AuthController.php 13.7 KB
Newer Older
1
2
3
4
<?php

namespace UnicaenAuth\Controller;

5
use DomainException;
6
7
use UnicaenApp\Controller\Plugin\AppInfos;
use UnicaenApp\Controller\Plugin\Mail;
8
use UnicaenApp\Exception\RuntimeException;
9
10
11
12
13
14
use UnicaenAuth\Authentication\Adapter\Db;
use UnicaenAuth\Authentication\Adapter\Ldap;
use UnicaenAuth\Authentication\Adapter\Shib;
use UnicaenAuth\Options\Traits\ModuleOptionsAwareTrait;
use UnicaenAuth\Service\ShibService;
use UnicaenAuth\Service\Traits\CasServiceAwareTrait;
15
16
17
use UnicaenAuth\Service\Traits\ShibServiceAwareTrait;
use UnicaenAuth\Service\Traits\UserServiceAwareTrait;
use Zend\Authentication\AuthenticationService;
18
use Zend\Form\FormInterface;
19
use Zend\Http\Request;
20
21
use Zend\Http\Response;
use Zend\Mvc\Controller\AbstractActionController;
22
23
use Zend\Mvc\Plugin\FlashMessenger\FlashMessenger;
use Zend\Stdlib\ResponseInterface;
24
use Zend\View\Model\ViewModel;
Bertrand Gauthier's avatar
Bertrand Gauthier committed
25
use ZfcUser\Controller\Plugin\ZfcUserAuthentication;
26
27

/**
Bertrand Gauthier's avatar
Bertrand Gauthier committed
28
 * @method ZfcUserAuthentication zfcUserAuthentication()
29
30
 * @method AppInfos appInfos()
 * @method Mail mail()
31
 * @method FlashMessenger flashMessenger()
32
 *
33
34
 * @author Bertrand GAUTHIER <bertrand.gauthier at unicaen.fr>
 */
35
class AuthController extends AbstractActionController
36
{
37
    use CasServiceAwareTrait;
38
39
    use ShibServiceAwareTrait;
    use UserServiceAwareTrait;
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
    use ModuleOptionsAwareTrait;

    /**
     * @var FormInterface[] [type => FormInterface]
     */
    protected $loginFormForType;

    /**
     * @var callable $redirectCallback
     */
    protected $redirectCallback;

    /**
     * @param callable $redirectCallback
     * @return self
     */
    public function setRedirectCallback(callable $redirectCallback): self
    {
        $this->redirectCallback = $redirectCallback;
        return $this;
    }
61

62
63
64
65
66
67
68
69
70
71
72
73
74
    /**
     * @var AuthenticationService
     */
    private $authenticationService;

    /**
     * @param AuthenticationService $authenticationService
     */
    public function setAuthenticationService(AuthenticationService $authenticationService)
    {
        $this->authenticationService = $authenticationService;
    }

75
    /**
76
77
     * @param string $type
     * @return FormInterface
78
     */
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
    public function getLoginFormForType(string $type)
    {
        if (! isset($this->loginFormForType[$type])) {
            throw new RuntimeException("Pas de formulaire spécifié pour le type '$type'");
        }

        return $this->loginFormForType[$type];
    }

    /**
     * @param FormInterface $loginForm
     * @param string $type
     * @return self
     */
    public function setLoginFormForType(FormInterface $loginForm, string $type): self
    {
        $this->loginFormForType[$type] = $loginForm;

        return $this;
    }

    /**
     * @todo Make this dynamic / translation-friendly
     * @var string
     */
    protected $failedLoginMessage = "Identifiant ou mot de passe incorrect.";

    /**
     * Login form
     */
    public function loginAction()
110
    {
111
112
113
        if ($this->zfcUserAuthentication()->hasIdentity()) {
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
114

115
116
117
118
119
120
121
122
123
124
125
126
127
128
        $request = $this->getRequest();
        $type = $this->params('type');
        $types = $this->moduleOptions->getEnabledAuthTypes(); // types d'auth activés

        if ($type === null) {
            // si aucun type n'est spécifié dans la requête, on prend le 1er type activé.
            $type = key($types);
            // si le type possède un subsitut (ex: 'local'), on l'utilise.
            $type = $types[$type]['type'] ?? $type;
            return $this->redirect()->toRoute(null, ['type' => $type], ['query' => $this->params()->fromQuery()], true);
        } elseif (isset($types[$type]['type'])) {
            // si le type spécifié possède un subsitut (ex: 'local'), on l'utilise.
            $type = $types[$type]['type'];
            return $this->redirect()->toRoute(null, ['type' => $type], ['query' => $this->params()->fromQuery()], true);
Bertrand Gauthier's avatar
Bertrand Gauthier committed
129
        }
130

131
        $form = $this->getLoginFormForType($type);
132

133
134
135
        // si le formulaire POSTé ne possède aucun champ identifiant, on va directement à authenticateAction()
        if ($request->isPost() and ! $request->getPost()->get('identity')) {
            return $this->redirect()->toRoute('zfcuser/authenticate', [], ['query' => $this->params()->fromQuery()], true);
136
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
137

138
139
140
141
142
        if ($this->moduleOptions->getUseRedirectParameterIfPresent() && $request->getQuery()->get('redirect')) {
            $redirect = $request->getQuery()->get('redirect');
        } else {
            $redirect = false;
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
143

144
145
146
        $queryParams = ['query' => $redirect ? ['redirect' => $redirect] : []];
        $url = $this->url()->fromRoute(null, [], $queryParams, true);
        $form->setAttribute('action', $url);
147

148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
        if (!$request->isPost()) {
            return array(
                'types' => $this->moduleOptions->getEnabledAuthTypes(),
                'type' => $type,
                'loginForm' => $form,
                'redirect'  => $redirect,
                'enableRegistration' => $this->moduleOptions->getEnableRegistration(),
            );
        }

        $form->setData($request->getPost());

        if (!$form->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            return $this->redirect()->toUrl($url);
        }

        // clear adapters
        $this->zfcUserAuthentication()->getAuthAdapter()->resetAdapters();
        $this->zfcUserAuthentication()->getAuthService()->clearIdentity();

        return $this->authenticateAction();
Bertrand Gauthier's avatar
Bertrand Gauthier committed
170
171
    }

172
    /**
173
     * General-purpose authentication action
174
     */
175
    public function authenticateAction()
Bertrand Gauthier's avatar
Bertrand Gauthier committed
176
    {
177
        if ($this->zfcUserAuthentication()->hasIdentity()) {
178
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
179
        }
180

181
182
183
        $type    = $this->params('type');
        $adapter = $this->zfcUserAuthentication()->getAuthAdapter();
        $redirect = $this->params()->fromPost('redirect', $this->params()->fromQuery('redirect', false));
184

185
186
        $this->getRequest()->getPost()->set('type', $type);
        $result = $adapter->prepareForAuthentication($this->getRequest());
187

188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
        // Return early if an adapter returned a response
        if ($result instanceof ResponseInterface) {
            return $result;
        }

        $auth = $this->zfcUserAuthentication()->getAuthService()->authenticate($adapter);

        if (!$auth->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            $adapter->resetAdapters();
            $url = $this->url()->fromRoute(null, [], ['query' => $redirect ? ['redirect' => $redirect] : []], true);
            return $this->redirect()->toUrl($url);
        }

        $redirect = $this->redirectCallback;

        return $redirect();
    }

    /**
     * Logout and clear the identity
     */
    public function logoutAction()
    {
        $chain = $this->zfcUserAuthentication()->getAuthAdapter();
        $service = $this->zfcUserAuthentication()->getAuthService();

        $chain->resetAdapters();

        /**
         * @see Db::logout()
         * @see Ldap::logout()
         * @see Shib::logout()
         */
        $result = $chain->logoutAdapters();

        $service->clearIdentity();

        if ($result instanceof ResponseInterface) {
            return $result;
228
        }
229
230
231
232

        $redirect = $this->redirectCallback;

        return $redirect();
233
    }
234

235
    /**
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
     * Cette action peut être appelée lorsque l'authentification Shibboleth est activée
     * (unicaen-auth.shibboleth.enable === true).
     *
     * > Si la config Apache du module Shibboleth est correcte sur le serveur d'appli, une requête à l'adresse
     *   correspondant à cette action sera détournée par Apache pour réaliser l'authentification Shibboleth.
     *   Une fois l'authentification réalisée avec succès, le Apache renvoie une nouvelle requête
     *   à l'adresse correspondant à cette action, et l'utilisateur authentifié est disponible via
     *   {@see ShibService::getAuthenticatedUser()}.
     *
     * > Par contre, si la config Apache du module Shibboleth est incorrecte ou absente (sur votre machine de dev par
     *   exemple), alors :
     *     - si la simulation Shibboleth est activée dans la config du module unicaen/auth
     *       (unicaen-auth.shibboleth.simulate), c'est l'utilisateur configurée qui sera authentifié ;
     *     - sinon, une page d'aide s'affichera indiquant que la config Apache du module Shibboleth est sans doute
     *       erronée.
     *
     * @return Response|array
253
     */
254
    public function shibbolethAction()
255
    {
256
257
258
259
260
        $shibUser = $this->shibService->getAuthenticatedUser();
        // NB: si la simulation d'authentification est activée (cf. config), $shibUser !== null.

        if ($shibUser === null) {
            return []; // affichage d'une page d'aide
261
        }
262
263
264
265
266

        // URL vers laquelle rediriger une fois l'authentification réussie
        $redirectUrl = $this->params()->fromQuery('redirect', '/');

        return $this->redirect()->toUrl($redirectUrl);
267
    }
268

269
270
271
272
    /**
     * @return Response|ViewModel
     */
    public function requestPasswordResetAction()
273
    {
274
275
276
277
278
279
280
281
282
283
284
285
286
287
        $form = $this->userService->createResetPasswordEmailForm();

        $view = new ViewModel();
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/request-password-reset-form');

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                $email = $data['email'];
288
289
290
291
292
293
294
295
296
                try {
                    $this->processPasswordResetRequest($email);

                    $view->setVariable('email', $email);
                    $view->setTemplate('unicaen-auth/auth/request-password-reset-success');
                } catch (DomainException $de) {
                    // affichage de l'erreur comme une erreur de validation
                    $form->get('email')->setMessages([$de->getMessage()]);
                }
297
298
            }
        }
299

300
301
        return $view;
    }
302

303
304
305
    /**
     * @param string $email
     */
306
307
    private function processPasswordResetRequest($email)
    {
308
309
310
311
312
313
314
        // Recherche de l'utilisateur ayant pour *username* (login) l'email spécifié
        $user = $this->userService->getUserMapper()->findOneByUsername($email);

        if ($user === null) {
            // Aucun utilisateur trouvé ayant l'email spécifié :
            // on ne fait rien mais on ne le signale pas sinon le formulaire permettrait
            // de tester si des emails potentiellement valides existent dans la base.
315
316
            return;
        }
317
318
319
320
321
322
323
        if (! $user->isLocal()) {
            // L'email spécifié appartient à un utilisateur non local : on signale l'impossibilité de changer le mdp.
            throw new DomainException("Le changement de mot de passe n'est pas possible pour cet utilisateur.");
        }

        // génération/enregistrement d'un token
        $token = $this->userService->updateUserPasswordResetToken($user);
324

325
326
327
328
329
330
331
332
333
334
335
336
        // envoi du mail contenant le lien de changement de mdp
        $app = $this->appInfos()->getNom();
        $subject = "[$app] Demande de changement de mot de passe";
        $changePasswordUrl = $this->url()->fromRoute('auth/changePassword', ['token' => $token], ['force_canonical' => true]);
        $body = <<<EOS
<p>Une demande de changement de mot de passe a été faite sur l'application $app.</p>
<p>Si vous n'en êtes pas l'auteur, vous pouvez ignorer ce message.</p>
<p>Cliquez sur le lien suivant pour accéder au formulaire de changement de votre mot de passe :<br><a href='$changePasswordUrl'>$changePasswordUrl</a></p>
EOS;
        $message = $this->mail()->createNewMessage($body, $subject);
        $message->setTo($email);
        $this->mail()->send($message);
337
338
    }

339
340
341
    /**
     * @return array|ViewModel
     */
342
343
    public function changePasswordAction()
    {
344
345
        $token = $this->params()->fromRoute('token');
        $view = new ViewModel();
346

347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
        // recherche du token spécifié dans table utilisateur
        $user = $this->userService->getUserMapper()->findOneByPasswordResetToken($token);
        if ($user === null) {
            // token inexistant
            $view->setVariable('result', 'unknown_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }

        $form = $this->userService->createPasswordChangeForm();

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                // màj password
                $password = $this->params()->fromPost('password');
                $this->userService->updateUserPassword($user, $password);

                $view->setVariable('result', 'success');
                $view->setTemplate('unicaen-auth/auth/change-password-result');

                // todo: faut-il déconnecter l'utilisateur (attention au logout shib différent) ?

                return $view;
            }
        }

        // test durée de vie du token
        $date = $this->userService->extractDateFromResetPasswordToken($token);
        if ($date < date_create()) {
            // token expiré, on le raz
            $this->userService->clearUserPasswordResetToken($user);

            $view->setVariable('result', 'dead_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }
390

391
392
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/change-password-form');
393

394
        return $view;
395
    }
396
}