AuthController.php 8.15 KB
Newer Older
1
2
3
4
<?php

namespace UnicaenAuth\Controller;

5
6
7
use Doctrine\ORM\NoResultException;
use UnicaenApp\Controller\Plugin\AppInfos;
use UnicaenApp\Controller\Plugin\Mail;
8
9
10
11
12
use UnicaenApp\Exception\RuntimeException;
use UnicaenAuth\Service\Traits\ShibServiceAwareTrait;
use UnicaenAuth\Service\Traits\UserServiceAwareTrait;
use Zend\Authentication\AuthenticationService;
use Zend\Authentication\Exception\ExceptionInterface;
13
use Zend\Http\Request;
14
15
use Zend\Http\Response;
use Zend\Mvc\Controller\AbstractActionController;
16
use Zend\View\Model\ViewModel;
Bertrand Gauthier's avatar
Bertrand Gauthier committed
17
use ZfcUser\Controller\Plugin\ZfcUserAuthentication;
18
19
20
21

/**
 * Classe ajoutée lors de l'implémentation de l'auth Shibboleth.
 *
Bertrand Gauthier's avatar
Bertrand Gauthier committed
22
 * @method ZfcUserAuthentication zfcUserAuthentication()
23
24
25
 * @method AppInfos appInfos()
 * @method Mail mail()
 *
26
27
28
29
30
31
32
33
 * @author Bertrand GAUTHIER <bertrand.gauthier at unicaen.fr>
 */
class AuthController extends AbstractActionController
{
    use ShibServiceAwareTrait;
    use UserServiceAwareTrait;

    /**
34
35
36
37
38
39
40
41
42
43
44
45
     * Cette action peut être appelée lorsque l'authentification Shibboleth est activée
     * (unicaen-auth.shibboleth.enable === true).
     *
     * > Si la config Apache de Shibboleth est correcte, une requête à l'adresse correspondant à cette action
     * (suite au clic sur le bouton "Authentification Shibboleth", typiquement)
     * est détournée par Apache pour réaliser l'authentification Shibboleth.
     * Ce n'est qu'une fois l'authentification réalisée avec succès que cette action est appelée.
     *
     * > Si la config Apache de Shibboleth est incorrecte ou absente (localhost par exemple), et que la simulation
     * Shibboleth est activée dans la config (unicaen-auth.shibboleth.simulate), cette action est appelée et
     * la simulation est enclenchée.
     *
46
47
48
49
     * @return Response|array
     */
    public function shibbolethAction()
    {
Bertrand Gauthier's avatar
Bertrand Gauthier committed
50
51
52
        $operation = $this->params()->fromRoute('operation');

        if ($operation === 'deconnexion') {
53
            return $this->shibbolethLogout();
Bertrand Gauthier's avatar
Bertrand Gauthier committed
54
        }
55

56
        $redirectUrl = $this->params()->fromQuery('redirect', '/');
57

58
59
60
61
62
        // enclenchement de la simulation shibboleth éventuellement activée dans la config
        if ($simulate = $this->shibService->getShibbolethSimulate()) {
            $this->setStoredAuthenticatedUsername($simulate['eppn']); // tout simplement!

            return $this->redirect()->toUrl($redirectUrl);
Bertrand Gauthier's avatar
Bertrand Gauthier committed
63
64
        }

65
66
67
        $shibUser = $this->shibService->getAuthenticatedUser();
        if ($shibUser === null) {
            return []; // une page d'aide s'affichera si les données issues de Shibboleth attendues sont absentes
68
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
69

70
        // arrivé ici, l'authentification shibboleth a été faite en bonne et due forme et a réussie.
Bertrand Gauthier's avatar
Bertrand Gauthier committed
71

72
73
        $this->setStoredAuthenticatedUsername($shibUser->getUsername());
        $this->userService->userAuthenticated($shibUser);
74

Bertrand Gauthier's avatar
Bertrand Gauthier committed
75
76
77
        return $this->redirect()->toUrl($redirectUrl);
    }

78
79
80
81
82
83
    /**
     * Déconnexion Shibboleth.
     *
     * @return array|Response
     */
    private function shibbolethLogout()
Bertrand Gauthier's avatar
Bertrand Gauthier committed
84
    {
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
        // déconnexion applicative quoiqu'il arrive
        $this->zfcUserAuthentication()->getAuthAdapter()->resetAdapters();
        $this->zfcUserAuthentication()->getAuthAdapter()->logoutAdapters();
        $this->zfcUserAuthentication()->getAuthService()->clearIdentity();

        // déconnexion Shibboleth le cas échéant
        if ($this->shibService->isShibbolethEnabled()) {
            // désactivation de l'usurpation d'identité éventuelle
            $this->shibService->deactivateUsurpation();

            // URL par défaut vers laquelle on redirige après déconnexion : accueil
            $homeUrl = $this->url()->fromRoute('home', [], ['force_canonical' => true]);
            $returnAbsoluteUrl = $this->params()->fromQuery('return', $homeUrl);

            return $this->redirect()->toUrl($this->shibService->getLogoutUrl($returnAbsoluteUrl));
        } else {
            return []; // une page d'aide s'affichera
        }
    }
104

105
106
107
108
109
110
111
112
113
114
115
116
    /**
     * @param string $username
     */
    private function setStoredAuthenticatedUsername($username)
    {
        /** @var AuthenticationService $authService */
        $authService = $this->getServiceLocator()->get('zfcuser_auth_service');
        try {
            $authService->getStorage()->write($username);
        } catch (ExceptionInterface $e) {
            throw new RuntimeException("Impossible d'écrire dans le storage");
        }
117
    }
118

119
120
121
122
    /**
     * @return Response|ViewModel
     */
    public function requestPasswordResetAction()
123
    {
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
        $form = $this->userService->createResetPasswordEmailForm();

        $view = new ViewModel();
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/request-password-reset-form');

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                $email = $data['email'];
                $this->processPasswordResetRequest($email);

                $view->setVariable('email', $email);
                $view->setTemplate('unicaen-auth/auth/request-password-reset-success');
            }
        }
144

145
146
        return $view;
    }
147

148
149
150
151
152
153
154
155
    private function processPasswordResetRequest($email)
    {
        try {
            $token = $this->userService->updateUserPasswordResetToken($email);
        } catch (NoResultException $nre) {
            // aucun utilisateur trouvé tel que username = $email
            return;
        }
156

157
158
159
160
161
162
163
164
165
166
167
168
        // envoi du mail contenant le lien de changement de mdp
        $app = $this->appInfos()->getNom();
        $subject = "[$app] Demande de changement de mot de passe";
        $changePasswordUrl = $this->url()->fromRoute('auth/changePassword', ['token' => $token], ['force_canonical' => true]);
        $body = <<<EOS
<p>Une demande de changement de mot de passe a été faite sur l'application $app.</p>
<p>Si vous n'en êtes pas l'auteur, vous pouvez ignorer ce message.</p>
<p>Cliquez sur le lien suivant pour accéder au formulaire de changement de votre mot de passe :<br><a href='$changePasswordUrl'>$changePasswordUrl</a></p>
EOS;
        $message = $this->mail()->createNewMessage($body, $subject);
        $message->setTo($email);
        $this->mail()->send($message);
169
170
    }

171
172
173
    /**
     * @return array|ViewModel
     */
174
175
    public function changePasswordAction()
    {
176
177
        $token = $this->params()->fromRoute('token');
        $view = new ViewModel();
178

179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
        // recherche du token spécifié dans table utilisateur
        $user = $this->userService->getUserMapper()->findOneByPasswordResetToken($token);
        if ($user === null) {
            // token inexistant
            $view->setVariable('result', 'unknown_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }

        $form = $this->userService->createPasswordChangeForm();

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                // màj password
                $password = $this->params()->fromPost('password');
                $this->userService->updateUserPassword($user, $password);

                $view->setVariable('result', 'success');
                $view->setTemplate('unicaen-auth/auth/change-password-result');

                // todo: faut-il déconnecter l'utilisateur (attention au logout shib différent) ?

                return $view;
            }
        }

        // test durée de vie du token
        $date = $this->userService->extractDateFromResetPasswordToken($token);
        if ($date < date_create()) {
            // token expiré, on le raz
            $this->userService->clearUserPasswordResetToken($user);

            $view->setVariable('result', 'dead_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }
222

223
224
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/change-password-form');
225

226
        return $view;
227
    }
228
}