);
	 * les paramètres GET sont ignorés
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function getElement($ressources) {
		// Achtétépéèch portouguech lolch
		$this->verifierSSL();
		// le premier paramètre d'URL définit la méthode (non-magique)
		if (count($ressources) > 0) {
			switch ($ressources[0]) {
				case 'login':
				case 'connexion':
					$this->connexion($ressources);
					break;
				case 'logout':
				case 'deconnexion':
					$this->deconnexion();
					break;
				case 'identity':
				case 'identite':
				case 'rafraichir':
				case 'refresh':
					$this->identite();
					break;
				case 'verifytoken':
				case 'verifierjeton':
					$this->verifierJeton();
					break;
				case 'info':
				default:
					$this->infosService();
			}
		}
	}
 
	/**
	 * Lors d'un POST avec au moins une donnée dans le body (data);
	 * les paramètres GET sont ignorés
	 * @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET
	 * 
	 * @param array $ressources les éléments d'URL
	 * @param array $pairs les paramètres POST
	 */
	public function updateElement($ressources, $pairs) {
		//echo "update element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins
	 * un élément d'URL; dans tous les cas les paramètres GET sont ignorés
	 * 
	 * @param array $pairs les paramètres POST
	 */
	public function createElement($pairs) {
		//echo "create element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Lors d'un DELETE avec au moins un élément d'URL
	 * @TODO utiliser pour invalider un jeton (nécessite stockage)
	 * 
	 * @param array $ressources les éléments d'URL
	 */
	public function deleteElement($ressources) {
		//echo "delete element\n";
		$this->nonImplemente();
	}
 
	/**
	 * Vérifie l'identité d'un utilisateur à partir de son courriel et son
	 * mot de passe ou d'un cookie; lui accorde un jeton et un cookie si
	 * tout va bien, sinon renvoie une erreur et détruit le cookie
	 * @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,
	 * le caractère "&" posera problème en GET
	 * 
	 * @param array $ressources non utilisé
	 */
	protected function connexion($ressources) {
		$login = $this->getParam('login');
		$password = $this->getParam('password', null);
		$partenaire = $this->getParam('partner');
		if ($login == '' || $password == '') {
			$this->erreur("parameters <login> and <password> required");
		}
		$acces = false;
		// connexion à un partenaire ?
		$infosPartenaire = array();
		if ($partenaire != '') {
			$classeAuth = "AuthPartner" . ucfirst(strtolower($partenaire));
			try {
				$fichierClasse = getcwd() . "/services/auth/$classeAuth.php"; // @TODO vérifier si getcwd() est fiable dans ce cas
				if (! file_exists($fichierClasse)) {
					$this->erreur("unknown partner '$partenaire'");
				}
				require $fichierClasse;
				$authPartenaire = new $classeAuth($this, $this->config);
				// authentification par le partenaire
				$acces = $authPartenaire->verifierAcces($login, $password);
				if ($acces === true) {
					// copie des infos dans l'annuaire si besoin
					$authPartenaire->synchroniser();
				}
				// détails à ajouter au jeton local
				$infosPartenaire['partenaire'] = $partenaire;
				$infosPartenaire['jetonPartenaire'] = $authPartenaire->getJetonPartenaire();
				// remplacement du login par le courriel (chez certains partenaires,
				// le login peut ne pas être un courriel
				$login = $authPartenaire->getCourriel();
			} catch(Exception $e) {
				$this->erreur($e->getMessage(), 500);
			}
		} else {
			// authentification locale
			$acces = $this->verifierAcces($login, $password);
		}
		if ($acces === false) {
			$this->detruireCookie();
			// redirection si demandée - se charge de sortir du script en cas de succès
			$this->rediriger();
			// si la redirection n'a pas eu lieu
			$this->erreur("authentication failed", 401);
		}
		// infos utilisateur
		$infos = $this->utilisateur->getIdentiteParCourriel($login);
		//var_dump($infos); exit;
		// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase
		$login = strtolower($login);
		if (count($infos) == 0 || empty($infos[$login])) {
			// redirection si demandée - se charge de sortir du script en cas de succès
			$this->rediriger();
			// si la redirection n'a pas eu lieu
			$this->erreur("could not get user info");
		}
		$infos = $infos[$login];
		// date de dernière modification du profil
		$dateDerniereModif = $this->utilisateur->getDateDerniereModifProfil($infos['id'], true);
		$infos['dateDerniereModif'] = $dateDerniereModif;
		// infos partenaire
		$infos = array_merge($infos, $infosPartenaire);
		// création du jeton
		$jwt = $this->creerJeton($login, $infos);
		// création du cookie
		$this->creerCookie($jwt);
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger($jwt);
		// envoi
		$this->envoyerJson(array(
			"session" => true,
			"token" => $jwt,
			"duration" => intval($this->dureeJeton),
			"token_id" => $this->nomCookie,
			"last_modif" => $infos['dateDerniereModif']
		));
	}
 
	/**
	 * Détruit le cookie et renvoie un jeton vide ou NULL - le client
	 * devrait toujours remplacer son jeton par celui renvoyé par les
	 * méthodes de l'annuaire
	 */
	protected function deconnexion() {
		// suppression du cookie
		$this->detruireCookie();
		// envoi d'un jeton null
		$jwt = null;
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger();
		// si la redirection n'a pas eu lieu
		$this->envoyerJson(array(
				"session" => false,
				"token" => $jwt,
				"token_id" => $this->nomCookie
		));
	}
 
	/**
	 * Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton
	 * si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,
	 * header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie
	 * et/ou le jeton sont expirés;
	 * cela permet en théorie de forger des cookies avec des jetons expirés pour se les
	 * faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut
	 * être en possession que de ses propres jetons... au pire on peut se faire prolonger
	 * à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour
	 * Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette
	 * stratégie, l'inverse est peut-être plus malin
	 */
	protected function identite() {
		$cookieAvecJetonValide = false;
		$jetonRetour = null;
		$erreur = '';
		// lire cookie
		if (isset($_COOKIE[$this->nomCookie])) {
			$jwt = $_COOKIE[$this->nomCookie];
			try {
				// rafraîchir jeton quelque soit son état - "true" permet
				// d'ignorer les ExpiredException (on rafraîchit le jeton
				// expiré car le cookie est encore valide)
				$jetonRetour = $this->rafraichirJeton($jwt, true);
				// on ne tentera pas de lire un jeton fourni en paramètre
				$cookieAvecJetonValide = true;
			} catch (Exception $e) {
				// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)
				// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)
				$erreur = "invalid token in cookie";
			}
		}
		// si le cookie n'existait pas ou ne contenait pas un jeton
		if (! $cookieAvecJetonValide) {
			// lire jeton depuis header ou paramètre
			$jwt = $this->lireJetonDansHeader();
			if ($jwt == null) {
				// dernière chance
				$jwt = $this->getParam('token');
			}
			// toutes les possibilités ont été essayées
			if ($jwt != null) {
				try {
					// rafraîchir jeton si non expiré
					$jetonRetour = $this->rafraichirJeton($jwt);
				} catch (Exception $e) {
					// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)
					$erreur = "invalid or expired token in Authorization header or parameter <token>";
				}
			} else {
				// pas de jeton valide passé en paramètre
				$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");
			}
		}
		// redirection si demandée - se charge de sortir du script en cas de succès
		$this->rediriger($jetonRetour);
		// renvoi jeton
		if ($jetonRetour === null) {
			$this->erreur($erreur);
		} else {
			$this->envoyerJson(array(
					"session" => true,
					"token" => $jetonRetour,
					"duration" => intval($this->dureeJeton),
					"token_id" => $this->nomCookie
			));
		}
	}
 
	/**
	 * Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;
	 * sinon, ne fait rien et passe la main
	 * 
	 * @param string $jetonRetour jeton JWT à passer à l'URL de destination
	 * en GET; par défaut null
	 */
	protected function rediriger($jetonRetour=null) {
		if (!empty($_GET['redirect_url'])) {
			// dans le cas où une url de redirection est précisée,
			// on précise le jeton dans le get
			$url_redirection = $_GET['redirect_url'];
 
			// même si le jeton est vide, on ajoute un paramètre GET Authorization
			// pour spécifier à la cible qu'on a bien traité sa requête - permet
			// aussi de gérer les déconnexions en renvoyant un jeton vide
			$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';
			$url_redirection .= $separateur.'Authorization='.$jetonRetour;
 
			// retour à l'envoyeur !
			header('Location: '.$url_redirection);
			exit;
		}
	}
 
	/**
	 * Vérifie si un jeton est valide; retourne true si oui, une erreur avec
	 * des détails si non;
	 * Priorité : header "Authorization" > paramètre "token"
	 */
	protected function verifierJeton() {
		// vérifie que le jeton provient bien d'ici,
		// et qu'il est encore valide (date)
		$jwt = $this->lireJetonDansHeader();
		if ($jwt == null) {
			$jwt = $this->getParam('token');
			if ($jwt == '') {
				$this->erreur("parameter <token> or Authorization header required");
			}
		}
		try {
			$jeton = JWT::decode($jwt, $this->clef, array('HS256'));
			$jeton = (array) $jeton;
		} catch (Exception $e) {
			$this->erreur($e->getMessage());
			exit;
		}
		$this->envoyerJson(true);
	}
 
	/**
	 * Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne
	 * une période de validité de $this->dureeJeton; si $ignorerExpiration
	 * vaut true, rafraîchira le jeton même s'il a expiré
	 * (attention à ne pas appeler cette méthode n'importe comment !);
	 * jette une exception si le jeton est vide, mal signé ou autre erreur,
	 * ou s'il a expiré et que $ignorerExpiration est différent de true
	 * 
	 * @param string $jwt le jeton JWT
	 * @return string le jeton rafraîchi
	 */
	protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {
		$infos = array();
		// vérification avec lib JWT
		try {
			$infos = JWT::decode($jwt, $this->clef, array('HS256'));
			$infos = (array) $infos;
		} catch (ExpiredException $e) {
			if ($ignorerExpiration === true) {
				// on se fiche qu'il soit expiré
				// décodage d'un jeton expiré 
				// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),
				// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !
				$infos = $this->decoderJetonManuellement($jwt);
			} else {
				// on renvoie l'exception plus haut
				throw $e;
			}
		}
		// vérification des infos
		if (empty($infos['sub'])) {
			// jeton vide (wtf?)
			throw new Exception("empty token (no <sub>)");
		}
		// rafraîchissement
		$infos['exp'] = time() + $this->dureeJeton;
		$jwtSortie = JWT::encode($infos, $this->clef);
 
		return $jwtSortie;
	}
 
	/**
	 * Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU
	 * SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton
	 * correct (vérifié avec la lib JWT) mais expiré !
	 * Public car utilisé par les classes AuthPartner (@TODO stratégie à valider)
	 * @param string $jwt un jeton vérifié comme valide, mais expiré
	 */
	public function decoderJetonManuellement($jwt) {
		$parts = explode('.', $jwt);
		$payload = $parts[1];
		$payload = base64_decode($payload);
		$payload = json_decode($payload, true);
 
		return $payload;
	}
 
	/**
	 * Crée un jeton JWT signé avec la clef
	 * 
	 * @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon
	 * @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton
	 * @param array $donnees les données à ajouter au jeton (infos utilisateur)
	 * 
	 * @return string un jeton JWT signé
	 */
	protected function creerJeton($sub, $donnees=array(), $exp=null) {
		if ($exp === null) {
			$exp = time() + $this->dureeJeton;
		}
		$jeton = array(
			"iss" => "https://www.tela-botanica.org",
			"token_id" => $this->nomCookie,
			//"aud" => "http://example.com",
			"sub" => $sub,
			"iat" => time(),
			"exp" => $exp,
			//"nbf" => time() + 60,
			"scopes" => array("tela-botanica.org")
		);
		if (! empty($donnees)) {
			$jeton = array_merge($jeton, $donnees);
		}
		$jwt = JWT::encode($jeton, $this->clef);
 
		return $jwt;
	}
 
	/**
	 * Essaye de trouver un jeton JWT non vide dans l'entête HTTP $nomHeader (par
	 * défaut "Authorization")
	 * 
	 * @param string $nomHeader nom de l'entête dans lequel chercher le jeton
	 * @return String un jeton JWT ou null
	 */
	protected function lireJetonDansHeader($nomHeader="Authorization") {
		$jwt = null;
		$headers = apache_request_headers();
		if (isset($headers[$nomHeader]) && ($headers[$nomHeader] != "")) {
			$jwt = $headers[$nomHeader];
		}
		return $jwt;
	}
 
	/**
	 * Crée un cookie de durée $this->dureeCookie, nommé $this->nomCookie et
	 * contenant $valeur
	 * 
	 * @param string $valeur le contenu du cookie (de préférence un jeton JWT)
	 */
	protected function creerCookie($valeur) {
		setcookie($this->nomCookie, $valeur, time() + $this->dureeCookie, '/', $this->domaineCookie, $this->cookieSecurise);
	}
 
	/**
	 * Renvoie le cookie avec une valeur vide et une date d'expiration dans le
	 * passé, afin que le navigateur le détruise au prochain appel
	 * @TODO envisager l'envoi d'un jeton vide plutôt que la suppression du cookie
	 * 
	 * @param string $valeur la valeur du cookie, par défaut ""
	 */
	protected function detruireCookie() {
		setcookie($this->nomCookie, "", -1, '/', $this->domaineCookie, $this->cookieSecurise);
		// mode transition: supprime l'ancien cookie posé sur "www.tela-botanica.org" sans quoi on ne peut plus se déconnecter!
		// @TODO supprimer au bout d'un moment
		setcookie($this->nomCookie, "", -1, '/', null, $this->cookieSecurise);
	}
 
	// ---------------- Méthodes à génériciser ci-dessous ----------------------------------
 
	/**
	 * Message succinct pour méthodes / actions non implémentées
	 */
	protected function nonImplemente() {
		$this->erreur("not implemented");
	}
	
	/**
	 * Si $this->forcerSSL vaut true, envoie une erreur et termine le programme si SSL n'est pas utilisé
	 */
	protected function verifierSSL() {
		if ($this->forcerSSL === true) {
			if (empty($_SERVER['HTTPS']) || $_SERVER['HTTPS'] == 'off') {
				$this->erreur("HTTPS required");
				exit;
			}
		}
	}
 
	protected function getParamChain($names) {
		if (! is_array($names)) {
			// Hou ? (cri de chouette solitaire)
		}
	}
 
	/**
	 * Capture un paramètre de requête ($_REQUEST)
	 * 
	 * @param string $name nom du paramètre à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_REQUEST[$name])) {
			if ($traiterVideCommeDefaut === false || $_REQUEST[$name] !== '') {
				$ret = $_REQUEST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre GET
	 * 
	 * @param string $name nom du paramètre GET à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getGetParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_GET[$name])) {
			if ($traiterVideCommeDefaut === false || $_GET[$name] !== '') {
				$ret = $_GET[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Capture un paramètre POST
	 * 
	 * @param string $name nom du paramètre POST à capturer
	 * @param string $default valeur par défaut si le paramètre n'est pas défini (ou vide, voir ci-dessous)
	 * @param bool $traiterVideCommeDefaut si le paramètre est défini mais vide (''), le considèrera comme non défini
	 * 
	 * @return string la valeur du paramètre si défini, sinon la valeur par défaut
	 */
	protected function getPostParam($name, $default=null, $traiterVideCommeDefaut=false) {
		$ret = $default;
		if (isset($_POST[$name])) {
			if ($traiterVideCommeDefaut === false || $_POST[$name] !== '') {
				$ret = $_POST[$name];
			}
		}
		return $ret;
	}
 
	/**
	 * Envoie une erreur HTTP $code (400 par défaut) avec les données $data en JSON
	 * 
	 * @param mixed $data données JSON de l'erreur - généralement array("error" => "raison de l'erreur") - si
	 * 		seule une chaîne est transmise, sera convertie en array("error" => $data)
	 * @param number $code code HTTP de l'erreur, par défaut 400 (bad request)
	 * @param boolean $exit si true (par défaut), termine le script après avoir envoyé l'erreur
	 */
	protected function erreur($data, $code=400, $exit=true) {
		if (! is_array($data)) {
			$data = array(
				"error" => $data
			);
		}
		http_response_code($code);
		$this->envoyerJson($data);
		if ($exit === true) {
			exit;
		}
	}
}
 
/**
 * Mode moderne pour PHP < 5.4
 */
if (!function_exists('http_response_code')) {
	function http_response_code($code = NULL) {
		if ($code !== NULL) {
			switch ($code) {
				case 100: $text = 'Continue'; break;
				case 101: $text = 'Switching Protocols'; break;
				case 200: $text = 'OK'; break;
				case 201: $text = 'Created'; break;
				case 202: $text = 'Accepted'; break;
				case 203: $text = 'Non-Authoritative Information'; break;
				case 204: $text = 'No Content'; break;
				case 205: $text = 'Reset Content'; break;
				case 206: $text = 'Partial Content'; break;
				case 300: $text = 'Multiple Choices'; break;
				case 301: $text = 'Moved Permanently'; break;
				case 302: $text = 'Moved Temporarily'; break;
				case 303: $text = 'See Other'; break;
				case 304: $text = 'Not Modified'; break;
				case 305: $text = 'Use Proxy'; break;
				case 400: $text = 'Bad Request'; break;
				case 401: $text = 'Unauthorized'; break;
				case 402: $text = 'Payment Required'; break;
				case 403: $text = 'Forbidden'; break;
				case 404: $text = 'Not Found'; break;
				case 405: $text = 'Method Not Allowed'; break;
				case 406: $text = 'Not Acceptable'; break;
				case 407: $text = 'Proxy Authentication Required'; break;
				case 408: $text = 'Request Time-out'; break;
				case 409: $text = 'Conflict'; break;
				case 410: $text = 'Gone'; break;
				case 411: $text = 'Length Required'; break;
				case 412: $text = 'Precondition Failed'; break;
				case 413: $text = 'Request Entity Too Large'; break;
				case 414: $text = 'Request-URI Too Large'; break;
				case 415: $text = 'Unsupported Media Type'; break;
				case 500: $text = 'Internal Server Error'; break;
				case 501: $text = 'Not Implemented'; break;
				case 502: $text = 'Bad Gateway'; break;
				case 503: $text = 'Service Unavailable'; break;
				case 504: $text = 'Gateway Time-out'; break;
				case 505: $text = 'HTTP Version not supported'; break;
				case 666: $text = 'Couscous overheat'; break;
				default:
					exit('Unknown http status code "' . htmlentities($code) . '"');
					break;
			}
 
			$protocol = (isset($_SERVER['SERVER_PROTOCOL']) ? $_SERVER['SERVER_PROTOCOL'] : 'HTTP/1.0');
			header($protocol . ' ' . $code . ' ' . $text);
			$GLOBALS['http_response_code'] = $code;
		} else {
			$code = (isset($GLOBALS['http_response_code']) ? $GLOBALS['http_response_code'] : 200);
		}
		return $code;
	}
}

Rev 605	Rev 615
1	`<?php`	1	`<?php`
2		2
3	`// composer`	3	`// composer`
4	`require_once '../vendor/autoload.php';`	4	`require_once '../vendor/autoload.php';`
5		5
6	`/**`	6	`/**`
7	`* Tentative de service d'authentification / SSO bien organisé`	7	`* Tentative de service d'authentification / SSO bien organisé`
8	`* SSO - Mettez un tigre dans votre annuaire !`	8	`* SSO - Mettez un tigre dans votre annuaire !`
9	`* @author mathias`	9	`* @author mathias`
10	`* © Tela Botanica 2015`	10	`* © Tela Botanica 2015`
11	`*`	11	`*`
12	`* @TODO se baser sur autre chose que JRest qui est obsolète`	12	`* @TODO se baser sur autre chose que JRest qui est obsolète`
13	`*/`	13	`*/`
14	`class Auth extends JRestService {`	14	`class Auth extends JRestService {`
15		15
16	`/** Clef utilisée pour signer les jetons JWT */`	16	`/** Clef utilisée pour signer les jetons JWT */`
17	`private $clef;`	17	`private $clef;`
18		18
19	`/** Si true, refusera une connexion non-HTTPS */`	19	`/** Si true, refusera une connexion non-HTTPS */`
20	`protected $forcerSSL = true;`	20	`protected $forcerSSL = true;`
21		21
22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`	22	`/** Durée en secondes du jeton (doit être faible en l'absence de mécanisme d'invalidation) */`
23	`protected $dureeJeton = 900;`	23	`protected $dureeJeton = 900;`
24		24
25	`/** Durée en secondes du cookie */`	25	`/** Durée en secondes du cookie */`
26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`	26	`protected $dureeCookie = 31536000; // 3600 * 24 * 365`
27		27
28	`/** Nom du cookie */`	28	`/** Nom du cookie */`
29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`	29	`protected $nomCookie = "this_is_not_a_good_cookie_name";`
30		30
31	`/** Domaine du cookie - lire la doc de set_cookie() */`	31	`/** Domaine du cookie - lire la doc de set_cookie() */`
32	`protected $domaineCookie = null;`	32	`protected $domaineCookie = null;`
-		33
-		34	`/** Si true, passera secure=true à setCookie; le cookie sera reçu en HTTPS seulement */`
-		35	`protected $cookieSecurise = true;`
33		36
34	`/** Bibliothèque de gestion des utilisateurs */`	37	`/** Bibliothèque de gestion des utilisateurs */`
35	`protected $utilisateur;`	38	`protected $utilisateur;`
36		39
37	`public function __construct($config, $demarrer_session = true) {`	40	`public function __construct($config, $demarrer_session = true) {`
38	`parent::__construct($config, $demarrer_session);`	41	`parent::__construct($config, $demarrer_session);`
39	`$this->clef = file_get_contents("clef-auth.ini");`	42	`$this->clef = file_get_contents("clef-auth.ini");`
40	`if (strlen($this->clef) < 16) {`	43	`if (strlen($this->clef) < 16) {`
41	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`	44	`throw new Exception("Clef trop courte - placez une clef d'au moins 16 caractères dans configurations/clef-auth.ini");`
42	`}`	45	`}`
43	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`	46	`$this->forcerSSL = ($this->config['auth']['forcer_ssl'] == "1");`
44	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`	47	`$this->dureeJeton = $this->config['auth']['duree_jeton'];`
45	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`	48	`$this->dureeCookie = $this->config['auth']['duree_cookie'];`
46	`$this->nomCookie = $this->config['auth']['nom_cookie'];`	49	`$this->nomCookie = $this->config['auth']['nom_cookie'];`
-		50	`$this->cookieSecurise = $this->config['auth']['cookie_securise'];`
47	`if (! empty($this->config['auth']['domaine_cookie'])) {`	51	`if (! empty($this->config['auth']['domaine_cookie'])) {`
48	`$this->domaineCookie = $this->config['auth']['domaine_cookie'];`	52	`$this->domaineCookie = $this->config['auth']['domaine_cookie'];`
49	`}`	53	`}`
50	`// gestion des utilisateurs @WARNING on utilise un service comme une lib, c'est`	54	`// gestion des utilisateurs @WARNING on utilise un service comme une lib, c'est`
51	`// mal !! @TODO séparer service et lib (ou réécrire tout ce foutoir)`	55	`// mal !! @TODO séparer service et lib (ou réécrire tout ce foutoir)`
52	`$this->utilisateur = new Utilisateur($config);`	56	`$this->utilisateur = new Utilisateur($config);`
53	`}`	57	`}`
54		58
55	`/**`	59	`/**`
56	`* Retourne la bobliothèque de gestion des utilisateurs (pour utilisation`	60	`* Retourne la bobliothèque de gestion des utilisateurs (pour utilisation`
57	`* par les classes partenaires)`	61	`* par les classes partenaires)`
58	`*/`	62	`*/`
59	`public function getUtilisateur() {`	63	`public function getUtilisateur() {`
60	`return $this->utilisateur;`	64	`return $this->utilisateur;`
61	`}`	65	`}`
62		66
63	`/**`	67	`/**`
64	`* Notice d'utilisation succincte`	68	`* Notice d'utilisation succincte`
65	`* @TODO essayer de choisir entre anglais et français`	69	`* @TODO essayer de choisir entre anglais et français`
66	`*/`	70	`*/`
67	`protected function infosService() {`	71	`protected function infosService() {`
68	`$uri = $this->config['settings']['baseAlternativeURL'];`	72	`$uri = $this->config['settings']['baseAlternativeURL'];`
69	`if ($uri == '') {`	73	`if ($uri == '') {`
70	`$uri = $this->config['settings']['baseURL'];`	74	`$uri = $this->config['settings']['baseURL'];`
71	`}`	75	`}`
72	`$uri = $uri . "auth/";`	76	`$uri = $uri . "auth/";`
73		77
74	`$infos = array(`	78	`$infos = array(`
75	`'service' => 'TelaBotanica/annuaire/auth',`	79	`'service' => 'TelaBotanica/annuaire/auth',`
76	`'methodes' => array(`	80	`'methodes' => array(`
77	`'connexion' => array(`	81	`'connexion' => array(`
78	`"uri" => $uri . "connexion",`	82	`"uri" => $uri . "connexion",`
79	`"parametres" => array(`	83	`"parametres" => array(`
80	`"login" => "adresse email (ex: name@domain.com)",`	84	`"login" => "adresse email (ex: name@domain.com)",`
81	`"password" => "mot de passe",`	85	`"password" => "mot de passe",`
82	`"partner" => "nom du partenaire (ex: plantnet)"`	86	`"partner" => "nom du partenaire (ex: plantnet)"`
83	`),`	87	`),`
84	`"alias" => $uri . "login",`	88	`"alias" => $uri . "login",`
85	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`	89	`"description" => "connexion avec login et mot de passe; renvoie un jeton et un cookie " . $this->nomCookie`
86	`),`	90	`),`
87	`'deconnexion' => array(`	91	`'deconnexion' => array(`
88	`"uri" => $uri . "deconnexion",`	92	`"uri" => $uri . "deconnexion",`
89	`"parametres" => null,`	93	`"parametres" => null,`
90	`"alias" => $uri . "logout",`	94	`"alias" => $uri . "logout",`
91	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`	95	`"description" => "déconnexion; renvoie un jeton null et supprime le cookie " . $this->nomCookie`
92	`),`	96	`),`
93	`'identite' => array(`	97	`'identite' => array(`
94	`"uri" => $uri . "identite",`	98	`"uri" => $uri . "identite",`
95	`"parametres" => array(`	99	`"parametres" => array(`
96	`"token" => "jeton JWT (facultatif)",`	100	`"token" => "jeton JWT (facultatif)",`
97	`),`	101	`),`
98	`"alias" => array(`	102	`"alias" => array(`
99	`$uri . "identity",`	103	`$uri . "identity",`
100	`$uri . "rafraichir",`	104	`$uri . "rafraichir",`
101	`$uri . "refresh"`	105	`$uri . "refresh"`
102	`),`	106	`),`
103	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`	107	`"description" => "confirme l'authentification et la session; rafraîchit le jeton fourni (dans le cookie " . $this->nomCookie . ", le header Authorization ou en paramètre)"`
104	`),`	108	`),`
105	`'verifierjeton' => array(`	109	`'verifierjeton' => array(`
106	`"uri" => $uri . "verifierjeton",`	110	`"uri" => $uri . "verifierjeton",`
107	`"parametres" => array(`	111	`"parametres" => array(`
108	`"token" => "jeton JWT",`	112	`"token" => "jeton JWT",`
109	`),`	113	`),`
110	`"alias" => $uri . "verifytoken",`	114	`"alias" => $uri . "verifytoken",`
111	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`	115	`"description" => "retourne true si le jeton fourni en paramètre ou dans le header Authorization est valide, une erreur sinon"`
112	`)`	116	`)`
113	`)`	117	`)`
114	`);`	118	`);`
115	`$this->envoyerJson($infos);`	119	`$this->envoyerJson($infos);`
116	`}`	120	`}`
117		121
118	`/**`	122	`/**`
119	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`	123	`* Lorsqu'appelé sans éléments d'URL (service:annuaire:auth);`
120	`* les paramètres GET sont ignorés`	124	`* les paramètres GET sont ignorés`
121	`*/`	125	`*/`
122	`public function getRessource() {`	126	`public function getRessource() {`
123	`//echo "get ressource\n";`	127	`//echo "get ressource\n";`
124	`$this->infosService();`	128	`$this->infosService();`
125	`}`	129	`}`
126		130
127	`/**`	131	`/**`
128	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`	132	`* Lorsqu'appelé avec des éléments d'URL (service:annuaire:auth/machin/chose);`
129	`* les paramètres GET sont ignorés`	133	`* les paramètres GET sont ignorés`
130	`*`	134	`*`
131	`* @param array $ressources les éléments d'URL`	135	`* @param array $ressources les éléments d'URL`
132	`*/`	136	`*/`
133	`public function getElement($ressources) {`	137	`public function getElement($ressources) {`
134	`// Achtétépéèch portouguech lolch`	138	`// Achtétépéèch portouguech lolch`
135	`$this->verifierSSL();`	139	`$this->verifierSSL();`
136	`// le premier paramètre d'URL définit la méthode (non-magique)`	140	`// le premier paramètre d'URL définit la méthode (non-magique)`
137	`if (count($ressources) > 0) {`	141	`if (count($ressources) > 0) {`
138	`switch ($ressources[0]) {`	142	`switch ($ressources[0]) {`
139	`case 'login':`	143	`case 'login':`
140	`case 'connexion':`	144	`case 'connexion':`
141	`$this->connexion($ressources);`	145	`$this->connexion($ressources);`
142	`break;`	146	`break;`
143	`case 'logout':`	147	`case 'logout':`
144	`case 'deconnexion':`	148	`case 'deconnexion':`
145	`$this->deconnexion();`	149	`$this->deconnexion();`
146	`break;`	150	`break;`
147	`case 'identity':`	151	`case 'identity':`
148	`case 'identite':`	152	`case 'identite':`
149	`case 'rafraichir':`	153	`case 'rafraichir':`
150	`case 'refresh':`	154	`case 'refresh':`
151	`$this->identite();`	155	`$this->identite();`
152	`break;`	156	`break;`
153	`case 'verifytoken':`	157	`case 'verifytoken':`
154	`case 'verifierjeton':`	158	`case 'verifierjeton':`
155	`$this->verifierJeton();`	159	`$this->verifierJeton();`
156	`break;`	160	`break;`
157	`case 'info':`	161	`case 'info':`
158	`default:`	162	`default:`
159	`$this->infosService();`	163	`$this->infosService();`
160	`}`	164	`}`
161	`}`	165	`}`
162	`}`	166	`}`
163		167
164	`/**`	168	`/**`
165	`* Lors d'un POST avec au moins une donnée dans le body (data);`	169	`* Lors d'un POST avec au moins une donnée dans le body (data);`
166	`* les paramètres GET sont ignorés`	170	`* les paramètres GET sont ignorés`
167	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`	171	`* @TODO faire un point d'entrée POST qui renvoie vers les méthodes GET`
168	`*`	172	`*`
169	`* @param array $ressources les éléments d'URL`	173	`* @param array $ressources les éléments d'URL`
170	`* @param array $pairs les paramètres POST`	174	`* @param array $pairs les paramètres POST`
171	`*/`	175	`*/`
172	`public function updateElement($ressources, $pairs) {`	176	`public function updateElement($ressources, $pairs) {`
173	`//echo "update element\n";`	177	`//echo "update element\n";`
174	`$this->nonImplemente();`	178	`$this->nonImplemente();`
175	`}`	179	`}`
176		180
177	`/**`	181	`/**`
178	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`	182	`* Lors d'un PUT (les éléments d'URL sont ignorés) ou d'un POST avec au moins`
179	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`	183	`* un élément d'URL; dans tous les cas les paramètres GET sont ignorés`
180	`*`	184	`*`
181	`* @param array $pairs les paramètres POST`	185	`* @param array $pairs les paramètres POST`
182	`*/`	186	`*/`
183	`public function createElement($pairs) {`	187	`public function createElement($pairs) {`
184	`//echo "create element\n";`	188	`//echo "create element\n";`
185	`$this->nonImplemente();`	189	`$this->nonImplemente();`
186	`}`	190	`}`
187		191
188	`/**`	192	`/**`
189	`* Lors d'un DELETE avec au moins un élément d'URL`	193	`* Lors d'un DELETE avec au moins un élément d'URL`
190	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`	194	`* @TODO utiliser pour invalider un jeton (nécessite stockage)`
191	`*`	195	`*`
192	`* @param array $ressources les éléments d'URL`	196	`* @param array $ressources les éléments d'URL`
193	`*/`	197	`*/`
194	`public function deleteElement($ressources) {`	198	`public function deleteElement($ressources) {`
195	`//echo "delete element\n";`	199	`//echo "delete element\n";`
196	`$this->nonImplemente();`	200	`$this->nonImplemente();`
197	`}`	201	`}`
198		202
199	`/**`	203	`/**`
200	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`	204	`* Vérifie l'identité d'un utilisateur à partir de son courriel et son`
201	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`	205	`* mot de passe ou d'un cookie; lui accorde un jeton et un cookie si`
202	`* tout va bien, sinon renvoie une erreur et détruit le cookie`	206	`* tout va bien, sinon renvoie une erreur et détruit le cookie`
203	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`	207	`* @WARNING si vous n'utilisez pas urlencode() pour fournir le mot de passe,`
204	`* le caractère "&" posera problème en GET`	208	`* le caractère "&" posera problème en GET`
205	`*`	209	`*`
206	`* @param array $ressources non utilisé`	210	`* @param array $ressources non utilisé`
207	`*/`	211	`*/`
208	`protected function connexion($ressources) {`	212	`protected function connexion($ressources) {`
209	`$login = $this->getParam('login');`	213	`$login = $this->getParam('login');`
210	`$password = $this->getParam('password', null);`	214	`$password = $this->getParam('password', null);`
211	`$partenaire = $this->getParam('partner');`	215	`$partenaire = $this->getParam('partner');`
212	`if ($login == '' \|\| $password == '') {`	216	`if ($login == '' \|\| $password == '') {`
213	`$this->erreur("parameters <login> and <password> required");`	217	`$this->erreur("parameters <login> and <password> required");`
214	`}`	218	`}`
215	`$acces = false;`	219	`$acces = false;`
216	`// connexion à un partenaire ?`	220	`// connexion à un partenaire ?`
217	`$infosPartenaire = array();`	221	`$infosPartenaire = array();`
218	`if ($partenaire != '') {`	222	`if ($partenaire != '') {`
219	`$classeAuth = "AuthPartner" . ucfirst(strtolower($partenaire));`	223	`$classeAuth = "AuthPartner" . ucfirst(strtolower($partenaire));`
220	`try {`	224	`try {`
221	`$fichierClasse = getcwd() . "/services/auth/$classeAuth.php"; // @TODO vérifier si getcwd() est fiable dans ce cas`	225	`$fichierClasse = getcwd() . "/services/auth/$classeAuth.php"; // @TODO vérifier si getcwd() est fiable dans ce cas`
222	`if (! file_exists($fichierClasse)) {`	226	`if (! file_exists($fichierClasse)) {`
223	`$this->erreur("unknown partner '$partenaire'");`	227	`$this->erreur("unknown partner '$partenaire'");`
224	`}`	228	`}`
225	`require $fichierClasse;`	229	`require $fichierClasse;`
226	`$authPartenaire = new $classeAuth($this, $this->config);`	230	`$authPartenaire = new $classeAuth($this, $this->config);`
227	`// authentification par le partenaire`	231	`// authentification par le partenaire`
228	`$acces = $authPartenaire->verifierAcces($login, $password);`	232	`$acces = $authPartenaire->verifierAcces($login, $password);`
229	`if ($acces === true) {`	233	`if ($acces === true) {`
230	`// copie des infos dans l'annuaire si besoin`	234	`// copie des infos dans l'annuaire si besoin`
231	`$authPartenaire->synchroniser();`	235	`$authPartenaire->synchroniser();`
232	`}`	236	`}`
233	`// détails à ajouter au jeton local`	237	`// détails à ajouter au jeton local`
234	`$infosPartenaire['partenaire'] = $partenaire;`	238	`$infosPartenaire['partenaire'] = $partenaire;`
235	`$infosPartenaire['jetonPartenaire'] = $authPartenaire->getJetonPartenaire();`	239	`$infosPartenaire['jetonPartenaire'] = $authPartenaire->getJetonPartenaire();`
236	`// remplacement du login par le courriel (chez certains partenaires,`	240	`// remplacement du login par le courriel (chez certains partenaires,`
237	`// le login peut ne pas être un courriel`	241	`// le login peut ne pas être un courriel`
238	`$login = $authPartenaire->getCourriel();`	242	`$login = $authPartenaire->getCourriel();`
239	`} catch(Exception $e) {`	243	`} catch(Exception $e) {`
240	`$this->erreur($e->getMessage(), 500);`	244	`$this->erreur($e->getMessage(), 500);`
241	`}`	245	`}`
242	`} else {`	246	`} else {`
243	`// authentification locale`	247	`// authentification locale`
244	`$acces = $this->verifierAcces($login, $password);`	248	`$acces = $this->verifierAcces($login, $password);`
245	`}`	249	`}`
246	`if ($acces === false) {`	250	`if ($acces === false) {`
247	`$this->detruireCookie();`	251	`$this->detruireCookie();`
248	`// redirection si demandée - se charge de sortir du script en cas de succès`	252	`// redirection si demandée - se charge de sortir du script en cas de succès`
249	`$this->rediriger();`	253	`$this->rediriger();`
250	`// si la redirection n'a pas eu lieu`	254	`// si la redirection n'a pas eu lieu`
251	`$this->erreur("authentication failed", 401);`	255	`$this->erreur("authentication failed", 401);`
252	`}`	256	`}`
253	`// infos utilisateur`	257	`// infos utilisateur`
254	`$infos = $this->utilisateur->getIdentiteParCourriel($login);`	258	`$infos = $this->utilisateur->getIdentiteParCourriel($login);`
255	`//var_dump($infos); exit;`	259	`//var_dump($infos); exit;`
256	`// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase`	260	`// getIdentiteParCourriel retourne toujours le courriel comme clef de tableau en lowercase`
257	`$login = strtolower($login);`	261	`$login = strtolower($login);`
258	`if (count($infos) == 0 \|\| empty($infos[$login])) {`	262	`if (count($infos) == 0 \|\| empty($infos[$login])) {`
259	`// redirection si demandée - se charge de sortir du script en cas de succès`	263	`// redirection si demandée - se charge de sortir du script en cas de succès`
260	`$this->rediriger();`	264	`$this->rediriger();`
261	`// si la redirection n'a pas eu lieu`	265	`// si la redirection n'a pas eu lieu`
262	`$this->erreur("could not get user info");`	266	`$this->erreur("could not get user info");`
263	`}`	267	`}`
264	`$infos = $infos[$login];`	268	`$infos = $infos[$login];`
265	`// date de dernière modification du profil`	269	`// date de dernière modification du profil`
266	`$dateDerniereModif = $this->utilisateur->getDateDerniereModifProfil($infos['id'], true);`	270	`$dateDerniereModif = $this->utilisateur->getDateDerniereModifProfil($infos['id'], true);`
267	`$infos['dateDerniereModif'] = $dateDerniereModif;`	271	`$infos['dateDerniereModif'] = $dateDerniereModif;`
268	`// infos partenaire`	272	`// infos partenaire`
269	`$infos = array_merge($infos, $infosPartenaire);`	273	`$infos = array_merge($infos, $infosPartenaire);`
270	`// création du jeton`	274	`// création du jeton`
271	`$jwt = $this->creerJeton($login, $infos);`	275	`$jwt = $this->creerJeton($login, $infos);`
272	`// création du cookie`	276	`// création du cookie`
273	`$this->creerCookie($jwt);`	277	`$this->creerCookie($jwt);`
274	`// redirection si demandée - se charge de sortir du script en cas de succès`	278	`// redirection si demandée - se charge de sortir du script en cas de succès`
275	`$this->rediriger($jwt);`	279	`$this->rediriger($jwt);`
276	`// envoi`	280	`// envoi`
277	`$this->envoyerJson(array(`	281	`$this->envoyerJson(array(`
278	`"session" => true,`	282	`"session" => true,`
279	`"token" => $jwt,`	283	`"token" => $jwt,`
280	`"duration" => intval($this->dureeJeton),`	284	`"duration" => intval($this->dureeJeton),`
281	`"token_id" => $this->nomCookie,`	285	`"token_id" => $this->nomCookie,`
282	`"last_modif" => $infos['dateDerniereModif']`	286	`"last_modif" => $infos['dateDerniereModif']`
283	`));`	287	`));`
284	`}`	288	`}`
285		289
286	`/**`	290	`/**`
287	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`	291	`* Détruit le cookie et renvoie un jeton vide ou NULL - le client`
288	`* devrait toujours remplacer son jeton par celui renvoyé par les`	292	`* devrait toujours remplacer son jeton par celui renvoyé par les`
289	`* méthodes de l'annuaire`	293	`* méthodes de l'annuaire`
290	`*/`	294	`*/`
291	`protected function deconnexion() {`	295	`protected function deconnexion() {`
292	`// suppression du cookie`	296	`// suppression du cookie`
293	`$this->detruireCookie();`	297	`$this->detruireCookie();`
294	`// envoi d'un jeton null`	298	`// envoi d'un jeton null`
295	`$jwt = null;`	299	`$jwt = null;`
296	`// redirection si demandée - se charge de sortir du script en cas de succès`	300	`// redirection si demandée - se charge de sortir du script en cas de succès`
297	`$this->rediriger();`	301	`$this->rediriger();`
298	`// si la redirection n'a pas eu lieu`	302	`// si la redirection n'a pas eu lieu`
299	`$this->envoyerJson(array(`	303	`$this->envoyerJson(array(`
300	`"session" => false,`	304	`"session" => false,`
301	`"token" => $jwt,`	305	`"token" => $jwt,`
302	`"token_id" => $this->nomCookie`	306	`"token_id" => $this->nomCookie`
303	`));`	307	`));`
304	`}`	308	`}`
305		309
306	`/**`	310	`/**`
307	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`	311	`* Renvoie un jeton rafraîchi (durée de validité augmentée de $this->dureeJeton`
308	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`	312	`* si l'utilisateur est reconnu comme détenteur d'une session active (cookie valide,`
309	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`	313	`* header HTTP "Authorization" ou jeton valide); renvoie une erreur si le cookie`
310	`* et/ou le jeton sont expirés;`	314	`* et/ou le jeton sont expirés;`
311	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`	315	`* cela permet en théorie de forger des cookies avec des jetons expirés pour se les`
312	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`	316	`* faire rafraîchir frauduleusement, mais le canal HTTPS fait qu'un client ne peut`
313	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`	317	`* être en possession que de ses propres jetons... au pire on peut se faire prolonger`
314	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`	318	`* à l'infini même si on n'est plus inscrit à l'annuaire... @TODO faire mieux un jour`
315	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`	319	`* Priorité : cookie > header "Authorization" > paramètre "token" @TODO vérifier cette`
316	`* stratégie, l'inverse est peut-être plus malin`	320	`* stratégie, l'inverse est peut-être plus malin`
317	`*/`	321	`*/`
318	`protected function identite() {`	322	`protected function identite() {`
319	`$cookieAvecJetonValide = false;`	323	`$cookieAvecJetonValide = false;`
320	`$jetonRetour = null;`	324	`$jetonRetour = null;`
321	`$erreur = '';`	325	`$erreur = '';`
322	`// lire cookie`	326	`// lire cookie`
323	`if (isset($_COOKIE[$this->nomCookie])) {`	327	`if (isset($_COOKIE[$this->nomCookie])) {`
324	`$jwt = $_COOKIE[$this->nomCookie];`	328	`$jwt = $_COOKIE[$this->nomCookie];`
325	`try {`	329	`try {`
326	`// rafraîchir jeton quelque soit son état - "true" permet`	330	`// rafraîchir jeton quelque soit son état - "true" permet`
327	`// d'ignorer les ExpiredException (on rafraîchit le jeton`	331	`// d'ignorer les ExpiredException (on rafraîchit le jeton`
328	`// expiré car le cookie est encore valide)`	332	`// expiré car le cookie est encore valide)`
329	`$jetonRetour = $this->rafraichirJeton($jwt, true);`	333	`$jetonRetour = $this->rafraichirJeton($jwt, true);`
330	`// on ne tentera pas de lire un jeton fourni en paramètre`	334	`// on ne tentera pas de lire un jeton fourni en paramètre`
331	`$cookieAvecJetonValide = true;`	335	`$cookieAvecJetonValide = true;`
332	`} catch (Exception $e) {`	336	`} catch (Exception $e) {`
333	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`	337	`// si le rafraîchissement a échoué (jeton invalide - hors expiration - ou vide)`
334	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`	338	`// on ne fait rien et on tente la suite (jeton fourni hors cookie ?)`
335	`$erreur = "invalid token in cookie";`	339	`$erreur = "invalid token in cookie";`
336	`}`	340	`}`
337	`}`	341	`}`
338	`// si le cookie n'existait pas ou ne contenait pas un jeton`	342	`// si le cookie n'existait pas ou ne contenait pas un jeton`
339	`if (! $cookieAvecJetonValide) {`	343	`if (! $cookieAvecJetonValide) {`
340	`// lire jeton depuis header ou paramètre`	344	`// lire jeton depuis header ou paramètre`
341	`$jwt = $this->lireJetonDansHeader();`	345	`$jwt = $this->lireJetonDansHeader();`
342	`if ($jwt == null) {`	346	`if ($jwt == null) {`
343	`// dernière chance`	347	`// dernière chance`
344	`$jwt = $this->getParam('token');`	348	`$jwt = $this->getParam('token');`
345	`}`	349	`}`
346	`// toutes les possibilités ont été essayées`	350	`// toutes les possibilités ont été essayées`
347	`if ($jwt != null) {`	351	`if ($jwt != null) {`
348	`try {`	352	`try {`
349	`// rafraîchir jeton si non expiré`	353	`// rafraîchir jeton si non expiré`
350	`$jetonRetour = $this->rafraichirJeton($jwt);`	354	`$jetonRetour = $this->rafraichirJeton($jwt);`
351	`} catch (Exception $e) {`	355	`} catch (Exception $e) {`
352	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`	356	`// si le rafraîchissement a échoué (jeton invalide, expiré ou vide)`
353	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`	357	`$erreur = "invalid or expired token in Authorization header or parameter <token>";`
354	`}`	358	`}`
355	`} else {`	359	`} else {`
356	`// pas de jeton valide passé en paramètre`	360	`// pas de jeton valide passé en paramètre`
357	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`	361	`$erreur = ($erreur == "" ? "no token or cookie" : "invalid token in cookie / invalid or expired token in Authorization header or parameter <token>");`
358	`}`	362	`}`
359	`}`	363	`}`
360	`// redirection si demandée - se charge de sortir du script en cas de succès`	364	`// redirection si demandée - se charge de sortir du script en cas de succès`
361	`$this->rediriger($jetonRetour);`	365	`$this->rediriger($jetonRetour);`
362	`// renvoi jeton`	366	`// renvoi jeton`
363	`if ($jetonRetour === null) {`	367	`if ($jetonRetour === null) {`
364	`$this->erreur($erreur);`	368	`$this->erreur($erreur);`
365	`} else {`	369	`} else {`
366	`$this->envoyerJson(array(`	370	`$this->envoyerJson(array(`
367	`"session" => true,`	371	`"session" => true,`
368	`"token" => $jetonRetour,`	372	`"token" => $jetonRetour,`
369	`"duration" => intval($this->dureeJeton),`	373	`"duration" => intval($this->dureeJeton),`
370	`"token_id" => $this->nomCookie`	374	`"token_id" => $this->nomCookie`
371	`));`	375	`));`
372	`}`	376	`}`
373	`}`	377	`}`
374		378
375	`/**`	379	`/**`
376	`* Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;`	380	`* Si $_GET['redirect_url'] est non-vide, redirige vers l'URL qu'il contient et sort du programme;`
377	`* sinon, ne fait rien et passe la main`	381	`* sinon, ne fait rien et passe la main`
378	`*`	382	`*`
379	`* @param string $jetonRetour jeton JWT à passer à l'URL de destination`	383	`* @param string $jetonRetour jeton JWT à passer à l'URL de destination`
380	`* en GET; par défaut null`	384	`* en GET; par défaut null`
381	`*/`	385	`*/`
382	`protected function rediriger($jetonRetour=null) {`	386	`protected function rediriger($jetonRetour=null) {`
383	`if (!empty($_GET['redirect_url'])) {`	387	`if (!empty($_GET['redirect_url'])) {`
384	`// dans le cas où une url de redirection est précisée,`	388	`// dans le cas où une url de redirection est précisée,`
385	`// on précise le jeton dans le get`	389	`// on précise le jeton dans le get`
386	`$url_redirection = $_GET['redirect_url'];`	390	`$url_redirection = $_GET['redirect_url'];`
387		391
388	`// même si le jeton est vide, on ajoute un paramètre GET Authorization`	392	`// même si le jeton est vide, on ajoute un paramètre GET Authorization`
389	`// pour spécifier à la cible qu'on a bien traité sa requête - permet`	393	`// pour spécifier à la cible qu'on a bien traité sa requête - permet`
390	`// aussi de gérer les déconnexions en renvoyant un jeton vide`	394	`// aussi de gérer les déconnexions en renvoyant un jeton vide`
391	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`	395	`$separateur = (parse_url($url_redirection, PHP_URL_QUERY) == NULL) ? '?' : '&';`
392	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`	396	`$url_redirection .= $separateur.'Authorization='.$jetonRetour;`
393		397
394	`// retour à l'envoyeur !`	398	`// retour à l'envoyeur !`
395	`header('Location: '.$url_redirection);`	399	`header('Location: '.$url_redirection);`
396	`exit;`	400	`exit;`
397	`}`	401	`}`
398	`}`	402	`}`
399		403
400	`/**`	404	`/**`
401	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`	405	`* Vérifie si un jeton est valide; retourne true si oui, une erreur avec`
402	`* des détails si non;`	406	`* des détails si non;`
403	`* Priorité : header "Authorization" > paramètre "token"`	407	`* Priorité : header "Authorization" > paramètre "token"`
404	`*/`	408	`*/`
405	`protected function verifierJeton() {`	409	`protected function verifierJeton() {`
406	`// vérifie que le jeton provient bien d'ici,`	410	`// vérifie que le jeton provient bien d'ici,`
407	`// et qu'il est encore valide (date)`	411	`// et qu'il est encore valide (date)`
408	`$jwt = $this->lireJetonDansHeader();`	412	`$jwt = $this->lireJetonDansHeader();`
409	`if ($jwt == null) {`	413	`if ($jwt == null) {`
410	`$jwt = $this->getParam('token');`	414	`$jwt = $this->getParam('token');`
411	`if ($jwt == '') {`	415	`if ($jwt == '') {`
412	`$this->erreur("parameter <token> or Authorization header required");`	416	`$this->erreur("parameter <token> or Authorization header required");`
413	`}`	417	`}`
414	`}`	418	`}`
415	`try {`	419	`try {`
416	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`	420	`$jeton = JWT::decode($jwt, $this->clef, array('HS256'));`
417	`$jeton = (array) $jeton;`	421	`$jeton = (array) $jeton;`
418	`} catch (Exception $e) {`	422	`} catch (Exception $e) {`
419	`$this->erreur($e->getMessage());`	423	`$this->erreur($e->getMessage());`
420	`exit;`	424	`exit;`
421	`}`	425	`}`
422	`$this->envoyerJson(true);`	426	`$this->envoyerJson(true);`
423	`}`	427	`}`
424		428
425	`/**`	429	`/**`
426	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`	430	`* Reçoit un jeton JWT, et s'il est non-vide ("sub" != null), lui redonne`
427	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`	431	`* une période de validité de $this->dureeJeton; si $ignorerExpiration`
428	`* vaut true, rafraîchira le jeton même s'il a expiré`	432	`* vaut true, rafraîchira le jeton même s'il a expiré`
429	`* (attention à ne pas appeler cette méthode n'importe comment !);`	433	`* (attention à ne pas appeler cette méthode n'importe comment !);`
430	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`	434	`* jette une exception si le jeton est vide, mal signé ou autre erreur,`
431	`* ou s'il a expiré et que $ignorerExpiration est différent de true`	435	`* ou s'il a expiré et que $ignorerExpiration est différent de true`
432	`*`	436	`*`
433	`* @param string $jwt le jeton JWT`	437	`* @param string $jwt le jeton JWT`
434	`* @return string le jeton rafraîchi`	438	`* @return string le jeton rafraîchi`
435	`*/`	439	`*/`
436	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`	440	`protected function rafraichirJeton($jwt, $ignorerExpiration=false) /* throws Exception */ {`
437	`$infos = array();`	441	`$infos = array();`
438	`// vérification avec lib JWT`	442	`// vérification avec lib JWT`
439	`try {`	443	`try {`
440	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`	444	`$infos = JWT::decode($jwt, $this->clef, array('HS256'));`
441	`$infos = (array) $infos;`	445	`$infos = (array) $infos;`
442	`} catch (ExpiredException $e) {`	446	`} catch (ExpiredException $e) {`
443	`if ($ignorerExpiration === true) {`	447	`if ($ignorerExpiration === true) {`
444	`// on se fiche qu'il soit expiré`	448	`// on se fiche qu'il soit expiré`
445	`// décodage d'un jeton expiré`	449	`// décodage d'un jeton expiré`
446	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`	450	`// @WARNING considère que la lib JWT jette ExpiredException en dernier (vrai 12/05/2015),`
447	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`	451	`// ce qui signifie que la signature et le domaine sont tout de même valides - à surveiller !`
448	`$infos = $this->decoderJetonManuellement($jwt);`	452	`$infos = $this->decoderJetonManuellement($jwt);`
449	`} else {`	453	`} else {`
450	`// on renvoie l'exception plus haut`	454	`// on renvoie l'exception plus haut`
451	`throw $e;`	455	`throw $e;`
452	`}`	456	`}`
453	`}`	457	`}`
454	`// vérification des infos`	458	`// vérification des infos`
455	`if (empty($infos['sub'])) {`	459	`if (empty($infos['sub'])) {`
456	`// jeton vide (wtf?)`	460	`// jeton vide (wtf?)`
457	`throw new Exception("empty token (no <sub>)");`	461	`throw new Exception("empty token (no <sub>)");`
458	`}`	462	`}`
459	`// rafraîchissement`	463	`// rafraîchissement`
460	`$infos['exp'] = time() + $this->dureeJeton;`	464	`$infos['exp'] = time() + $this->dureeJeton;`
461	`$jwtSortie = JWT::encode($infos, $this->clef);`	465	`$jwtSortie = JWT::encode($infos, $this->clef);`
462		466
463	`return $jwtSortie;`	467	`return $jwtSortie;`
464	`}`	468	`}`
465		469
466	`/**`	470	`/**`
467	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`	471	`* Décode manuellement un jeton JWT, SANS VÉRIFIER SA SIGNATURE OU`
468	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`	472	`* SON DOMAINE ! @WARNING ne pas utiliser hors du cas d'un jeton`
469	`* correct (vérifié avec la lib JWT) mais expiré !`	473	`* correct (vérifié avec la lib JWT) mais expiré !`
470	`* Public car utilisé par les classes AuthPartner (@TODO stratégie à valider)`	474	`* Public car utilisé par les classes AuthPartner (@TODO stratégie à valider)`
471	`* @param string $jwt un jeton vérifié comme valide, mais expiré`	475	`* @param string $jwt un jeton vérifié comme valide, mais expiré`
472	`*/`	476	`*/`
473	`public function decoderJetonManuellement($jwt) {`	477	`public function decoderJetonManuellement($jwt) {`
474	`$parts = explode('.', $jwt);`	478	`$parts = explode('.', $jwt);`
475	`$payload = $parts[1];`	479	`$payload = $parts[1];`
476	`$payload = base64_decode($payload);`	480	`$payload = base64_decode($payload);`
477	`$payload = json_decode($payload, true);`	481	`$payload = json_decode($payload, true);`
478		482
479	`return $payload;`	483	`return $payload;`
480	`}`	484	`}`
481		485
482	`/**`	486	`/**`
483	`* Crée un jeton JWT signé avec la clef`	487	`* Crée un jeton JWT signé avec la clef`
484	`*`	488	`*`
485	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`	489	`* @param mixed $sub subject: l'id utilisateur du détenteur du jeton si authentifié, null sinon`
486	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`	490	`* @param string $exp la date d'expiration du jeton, par défaut la date actuelle plus $this->dureeJeton`
487	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`	491	`* @param array $donnees les données à ajouter au jeton (infos utilisateur)`
488	`*`	492	`*`
489	`* @return string un jeton JWT signé`	493	`* @return string un jeton JWT signé`
490	`*/`	494	`*/`
491	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`	495	`protected function creerJeton($sub, $donnees=array(), $exp=null) {`
492	`if ($exp === null) {`	496	`if ($exp === null) {`
493	`$exp = time() + $this->dureeJeton;`	497	`$exp = time() + $this->dureeJeton;`
494	`}`	498	`}`
495	`$jeton = array(`	499	`$jeton = array(`
496	`"iss" => "https://www.tela-botanica.org",`	500	`"iss" => "https://www.tela-botanica.org",`

Subversion Repositories Applications.annuaire

(root)/trunk/jrest/services/Auth.php – Rev 605 → 615