AuthController.php 16 KB
Newer Older
1
2
3
4
<?php

namespace UnicaenAuth\Controller;

5
use DomainException;
6
7
use UnicaenApp\Controller\Plugin\AppInfos;
use UnicaenApp\Controller\Plugin\Mail;
8
use UnicaenApp\Exception\RuntimeException;
9
10
use UnicaenAuth\Authentication\Adapter\Cas;
use UnicaenAuth\Authentication\Adapter\LocalAdapter;
11
use UnicaenAuth\Authentication\Adapter\Shib;
12
use UnicaenAuth\Entity\Db\Role;
13
use UnicaenAuth\Form\LoginForm;
14
15
use UnicaenAuth\Options\Traits\ModuleOptionsAwareTrait;
use UnicaenAuth\Service\ShibService;
16
use UnicaenAuth\Service\Traits\ShibServiceAwareTrait;
17
use UnicaenAuth\Service\Traits\UserContextServiceAwareTrait;
18
use UnicaenAuth\Service\Traits\UserServiceAwareTrait;
19
use Zend\Http\Request;
20
21
use Zend\Http\Response;
use Zend\Mvc\Controller\AbstractActionController;
22
23
use Zend\Mvc\Plugin\FlashMessenger\FlashMessenger;
use Zend\Stdlib\ResponseInterface;
24
use Zend\View\Model\ViewModel;
Bertrand Gauthier's avatar
Bertrand Gauthier committed
25
use ZfcUser\Controller\Plugin\ZfcUserAuthentication;
26
27

/**
Bertrand Gauthier's avatar
Bertrand Gauthier committed
28
 * @method ZfcUserAuthentication zfcUserAuthentication()
29
30
 * @method AppInfos appInfos()
 * @method Mail mail()
31
 * @method FlashMessenger flashMessenger()
32
 *
33
34
 * @author Bertrand GAUTHIER <bertrand.gauthier at unicaen.fr>
 */
35
class AuthController extends AbstractActionController
36
{
37
38
39
40
41
42
43
44
    const AUTH_TYPE_LOCAL = 'local';
    const AUTH_TYPE_LOCAL_DB = 'db';
    const AUTH_TYPE_LOCAL_LDAP = 'ldap';
    const AUTH_TYPES_LOCAL = [self::AUTH_TYPE_LOCAL_DB, self::AUTH_TYPE_LOCAL_LDAP];

    const AUTH_TYPE_TOKEN = 'token';

    const AUTH_TYPE_QUERY_PARAM = 'authtype';
45

46
47
    use ShibServiceAwareTrait;
    use UserServiceAwareTrait;
48
    use UserContextServiceAwareTrait;
49
50
    use ModuleOptionsAwareTrait;

51
52
53
54
55
    /**
     * @var string
     */
    protected $defaultAuthType = self::AUTH_TYPE_LOCAL_DB;

56
    /**
57
     * @var LoginForm[] ['type' => LoginForm]
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
     */
    protected $loginFormForType;

    /**
     * @var callable $redirectCallback
     */
    protected $redirectCallback;

    /**
     * @param callable $redirectCallback
     * @return self
     */
    public function setRedirectCallback(callable $redirectCallback): self
    {
        $this->redirectCallback = $redirectCallback;
        return $this;
    }
75
76

    /**
77
     * @param string $type
78
     * @return LoginForm
79
     */
80
    public function getLoginFormForType(string $type): LoginForm
81
    {
82
83
        if ($type === self::AUTH_TYPE_LOCAL) {
            $type = $this->defaultAuthType;
84
85
        }

86
87
88
89
90
91
92
93
        if (! isset($this->loginFormForType[$type])) {
            throw new RuntimeException("Pas de formulaire spécifié pour le type '$type'");
        }

        return $this->loginFormForType[$type];
    }

    /**
94
     * @param LoginForm $loginForm
95
96
     * @return self
     */
97
    public function addLoginForm(LoginForm $loginForm): self
98
    {
99
100
101
        foreach ($loginForm->getTypes() as $type) {
            $this->loginFormForType[$type] = $loginForm;
        }
102
103
104
105
106
107
108

        return $this;
    }

    /**
     * @var string
     */
109
    protected $failedLoginMessage = "L'authentification a échoué, merci de réessayer.";
110
111
112
113
114

    /**
     * Login form
     */
    public function loginAction()
115
    {
116
        if ($this->zfcUserAuthentication()->hasIdentity()) {
117
118
119
120
121
122
123
124
            $roleId = $this->params()->fromPost('role', $this->params()->fromQuery('role', false));
            if ($roleId) {
                $this->serviceUserContext->setSelectedIdentityRole($roleId);
            }
            if ($this->getRequestedRedirect()) {
                $redirect = $this->redirectCallback;
                return $redirect();
            }
125
126
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
127

128
129
130
131
        $typeFromRoute = $this->params('type');
        $typeFromRequest = $this->getRequestedAuthenticationType();
        $type = $this->processedType($typeFromRequest);
        if ($type !== $typeFromRoute) {
132
            return $this->redirect()->toRoute(null, ['type' => $type], ['query' => $this->params()->fromQuery()], true);
Bertrand Gauthier's avatar
Bertrand Gauthier committed
133
        }
134

135
        $request = $this->getRequest();
136
        $form = $this->getLoginFormForType($type);
137
        $form->initFromRequest($request);
138

139
        // si le formulaire POSTé ne possède aucun champ identifiant, on va directement à authenticateAction()
140
        if ($request->isPost() and ! $request->getPost()->offsetExists('identity')) {
141
            return $this->redirect()->toRoute('zfcuser/authenticate', [], ['query' => $this->params()->fromQuery()], true);
142
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
143

144
        $redirect = $this->getRequestedRedirect();
145
146
147
148
149
150
        $roleId = $this->params()->fromPost('role', $this->params()->fromQuery('role', false));
        $queryParams = array_filter([
            'redirect' => $redirect ?: null,
            'role' => $roleId ?: null,
        ]);
        $url = $this->url()->fromRoute(null, [], ['query' => $queryParams], true);
151
        $form->setAttribute('action', $url);
152

153
154
155
156
157
        if (!$request->isPost()) {
            return array(
                'types' => $this->moduleOptions->getEnabledAuthTypes(),
                'type' => $type,
                'loginForm' => $form,
158
                'forms' => $this->loginFormForType,
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
                'redirect'  => $redirect,
                'enableRegistration' => $this->moduleOptions->getEnableRegistration(),
            );
        }

        $form->setData($request->getPost());

        if (!$form->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            return $this->redirect()->toUrl($url);
        }

        // clear adapters
        $this->zfcUserAuthentication()->getAuthAdapter()->resetAdapters();
        $this->zfcUserAuthentication()->getAuthService()->clearIdentity();

        return $this->authenticateAction();
Bertrand Gauthier's avatar
Bertrand Gauthier committed
176
177
    }

178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
    /**
     * @return string|null
     */
    protected function getRequestedAuthenticationType(): ?string
    {
        // si un type est spécifié dans la route, on prend
        if ($requestedType = $this->params('type')) {
            return $requestedType;
        }

        $requestedType = null;

        // un type d'auth peut être demandé dans l'URL de redirection
        if ($redirect = $this->getRequestedRedirect()) {
            parse_str(parse_url(urldecode($redirect), PHP_URL_QUERY), $queryParams);
            if (isset($queryParams[self::AUTH_TYPE_QUERY_PARAM])) {
                $requestedType = $queryParams[self::AUTH_TYPE_QUERY_PARAM];
            }
        }
        
        return $requestedType;
    }

    /**
     * @return string|null
     */
    protected function getRequestedRedirect(): ?string
    {
        if (! $this->moduleOptions->getUseRedirectParameterIfPresent()) {
            return null;
        }

        return $this->params()->fromQuery('redirect');
    }

213
214
215
216
217
218
    /**
     * @param string|null $type
     * @return string
     */
    private function processedType(string $type = null): string
    {
219
        if ($type === self::AUTH_TYPE_LOCAL) {
220
221
222
223
224
225
226
227
228
229
230
            return $type;
        }

        $enabledTypes = array_keys($this->moduleOptions->getEnabledAuthTypes()); // types d'auth activés

        // si aucun type n'est spécifié dans la requête ou si le type n'est pas activé, on prend le 1er type activé.
        if (! in_array($type, $enabledTypes)) {
            $type = reset($enabledTypes);
        }

        // type spécial pour les modes d'authentification nécessitant un formulaire username/password
231
232
        if (in_array($type, self::AUTH_TYPES_LOCAL)) {
            $type = self::AUTH_TYPE_LOCAL;
233
234
235
236
237
        }

        return $type;
    }

238
    /**
239
     * General-purpose authentication action
240
     */
241
    public function authenticateAction()
Bertrand Gauthier's avatar
Bertrand Gauthier committed
242
    {
243
        if ($this->zfcUserAuthentication()->hasIdentity()) {
244
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
245
        }
246

247
248
249
        $type    = $this->params('type');
        $adapter = $this->zfcUserAuthentication()->getAuthAdapter();
        $redirect = $this->params()->fromPost('redirect', $this->params()->fromQuery('redirect', false));
250
        $roleId = $this->params()->fromPost('role', $this->params()->fromQuery('role', false));
251

252
253
254
        $request = $this->getRequest();
        $request->getPost()->set('type', $type);
        $result = $adapter->prepareForAuthentication($request);
255

256
257
258
259
260
261
262
        // Return early if an adapter returned a response
        if ($result instanceof ResponseInterface) {
            return $result;
        }

        $auth = $this->zfcUserAuthentication()->getAuthService()->authenticate($adapter);

263
264
265
266
        if ($roleId) {
            $this->serviceUserContext->setNextSelectedIdentityRole($roleId);
        }

267
        if (!$auth->isValid()) {
268
269
            $message = $auth->getMessages()[0] ?? $this->failedLoginMessage;
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($message);
270
            $adapter->resetAdapters();
271
272
273
274
275
            $queryParams = array_filter([
                'redirect' => $redirect ?: null,
                'role' => $roleId ?: null,
            ]);
            $url = $this->url()->fromRoute(null, [], ['query' => $queryParams], true);
276
277
278
279
280
281
282
283
284
285
286
            return $this->redirect()->toUrl($url);
        }

        $redirect = $this->redirectCallback;

        return $redirect();
    }

    /**
     * Logout and clear the identity
     */
287
    public function logoutAction(): ResponseInterface
288
289
290
291
292
293
294
    {
        $chain = $this->zfcUserAuthentication()->getAuthAdapter();
        $service = $this->zfcUserAuthentication()->getAuthService();

        $chain->resetAdapters();

        /**
295
296
         * @see LocalAdapter::logout()
         * @see Cas::logout()
297
298
299
300
301
302
303
304
         * @see Shib::logout()
         */
        $result = $chain->logoutAdapters();

        $service->clearIdentity();

        if ($result instanceof ResponseInterface) {
            return $result;
305
        }
306
307
308
309

        $redirect = $this->redirectCallback;

        return $redirect();
310
    }
311

312
    /**
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
     * Cette action peut être appelée lorsque l'authentification Shibboleth est activée
     * (unicaen-auth.shibboleth.enable === true).
     *
     * > Si la config Apache du module Shibboleth est correcte sur le serveur d'appli, une requête à l'adresse
     *   correspondant à cette action sera détournée par Apache pour réaliser l'authentification Shibboleth.
     *   Une fois l'authentification réalisée avec succès, le Apache renvoie une nouvelle requête
     *   à l'adresse correspondant à cette action, et l'utilisateur authentifié est disponible via
     *   {@see ShibService::getAuthenticatedUser()}.
     *
     * > Par contre, si la config Apache du module Shibboleth est incorrecte ou absente (sur votre machine de dev par
     *   exemple), alors :
     *     - si la simulation Shibboleth est activée dans la config du module unicaen/auth
     *       (unicaen-auth.shibboleth.simulate), c'est l'utilisateur configurée qui sera authentifié ;
     *     - sinon, une page d'aide s'affichera indiquant que la config Apache du module Shibboleth est sans doute
     *       erronée.
     *
     * @return Response|array
330
     */
331
    public function shibbolethAction()
332
    {
333
334
335
336
337
        $shibUser = $this->shibService->getAuthenticatedUser();
        // NB: si la simulation d'authentification est activée (cf. config), $shibUser !== null.

        if ($shibUser === null) {
            return []; // affichage d'une page d'aide
338
        }
339
340
341
342
343

        // URL vers laquelle rediriger une fois l'authentification réussie
        $redirectUrl = $this->params()->fromQuery('redirect', '/');

        return $this->redirect()->toUrl($redirectUrl);
344
    }
345

346
347
348
349
    /**
     * @return Response|ViewModel
     */
    public function requestPasswordResetAction()
350
    {
351
352
353
354
355
356
357
358
359
360
361
362
363
364
        $form = $this->userService->createResetPasswordEmailForm();

        $view = new ViewModel();
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/request-password-reset-form');

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                $email = $data['email'];
365
366
367
368
369
370
371
372
373
                try {
                    $this->processPasswordResetRequest($email);

                    $view->setVariable('email', $email);
                    $view->setTemplate('unicaen-auth/auth/request-password-reset-success');
                } catch (DomainException $de) {
                    // affichage de l'erreur comme une erreur de validation
                    $form->get('email')->setMessages([$de->getMessage()]);
                }
374
375
            }
        }
376

377
378
        return $view;
    }
379

380
381
382
    /**
     * @param string $email
     */
383
    private function processPasswordResetRequest(string $email)
384
    {
385
386
387
388
389
390
391
        // Recherche de l'utilisateur ayant pour *username* (login) l'email spécifié
        $user = $this->userService->getUserMapper()->findOneByUsername($email);

        if ($user === null) {
            // Aucun utilisateur trouvé ayant l'email spécifié :
            // on ne fait rien mais on ne le signale pas sinon le formulaire permettrait
            // de tester si des emails potentiellement valides existent dans la base.
392
393
            return;
        }
394
395
396
397
398
399
400
        if (! $user->isLocal()) {
            // L'email spécifié appartient à un utilisateur non local : on signale l'impossibilité de changer le mdp.
            throw new DomainException("Le changement de mot de passe n'est pas possible pour cet utilisateur.");
        }

        // génération/enregistrement d'un token
        $token = $this->userService->updateUserPasswordResetToken($user);
401

402
403
404
405
406
407
408
409
410
411
412
413
        // envoi du mail contenant le lien de changement de mdp
        $app = $this->appInfos()->getNom();
        $subject = "[$app] Demande de changement de mot de passe";
        $changePasswordUrl = $this->url()->fromRoute('auth/changePassword', ['token' => $token], ['force_canonical' => true]);
        $body = <<<EOS
<p>Une demande de changement de mot de passe a été faite sur l'application $app.</p>
<p>Si vous n'en êtes pas l'auteur, vous pouvez ignorer ce message.</p>
<p>Cliquez sur le lien suivant pour accéder au formulaire de changement de votre mot de passe :<br><a href='$changePasswordUrl'>$changePasswordUrl</a></p>
EOS;
        $message = $this->mail()->createNewMessage($body, $subject);
        $message->setTo($email);
        $this->mail()->send($message);
414
415
    }

416
417
418
    /**
     * @return array|ViewModel
     */
419
420
    public function changePasswordAction()
    {
421
422
        $token = $this->params()->fromRoute('token');
        $view = new ViewModel();
423

424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
        // recherche du token spécifié dans table utilisateur
        $user = $this->userService->getUserMapper()->findOneByPasswordResetToken($token);
        if ($user === null) {
            // token inexistant
            $view->setVariable('result', 'unknown_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }

        $form = $this->userService->createPasswordChangeForm();

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                // màj password
                $password = $this->params()->fromPost('password');
                $this->userService->updateUserPassword($user, $password);

                $view->setVariable('result', 'success');
                $view->setTemplate('unicaen-auth/auth/change-password-result');

                // todo: faut-il déconnecter l'utilisateur (attention au logout shib différent) ?

                return $view;
            }
        }

        // test durée de vie du token
        $date = $this->userService->extractDateFromResetPasswordToken($token);
        if ($date < date_create()) {
            // token expiré, on le raz
            $this->userService->clearUserPasswordResetToken($user);

            $view->setVariable('result', 'dead_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }
467

468
469
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/change-password-form');
470

471
        return $view;
472
    }
473
}