AuthController.php 15.1 KB
Newer Older
1
2
3
4
<?php

namespace UnicaenAuth\Controller;

5
use DomainException;
6
7
use UnicaenApp\Controller\Plugin\AppInfos;
use UnicaenApp\Controller\Plugin\Mail;
8
use UnicaenApp\Exception\RuntimeException;
9
10
use UnicaenAuth\Authentication\Adapter\Cas;
use UnicaenAuth\Authentication\Adapter\LocalAdapter;
11
use UnicaenAuth\Authentication\Adapter\Shib;
12
use UnicaenAuth\Form\LoginForm;
13
14
use UnicaenAuth\Options\Traits\ModuleOptionsAwareTrait;
use UnicaenAuth\Service\ShibService;
15
16
use UnicaenAuth\Service\Traits\ShibServiceAwareTrait;
use UnicaenAuth\Service\Traits\UserServiceAwareTrait;
17
use Zend\Form\FormInterface;
18
use Zend\Http\Request;
19
20
use Zend\Http\Response;
use Zend\Mvc\Controller\AbstractActionController;
21
22
use Zend\Mvc\Plugin\FlashMessenger\FlashMessenger;
use Zend\Stdlib\ResponseInterface;
23
use Zend\View\Model\ViewModel;
Bertrand Gauthier's avatar
Bertrand Gauthier committed
24
use ZfcUser\Controller\Plugin\ZfcUserAuthentication;
25
26

/**
Bertrand Gauthier's avatar
Bertrand Gauthier committed
27
 * @method ZfcUserAuthentication zfcUserAuthentication()
28
29
 * @method AppInfos appInfos()
 * @method Mail mail()
30
 * @method FlashMessenger flashMessenger()
31
 *
32
33
 * @author Bertrand GAUTHIER <bertrand.gauthier at unicaen.fr>
 */
34
class AuthController extends AbstractActionController
35
{
36
37
38
39
40
41
42
43
    const AUTH_TYPE_LOCAL = 'local';
    const AUTH_TYPE_LOCAL_DB = 'db';
    const AUTH_TYPE_LOCAL_LDAP = 'ldap';
    const AUTH_TYPES_LOCAL = [self::AUTH_TYPE_LOCAL_DB, self::AUTH_TYPE_LOCAL_LDAP];

    const AUTH_TYPE_TOKEN = 'token';

    const AUTH_TYPE_QUERY_PARAM = 'authtype';
44

45
46
    use ShibServiceAwareTrait;
    use UserServiceAwareTrait;
47
48
    use ModuleOptionsAwareTrait;

49
50
51
52
53
    /**
     * @var string
     */
    protected $defaultAuthType = self::AUTH_TYPE_LOCAL_DB;

54
    /**
55
     * @var FormInterface[] ['type' => FormInterface]
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
     */
    protected $loginFormForType;

    /**
     * @var callable $redirectCallback
     */
    protected $redirectCallback;

    /**
     * @param callable $redirectCallback
     * @return self
     */
    public function setRedirectCallback(callable $redirectCallback): self
    {
        $this->redirectCallback = $redirectCallback;
        return $this;
    }
73
74

    /**
75
     * @param string $type
76
     * @return LoginForm
77
     */
78
    public function getLoginFormForType(string $type): FormInterface
79
    {
80
81
        if ($type === self::AUTH_TYPE_LOCAL) {
            $type = $this->defaultAuthType;
82
83
        }

84
85
86
87
88
89
90
91
        if (! isset($this->loginFormForType[$type])) {
            throw new RuntimeException("Pas de formulaire spécifié pour le type '$type'");
        }

        return $this->loginFormForType[$type];
    }

    /**
92
     * @param LoginForm $loginForm
93
94
     * @return self
     */
95
    public function addLoginForm(LoginForm $loginForm): self
96
    {
97
98
99
        foreach ($loginForm->getTypes() as $type) {
            $this->loginFormForType[$type] = $loginForm;
        }
100
101
102
103
104
105
106
107
108
109
110
111
112

        return $this;
    }

    /**
     * @var string
     */
    protected $failedLoginMessage = "Identifiant ou mot de passe incorrect.";

    /**
     * Login form
     */
    public function loginAction()
113
    {
114
115
116
        if ($this->zfcUserAuthentication()->hasIdentity()) {
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
117

118
119
120
121
        $typeFromRoute = $this->params('type');
        $typeFromRequest = $this->getRequestedAuthenticationType();
        $type = $this->processedType($typeFromRequest);
        if ($type !== $typeFromRoute) {
122
            return $this->redirect()->toRoute(null, ['type' => $type], ['query' => $this->params()->fromQuery()], true);
Bertrand Gauthier's avatar
Bertrand Gauthier committed
123
        }
124

125
        $request = $this->getRequest();
126
        $form = $this->getLoginFormForType($type);
127

128
129
130
        // si le formulaire POSTé ne possède aucun champ identifiant, on va directement à authenticateAction()
        if ($request->isPost() and ! $request->getPost()->get('identity')) {
            return $this->redirect()->toRoute('zfcuser/authenticate', [], ['query' => $this->params()->fromQuery()], true);
131
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
132

133
134
        $redirect = $this->getRequestedRedirect();
        $queryParams = ['query' => ($redirect ? ['redirect' => $redirect] : [])];
135
136
        $url = $this->url()->fromRoute(null, [], $queryParams, true);
        $form->setAttribute('action', $url);
137

138
139
140
141
142
        if (!$request->isPost()) {
            return array(
                'types' => $this->moduleOptions->getEnabledAuthTypes(),
                'type' => $type,
                'loginForm' => $form,
143
                'forms' => $this->loginFormForType,
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
                'redirect'  => $redirect,
                'enableRegistration' => $this->moduleOptions->getEnableRegistration(),
            );
        }

        $form->setData($request->getPost());

        if (!$form->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            return $this->redirect()->toUrl($url);
        }

        // clear adapters
        $this->zfcUserAuthentication()->getAuthAdapter()->resetAdapters();
        $this->zfcUserAuthentication()->getAuthService()->clearIdentity();

        return $this->authenticateAction();
Bertrand Gauthier's avatar
Bertrand Gauthier committed
161
162
    }

163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
    /**
     * @return string|null
     */
    protected function getRequestedAuthenticationType(): ?string
    {
        // si un type est spécifié dans la route, on prend
        if ($requestedType = $this->params('type')) {
            return $requestedType;
        }

        $requestedType = null;

        // un type d'auth peut être demandé dans l'URL de redirection
        if ($redirect = $this->getRequestedRedirect()) {
            parse_str(parse_url(urldecode($redirect), PHP_URL_QUERY), $queryParams);
            if (isset($queryParams[self::AUTH_TYPE_QUERY_PARAM])) {
                $requestedType = $queryParams[self::AUTH_TYPE_QUERY_PARAM];
            }
        }
        
        return $requestedType;
    }

    /**
     * @return string|null
     */
    protected function getRequestedRedirect(): ?string
    {
        if (! $this->moduleOptions->getUseRedirectParameterIfPresent()) {
            return null;
        }

        return $this->params()->fromQuery('redirect');
    }

198
199
200
201
202
203
    /**
     * @param string|null $type
     * @return string
     */
    private function processedType(string $type = null): string
    {
204
        if ($type === self::AUTH_TYPE_LOCAL) {
205
206
207
208
209
210
211
212
213
214
215
            return $type;
        }

        $enabledTypes = array_keys($this->moduleOptions->getEnabledAuthTypes()); // types d'auth activés

        // si aucun type n'est spécifié dans la requête ou si le type n'est pas activé, on prend le 1er type activé.
        if (! in_array($type, $enabledTypes)) {
            $type = reset($enabledTypes);
        }

        // type spécial pour les modes d'authentification nécessitant un formulaire username/password
216
217
        if (in_array($type, self::AUTH_TYPES_LOCAL)) {
            $type = self::AUTH_TYPE_LOCAL;
218
219
220
221
222
        }

        return $type;
    }

223
224
225
226
227
228
229
230
    /**
     * Authentification à l'aide d'un token.
     */
    public function tokenAction()
    {

    }

231
    /**
232
     * General-purpose authentication action
233
     */
234
    public function authenticateAction()
Bertrand Gauthier's avatar
Bertrand Gauthier committed
235
    {
236
        if ($this->zfcUserAuthentication()->hasIdentity()) {
237
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
238
        }
239

240
241
242
        $type    = $this->params('type');
        $adapter = $this->zfcUserAuthentication()->getAuthAdapter();
        $redirect = $this->params()->fromPost('redirect', $this->params()->fromQuery('redirect', false));
243

244
245
246
        $request = $this->getRequest();
        $request->getPost()->set('type', $type);
        $result = $adapter->prepareForAuthentication($request);
247

248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
        // Return early if an adapter returned a response
        if ($result instanceof ResponseInterface) {
            return $result;
        }

        $auth = $this->zfcUserAuthentication()->getAuthService()->authenticate($adapter);

        if (!$auth->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            $adapter->resetAdapters();
            $url = $this->url()->fromRoute(null, [], ['query' => $redirect ? ['redirect' => $redirect] : []], true);
            return $this->redirect()->toUrl($url);
        }

        $redirect = $this->redirectCallback;

        return $redirect();
    }

    /**
     * Logout and clear the identity
     */
270
    public function logoutAction(): ResponseInterface
271
272
273
274
275
276
277
    {
        $chain = $this->zfcUserAuthentication()->getAuthAdapter();
        $service = $this->zfcUserAuthentication()->getAuthService();

        $chain->resetAdapters();

        /**
278
279
         * @see LocalAdapter::logout()
         * @see Cas::logout()
280
281
282
283
284
285
286
287
         * @see Shib::logout()
         */
        $result = $chain->logoutAdapters();

        $service->clearIdentity();

        if ($result instanceof ResponseInterface) {
            return $result;
288
        }
289
290
291
292

        $redirect = $this->redirectCallback;

        return $redirect();
293
    }
294

295
    /**
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
     * Cette action peut être appelée lorsque l'authentification Shibboleth est activée
     * (unicaen-auth.shibboleth.enable === true).
     *
     * > Si la config Apache du module Shibboleth est correcte sur le serveur d'appli, une requête à l'adresse
     *   correspondant à cette action sera détournée par Apache pour réaliser l'authentification Shibboleth.
     *   Une fois l'authentification réalisée avec succès, le Apache renvoie une nouvelle requête
     *   à l'adresse correspondant à cette action, et l'utilisateur authentifié est disponible via
     *   {@see ShibService::getAuthenticatedUser()}.
     *
     * > Par contre, si la config Apache du module Shibboleth est incorrecte ou absente (sur votre machine de dev par
     *   exemple), alors :
     *     - si la simulation Shibboleth est activée dans la config du module unicaen/auth
     *       (unicaen-auth.shibboleth.simulate), c'est l'utilisateur configurée qui sera authentifié ;
     *     - sinon, une page d'aide s'affichera indiquant que la config Apache du module Shibboleth est sans doute
     *       erronée.
     *
     * @return Response|array
313
     */
314
    public function shibbolethAction()
315
    {
316
317
318
319
320
        $shibUser = $this->shibService->getAuthenticatedUser();
        // NB: si la simulation d'authentification est activée (cf. config), $shibUser !== null.

        if ($shibUser === null) {
            return []; // affichage d'une page d'aide
321
        }
322
323
324
325
326

        // URL vers laquelle rediriger une fois l'authentification réussie
        $redirectUrl = $this->params()->fromQuery('redirect', '/');

        return $this->redirect()->toUrl($redirectUrl);
327
    }
328

329
330
331
332
    /**
     * @return Response|ViewModel
     */
    public function requestPasswordResetAction()
333
    {
334
335
336
337
338
339
340
341
342
343
344
345
346
347
        $form = $this->userService->createResetPasswordEmailForm();

        $view = new ViewModel();
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/request-password-reset-form');

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                $email = $data['email'];
348
349
350
351
352
353
354
355
356
                try {
                    $this->processPasswordResetRequest($email);

                    $view->setVariable('email', $email);
                    $view->setTemplate('unicaen-auth/auth/request-password-reset-success');
                } catch (DomainException $de) {
                    // affichage de l'erreur comme une erreur de validation
                    $form->get('email')->setMessages([$de->getMessage()]);
                }
357
358
            }
        }
359

360
361
        return $view;
    }
362

363
364
365
    /**
     * @param string $email
     */
366
    private function processPasswordResetRequest(string $email)
367
    {
368
369
370
371
372
373
374
        // Recherche de l'utilisateur ayant pour *username* (login) l'email spécifié
        $user = $this->userService->getUserMapper()->findOneByUsername($email);

        if ($user === null) {
            // Aucun utilisateur trouvé ayant l'email spécifié :
            // on ne fait rien mais on ne le signale pas sinon le formulaire permettrait
            // de tester si des emails potentiellement valides existent dans la base.
375
376
            return;
        }
377
378
379
380
381
382
383
        if (! $user->isLocal()) {
            // L'email spécifié appartient à un utilisateur non local : on signale l'impossibilité de changer le mdp.
            throw new DomainException("Le changement de mot de passe n'est pas possible pour cet utilisateur.");
        }

        // génération/enregistrement d'un token
        $token = $this->userService->updateUserPasswordResetToken($user);
384

385
386
387
388
389
390
391
392
393
394
395
396
        // envoi du mail contenant le lien de changement de mdp
        $app = $this->appInfos()->getNom();
        $subject = "[$app] Demande de changement de mot de passe";
        $changePasswordUrl = $this->url()->fromRoute('auth/changePassword', ['token' => $token], ['force_canonical' => true]);
        $body = <<<EOS
<p>Une demande de changement de mot de passe a été faite sur l'application $app.</p>
<p>Si vous n'en êtes pas l'auteur, vous pouvez ignorer ce message.</p>
<p>Cliquez sur le lien suivant pour accéder au formulaire de changement de votre mot de passe :<br><a href='$changePasswordUrl'>$changePasswordUrl</a></p>
EOS;
        $message = $this->mail()->createNewMessage($body, $subject);
        $message->setTo($email);
        $this->mail()->send($message);
397
398
    }

399
400
401
    /**
     * @return array|ViewModel
     */
402
403
    public function changePasswordAction()
    {
404
405
        $token = $this->params()->fromRoute('token');
        $view = new ViewModel();
406

407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
        // recherche du token spécifié dans table utilisateur
        $user = $this->userService->getUserMapper()->findOneByPasswordResetToken($token);
        if ($user === null) {
            // token inexistant
            $view->setVariable('result', 'unknown_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }

        $form = $this->userService->createPasswordChangeForm();

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                // màj password
                $password = $this->params()->fromPost('password');
                $this->userService->updateUserPassword($user, $password);

                $view->setVariable('result', 'success');
                $view->setTemplate('unicaen-auth/auth/change-password-result');

                // todo: faut-il déconnecter l'utilisateur (attention au logout shib différent) ?

                return $view;
            }
        }

        // test durée de vie du token
        $date = $this->userService->extractDateFromResetPasswordToken($token);
        if ($date < date_create()) {
            // token expiré, on le raz
            $this->userService->clearUserPasswordResetToken($user);

            $view->setVariable('result', 'dead_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }
450

451
452
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/change-password-form');
453

454
        return $view;
455
    }
456
}