Rev 2154 | Rev 2157 | Go to most recent revision | Blame | Compare with Previous | Last modification | View Log | RSS feed
<?php
// declare(encoding='UTF-8');
/**
* Contient les méthodes permettant d'identifier l'utilisateur de l'application DEL.
*
* @category DEL
* @package Services
* @package Bibliotheque
* @version 0.1
* @author Mathias CHOUET <mathias@tela-botanica.org>
* @author Jean-Pascal MILCENT <jpm@tela-botanica.org>
* @author Aurelien PERONNET <aurelien@tela-botanica.org>
* @license GPL v3 <http://www.gnu.org/licenses/gpl.txt>
* @license CECILL v2 <http://www.cecill.info/licences/Licence_CeCILL_V2-en.txt>
* @copyright 1999-2014 Tela Botanica <accueil@tela-botanica.org>
*/
class GestionUtilisateur {
protected $conteneur;
protected $contexte;
protected $bdd;
/** contient le jeton SSO décodé, si une authentification a eu lieu avec succès */
protected $jetonDecode;
protected $utilisateur = array();
public function __construct(Conteneur $conteneur) {
$this->conteneur = $conteneur;
$this->bdd = $this->conteneur->getBdd();
$this->contexte = $this->conteneur->getContexte();
$this->chargerUtilisateur();
}
/**
* Charge des données utilisateur : un vrai profil si l'utilisateur est identifié,
* un profil "anonyme" sinon
*/
private function chargerUtilisateur() {
$this->demarrerSession();
$infos = $this->getUtilisateurIdentifie();
$this->utilisateur = ($infos == null) ? $this->getUtilisateurAnonyme() : $infos;
}
private function demarrerSession() {
if (session_id() == '') {
// TODO : modifier ce test lors du passage en php 5.4
// TODO : expliquer pourquoi SVP :)
session_start();
}
}
// rétrocompat avec un vieux machin
public function getIdAnonymeTemporaire() {
return $this->utilisateur['session_id'];
}
/**
* Retourne l'utilisateur en cours, chargé dans le constructeur
* par getutilisateurIdentifié()
*/
public function getUtilisateur() {
return $this->utilisateur;
}
/**
* Recherche un jeton SSO dans l'entête HTTP "Authorization", vérifie ce
* jeton auprès de l'annuaire et en cas de succès charge les informations
* de l'utilisateur associé; si c'est la première fois que l'utilisateur
* utilise DeL, crée un profil local dans del_utilisateurs_infos; si le
* profil a changé depuis la dernière connexion, le met à jour ainsi que
* les coordonnées dans les commentaires
*
* @return Array un profil utilisateur ou null
*/
public function getUtilisateurIdentifie() {
$utilisateur = null;
// lecture du jeton
$jeton = $this->lireJetonEntete();
if ($jeton != null) {
// validation par l'annuaire
$valide = $this->verifierJeton($jeton);
if ($valide === true) {
// décodage du courriel utilisateur depuis le jeton
$this->jetonDecode = $this->decoderJeton($jeton);
//var_dump($this->jetonDecode);
if ($this->jetonDecode != null && $this->jetonDecode["sub"] != "") {
// récupération de l'utilisateur
$courriel = $this->jetonDecode["sub"];
$utilisateur = $this->recupererUtilisateurEnBdd($courriel);
// Si l'utilisateur existe
if ($utilisateur != null) {
// profil changé ?
if ($this->profilAChange($utilisateur)) {
// mettre à jour les coordonnées dans le profil local
$this->mettreAJourProfilLocal();
// mettre à jour auteur commentaires
$this->mettreAJourCoordonneesDansCommentaires();
// relire infos
$utilisateur = $this->recupererUtilisateurEnBdd($courriel);
}
} else {
// première connexion à DeL
// initialiser infos
$this->initialiserInfosUtilisateur($this->jetonDecode['id']); // rétrocompat; le paramètre devrait être implicite
// relire infos
$utilisateur = $this->recupererUtilisateurEnBdd($courriel);
}
$utilisateur = $this->completerInfosUtilisateur($utilisateur);
}
}
}
return $utilisateur;
}
/**
* Retourne true si le profil local stocké dans del_utilisateurs_infos
* n'est plus à jour par rapport aux informations du jeton SSO; si le
* jeton est vide, retourne false pour éviter de tout casser
*/
protected function profilAChange($infosDUI) {
$aChange = false;
if ($this->jetonDecode != null) {
$aChange = ($this->jetonDecode['nom'] != $infosDUI['nom'])
|| ($this->jetonDecode['intitule'] != $infosDUI['intitule'])
|| ($this->jetonDecode['prenom'] != $infosDUI['prenom']);
}
//var_dump($aChange);
return $aChange;
}
/**
* Met à jour del_utilisateurs_infos en fonction des informations
* contenues par le jeton SSO; si ce dernier est vide, ne fait
* rien (boulette-proof)
*/
protected function mettreAJourProfilLocal() {
echo "Mise à jour profil local !!";
if ($this->jetonDecode != null && $this->jetonDecode['id'] != '') {
$requete = 'UPDATE del_utilisateurs_infos SET'
. ' nom = ' . $this->bdd->proteger($this->jetonDecode['nom']) . ', '
. ' intitule = ' . $this->bdd->proteger($this->jetonDecode['intitule']) . ', '
. ' prenom = ' . $this->bdd->proteger($this->jetonDecode['prenom'])
. ' WHERE id_utilisateur = ' . $this->bdd->proteger($this->jetonDecode['id'])
. ' -- '.__FILE__.':'.__LINE__
;
//var_dump($requete);
$this->bdd->executer($requete);
}
}
/**
* Répercute le nom et le prénom contenus dans le jeton SSO (si au
* moins un des deux n'est pas vide) dans tous les commentaires de
* l'auteur; si le jeton SSO est vide, ne fait rien (boulette-proof)
*
* @TODO gérer l'intitulé un jour
*/
protected function mettreAJourCoordonneesDansCommentaires() {
//echo "Mise à jour obs et images !!";
if ($this->jetonDecode != null && $this->jetonDecode['id'] != '' && ($this->jetonDecode['nom'] != '' || $this->jetonDecode['prenom'] != '')) {
$requete = 'UPDATE del_commentaire SET'
. ' utilis ateur_nom = ' . $this->bdd->proteger($this->jetonDecode['nom']) . ', '
. ' utilisateur_prenom = ' . $this->bdd->proteger($this->jetonDecode['prenom'])
. ' WHERE ce_utilisateur = ' . $this->bdd->proteger($this->jetonDecode['id']) // s'assurer qu'il y a des ' autour de l'ID sans quoi les hash MD5 matcheront !
. ' -- '.__FILE__.':'.__LINE__
;
//var_dump($requete);
$this->bdd->executer($requete);
}
}
/**
* Essaye de trouver un jeton JWT non vide dans l'entête HTTP "Authorization"
*
* @return String un jeton JWT ou null
*/
protected function lireJetonEntete() {
$jwt = null;
$headers = apache_request_headers();
if (isset($headers["Authorization"]) && ($headers["Authorization"] != "")) {
$jwt = $headers["Authorization"];
}
return $jwt;
}
/**
* Vérifie un jeton auprès de l'annuaire
*
* @param String $jeton un jeton JWT
* @return true si le jeton est vérifié, false sinon
*/
protected function verifierJeton($jeton) {
$urlServiceVerification = $this->conteneur->getParametre("urlServiceBaseAuth") . "verifierjeton";
$urlServiceVerification .= "?token=" . $jeton;
// file_get_contents râle si le certificat HTTPS est auto-signé
//$retour = file_get_contents($urlServiceVerification);
// curl avec les options suivantes ignore le pb de certificat (pour tester en local)
$ch = curl_init();
$timeout = 5;
curl_setopt($ch, CURLOPT_URL, $urlServiceVerification);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
// équivalent de "-k"
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
$data = curl_exec($ch);
curl_close($ch);
$retour = $data;
$retour = json_decode($retour, true);
return ($retour === true);
}
/**
* Décode un jeton JWT (SSO) précédemment validé et retourne les infos
* qu'il contient (payload / claims)
* @param String $jeton un jeton JWT précédemment validé
*/
protected function decoderJeton($jeton) {
$parts = explode('.', $jeton);
$payload = $parts[1];
$payload = $this->urlsafeB64Decode($payload);
$payload = json_decode($payload, true);
return $payload;
}
/**
* Decode a string with URL-safe Base64.
* copié depuis firebase/jwt
*
* @param string $input A Base64 encoded string
* @return string A decoded string
*/
protected function urlsafeB64Decode($input) {
$remainder = strlen($input) % 4;
if ($remainder) {
$padlen = 4 - $remainder;
$input .= str_repeat('=', $padlen);
}
return base64_decode(strtr($input, '-_', '+/'));
}
/**
* Retourne un profil d'utilisateur non connecté (anonyme), avec un identifiant de session
* PHP qui permet de suivre son activité
*/
public function getUtilisateurAnonyme() {
return array(
'connecte' => false,
'id_utilisateur' => session_id(),
'courriel' => '',
'mot_de_passe' => '',
'nom' => '',
'prenom' => '',
'admin' => '0',
'session_id' => session_id()
);
}
/**
* Récupère les données d'un utilisateur dans la BDD depuis son login; considère que
* l'utilisateur est légitime car il fournit un jeton SSO vérifié par l'annuaire
*
* @param String $login le courriel de l'utilisateur
* @return array les infos de l'utilisateur
*/
private function recupererUtilisateurEnBdd($login) {
$loginP = $this->bdd->proteger($login);
$requete = 'SELECT id_utilisateur, nom, prenom, intitule, courriel, admin'
. " FROM del_utilisateur_infos"
. " WHERE courriel = $loginP"
. ' -- ' . __FILE__ . ' : ' . __LINE__
;
return $this->bdd->recuperer($requete);
}
protected function completerInfosUtilisateur($utilisateur) {
$utilisateur['session_id'] = session_id();
$utilisateur['connecte'] = true;
return $utilisateur;
}
// @WARNING décompte des derniers événements désactivé pour raisons de perfs
// Mathias - 2016-10-05 @TODO faire mieux
protected function getEvenements($id_utilisateur) {
$sql = $this->conteneur->getSql();
$date = $this->getDerniereDateConsultationEvenements($id_utilisateur);
//$requete_activite = $sql->getRequeteNbEvenementsDepuisDate($id_utilisateur, $date);
//$resultats = $this->bdd->recupererTous($requete_activite);
$evenements = array();
//$nb_evenements = $resultats[0]['nb_evenements'];
//$evenements['nb_evenements'] = $nb_evenements;
$evenements['date_derniere_consultation_evenements'] = $date;
return $evenements;
}
public function getDerniereDateConsultationEvenements($id_utilisateur) {
$requete = "SELECT date_derniere_consultation_evenements FROM del_utilisateur_infos ".
"WHERE id_utilisateur = ".$this->bdd->proteger($id_utilisateur);
$date = $this->bdd->recuperer($requete);
$date = !empty($date['date_derniere_consultation_evenements']) ? $date['date_derniere_consultation_evenements'] : "0";
return $date;
}
public function setDerniereDateConsultationEvenements($id_utilisateur, $date) {
// Vérification que la ligne correspondant à l'utilisateur dans la table
// infos existe bien (sinon on la crée)
$infos_utilisateur = $this->obtenirInfosUtilisateur($id_utilisateur);
if (empty($infos_utilisateur)) {
$this->initialiserInfosUtilisateur($id_utilisateur);
}
$requete = "UPDATE del_utilisateur_infos SET date_derniere_consultation_evenements = ".$this->bdd->proteger($date)." ".
"WHERE id_utilisateur = ".$this->bdd->proteger($id_utilisateur);
$this->bdd->executer($requete);
}
protected function ajouterEvenements(&$utilisateur) {
$evenements = $this->getEvenements($utilisateur['id_utilisateur']);
$utilisateur = array_merge($utilisateur, $evenements);
}
public function obtenirPreferencesUtilisateur($id_utilisateur) {
$prefs_utilisateur = $this->obtenirInfosUtilisateur($id_utilisateur);
if (empty($prefs_utilisateur)) {
$this->initialiserInfosUtilisateur($id_utilisateur);
$prefs_utilisateur = $this->renvoyerInfosUtilisateurDefaut($id_utilisateur);
} else {
if (empty($prefs_utilisateur['preferences'])) {
$prefs_utilisateur['preferences'] = $this->obtenirTableauPreferenceDefaut();
} else {
$prefs_utilisateur['preferences'] = json_decode($prefs_utilisateur['preferences']);
}
$prefs_utilisateur['admin'] = $prefs_utilisateur['admin'];
}
return $prefs_utilisateur;
}
private function obtenirTableauPreferenceDefaut() {
return array('mail_notification_mes_obs' => '1', 'mail_notification_toutes_obs' => '0');
}
private function renvoyerInfosUtilisateurDefaut($id_utilisateur) {
return array('id_utilisateur' => $id_utilisateur,
'admin' => '0',
'preferences' => $this->obtenirTableauPreferenceDefaut(),
'date_premiere_utilisation' => date('Y-m-d H:i:s'),
'date_derniere_consultation_evenements' => '0000-00-00 00:00:00');
}
public function obtenirInfosUtilisateur($id_utilisateur) {
$requete = 'SELECT * '.
'FROM del_utilisateur_infos '.
'WHERE id_utilisateur = '.$this->bdd->proteger($id_utilisateur).' '.
' -- '.__FILE__.' : '.__LINE__;
$prefs_utilisateur = $this->bdd->recuperer($requete);
return $prefs_utilisateur;
}
/**
* Ajoute un utilisateur à la table des profils locaux del_utilisateurs_infos;
* suppose que l'utilisateur est correctement identifié (jeton décodé disponible)
*/
public function initialiserInfosUtilisateur($id_utilisateur) {
//var_dump("Initialisation infos utilisateur !!");
$preferences_defaut = $this->obtenirTableauPreferenceDefaut();
$prefsEncodeesP = $this->bdd->proteger(json_encode($preferences_defaut));
$idUtilisateurP = $this->bdd->proteger($id_utilisateur);
$nomUtilisateurP = $this->bdd->proteger($this->jetonDecode['nom']);
$prenomUtilisateurP = $this->bdd->proteger($this->jetonDecode['prenom']);
$courrielUtilisateurP = $this->bdd->proteger($this->jetonDecode['sub']);
$intituleUtilisateurP = $this->bdd->proteger($this->jetonDecode['intitule']);
$requete = 'INSERT INTO del_utilisateur_infos '.
'(id_utilisateur, intitule, prenom, nom, courriel, admin, preferences, date_premiere_utilisation, date_derniere_consultation_evenements )'.
"VALUES ($idUtilisateurP, $intituleUtilisateurP, $prenomUtilisateurP, $nomUtilisateurP, $courrielUtilisateurP, 0, $prefsEncodeesP, NOW(), NOW()) ".
'ON DUPLICATE KEY UPDATE date_premiere_utilisation = NOW() '.
' -- '.__FILE__.' : '.__LINE__;
return $this->bdd->executer($requete);
}
/**
* Vérifie qu'un utilisateur connu est identifié (mode non anonyme) et
* que son identifiant numérique est égal à $id_utilisateur; si non,
* retourne une erreur HTTP 401 et quitte le programme
*
* @param integer $id_utilisateur l'utilisateur attendu
*/
public function controleUtilisateurIdentifie($id_utilisateur) {
$ok = ($this->utilisateur['connecte'] === true && $this->utilisateur['id_utilisateur'] == $id_utilisateur);
if (! $ok) {
$message = "";
if ($this->utilisateur['connecte'] === true) {
$message = "Vous n'êtes pas propriétaire de la ressource demandée";
} else {
$message = "Vous n'êtes pas identifié";
}
$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
throw new Exception($message, $code);
}
}
// rétrocompat'
public function etreAdmin() {
return ($this->utilisateur['admin'] >= 1);
}
// rétrocompat'
public function etreUtilisateurAvecDroitAdmin() {
$etreAdmin = $this->etreAdmin();
if (! $etreAdmin) {
$message = "Vous ne pouvez pas accéder à ce service car vous n'avez pas les droits d'administrateur !\n";
$code = RestServeur::HTTP_CODE_ACCES_NON_AUTORISE;
throw new Exception($message, $code);
}
return $etreAdmin;
}
}
/**
* Compatibilité avec nginx - merci http://php.net/manual/fr/function.getallheaders.php
*/
if (! function_exists('apache_request_headers')) {
function apache_request_headers() {
$headers = '';
foreach ($_SERVER as $name => $value) {
if (substr($name, 0, 5) == 'HTTP_') {
$headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
}
}
return $headers;
}
}