AuthController.php 13.8 KB
Newer Older
1
2
3
4
<?php

namespace UnicaenAuth\Controller;

5
use DomainException;
6
7
use UnicaenApp\Controller\Plugin\AppInfos;
use UnicaenApp\Controller\Plugin\Mail;
8
use UnicaenApp\Exception\RuntimeException;
9
10
use UnicaenAuth\Authentication\Adapter\Cas;
use UnicaenAuth\Authentication\Adapter\LocalAdapter;
11
use UnicaenAuth\Authentication\Adapter\Shib;
12
use UnicaenAuth\Form\LoginForm;
13
14
use UnicaenAuth\Options\Traits\ModuleOptionsAwareTrait;
use UnicaenAuth\Service\ShibService;
15
16
use UnicaenAuth\Service\Traits\ShibServiceAwareTrait;
use UnicaenAuth\Service\Traits\UserServiceAwareTrait;
17
use Zend\Form\FormInterface;
18
use Zend\Http\Request;
19
20
use Zend\Http\Response;
use Zend\Mvc\Controller\AbstractActionController;
21
22
use Zend\Mvc\Plugin\FlashMessenger\FlashMessenger;
use Zend\Stdlib\ResponseInterface;
23
use Zend\View\Model\ViewModel;
Bertrand Gauthier's avatar
Bertrand Gauthier committed
24
use ZfcUser\Controller\Plugin\ZfcUserAuthentication;
25
26

/**
Bertrand Gauthier's avatar
Bertrand Gauthier committed
27
 * @method ZfcUserAuthentication zfcUserAuthentication()
28
29
 * @method AppInfos appInfos()
 * @method Mail mail()
30
 * @method FlashMessenger flashMessenger()
31
 *
32
33
 * @author Bertrand GAUTHIER <bertrand.gauthier at unicaen.fr>
 */
34
class AuthController extends AbstractActionController
35
{
36
37
38
    const TYPES_LOCAL = ['db', 'ldap'];
    const TYPE_LOCAL = 'local';

39
40
    use ShibServiceAwareTrait;
    use UserServiceAwareTrait;
41
42
43
    use ModuleOptionsAwareTrait;

    /**
44
     * @var FormInterface[] ['type' => FormInterface]
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
     */
    protected $loginFormForType;

    /**
     * @var callable $redirectCallback
     */
    protected $redirectCallback;

    /**
     * @param callable $redirectCallback
     * @return self
     */
    public function setRedirectCallback(callable $redirectCallback): self
    {
        $this->redirectCallback = $redirectCallback;
        return $this;
    }
62
63

    /**
64
     * @param string $type
65
     * @return LoginForm
66
     */
67
    public function getLoginFormForType(string $type): FormInterface
68
    {
69
70
71
72
73
        if ($type === self::TYPE_LOCAL) {
            $types = self::TYPES_LOCAL;
            $type = reset($types);
        }

74
75
76
77
78
79
80
81
        if (! isset($this->loginFormForType[$type])) {
            throw new RuntimeException("Pas de formulaire spécifié pour le type '$type'");
        }

        return $this->loginFormForType[$type];
    }

    /**
82
     * @param LoginForm $loginForm
83
84
     * @return self
     */
85
    public function addLoginForm(LoginForm $loginForm): self
86
    {
87
88
89
        foreach ($loginForm->getTypes() as $type) {
            $this->loginFormForType[$type] = $loginForm;
        }
90
91
92
93
94
95
96
97
98
99
100
101
102

        return $this;
    }

    /**
     * @var string
     */
    protected $failedLoginMessage = "Identifiant ou mot de passe incorrect.";

    /**
     * Login form
     */
    public function loginAction()
103
    {
104
105
106
        if ($this->zfcUserAuthentication()->hasIdentity()) {
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
107

108
        $request = $this->getRequest();
109
110
111
112
        $originalType = $this->params('type');

        $type = $this->processedType($originalType);
        if ($type !== $originalType) {
113
            return $this->redirect()->toRoute(null, ['type' => $type], ['query' => $this->params()->fromQuery()], true);
Bertrand Gauthier's avatar
Bertrand Gauthier committed
114
        }
115

116
        $form = $this->getLoginFormForType($type);
117

118
119
120
        // si le formulaire POSTé ne possède aucun champ identifiant, on va directement à authenticateAction()
        if ($request->isPost() and ! $request->getPost()->get('identity')) {
            return $this->redirect()->toRoute('zfcuser/authenticate', [], ['query' => $this->params()->fromQuery()], true);
121
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
122

123
124
125
126
127
        if ($this->moduleOptions->getUseRedirectParameterIfPresent() && $request->getQuery()->get('redirect')) {
            $redirect = $request->getQuery()->get('redirect');
        } else {
            $redirect = false;
        }
Bertrand Gauthier's avatar
Bertrand Gauthier committed
128

129
130
131
        $queryParams = ['query' => $redirect ? ['redirect' => $redirect] : []];
        $url = $this->url()->fromRoute(null, [], $queryParams, true);
        $form->setAttribute('action', $url);
132

133
134
135
136
137
        if (!$request->isPost()) {
            return array(
                'types' => $this->moduleOptions->getEnabledAuthTypes(),
                'type' => $type,
                'loginForm' => $form,
138
                'forms' => $this->loginFormForType,
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
                'redirect'  => $redirect,
                'enableRegistration' => $this->moduleOptions->getEnableRegistration(),
            );
        }

        $form->setData($request->getPost());

        if (!$form->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            return $this->redirect()->toUrl($url);
        }

        // clear adapters
        $this->zfcUserAuthentication()->getAuthAdapter()->resetAdapters();
        $this->zfcUserAuthentication()->getAuthService()->clearIdentity();

        return $this->authenticateAction();
Bertrand Gauthier's avatar
Bertrand Gauthier committed
156
157
    }

158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
    /**
     * @param string|null $type
     * @return string
     */
    private function processedType(string $type = null): string
    {
        if ($type === self::TYPE_LOCAL) {
            return $type;
        }

        $enabledTypes = array_keys($this->moduleOptions->getEnabledAuthTypes()); // types d'auth activés

        // si aucun type n'est spécifié dans la requête ou si le type n'est pas activé, on prend le 1er type activé.
        if (! in_array($type, $enabledTypes)) {
            $type = reset($enabledTypes);
        }

        // type spécial pour les modes d'authentification nécessitant un formulaire username/password
        if (in_array($type, self::TYPES_LOCAL)) {
            $type = self::TYPE_LOCAL;
        }

        return $type;
    }

183
    /**
184
     * General-purpose authentication action
185
     */
186
    public function authenticateAction()
Bertrand Gauthier's avatar
Bertrand Gauthier committed
187
    {
188
        if ($this->zfcUserAuthentication()->hasIdentity()) {
189
            return $this->redirect()->toRoute($this->moduleOptions->getLoginRedirectRoute());
190
        }
191

192
193
194
        $type    = $this->params('type');
        $adapter = $this->zfcUserAuthentication()->getAuthAdapter();
        $redirect = $this->params()->fromPost('redirect', $this->params()->fromQuery('redirect', false));
195

196
197
198
        $request = $this->getRequest();
        $request->getPost()->set('type', $type);
        $result = $adapter->prepareForAuthentication($request);
199

200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
        // Return early if an adapter returned a response
        if ($result instanceof ResponseInterface) {
            return $result;
        }

        $auth = $this->zfcUserAuthentication()->getAuthService()->authenticate($adapter);

        if (!$auth->isValid()) {
            $this->flashMessenger()->setNamespace('zfcuser-login-form')->addMessage($this->failedLoginMessage);
            $adapter->resetAdapters();
            $url = $this->url()->fromRoute(null, [], ['query' => $redirect ? ['redirect' => $redirect] : []], true);
            return $this->redirect()->toUrl($url);
        }

        $redirect = $this->redirectCallback;

        return $redirect();
    }

    /**
     * Logout and clear the identity
     */
222
    public function logoutAction(): ResponseInterface
223
224
225
226
227
228
229
    {
        $chain = $this->zfcUserAuthentication()->getAuthAdapter();
        $service = $this->zfcUserAuthentication()->getAuthService();

        $chain->resetAdapters();

        /**
230
231
         * @see LocalAdapter::logout()
         * @see Cas::logout()
232
233
234
235
236
237
238
239
         * @see Shib::logout()
         */
        $result = $chain->logoutAdapters();

        $service->clearIdentity();

        if ($result instanceof ResponseInterface) {
            return $result;
240
        }
241
242
243
244

        $redirect = $this->redirectCallback;

        return $redirect();
245
    }
246

247
    /**
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
     * Cette action peut être appelée lorsque l'authentification Shibboleth est activée
     * (unicaen-auth.shibboleth.enable === true).
     *
     * > Si la config Apache du module Shibboleth est correcte sur le serveur d'appli, une requête à l'adresse
     *   correspondant à cette action sera détournée par Apache pour réaliser l'authentification Shibboleth.
     *   Une fois l'authentification réalisée avec succès, le Apache renvoie une nouvelle requête
     *   à l'adresse correspondant à cette action, et l'utilisateur authentifié est disponible via
     *   {@see ShibService::getAuthenticatedUser()}.
     *
     * > Par contre, si la config Apache du module Shibboleth est incorrecte ou absente (sur votre machine de dev par
     *   exemple), alors :
     *     - si la simulation Shibboleth est activée dans la config du module unicaen/auth
     *       (unicaen-auth.shibboleth.simulate), c'est l'utilisateur configurée qui sera authentifié ;
     *     - sinon, une page d'aide s'affichera indiquant que la config Apache du module Shibboleth est sans doute
     *       erronée.
     *
     * @return Response|array
265
     */
266
    public function shibbolethAction()
267
    {
268
269
270
271
272
        $shibUser = $this->shibService->getAuthenticatedUser();
        // NB: si la simulation d'authentification est activée (cf. config), $shibUser !== null.

        if ($shibUser === null) {
            return []; // affichage d'une page d'aide
273
        }
274
275
276
277
278

        // URL vers laquelle rediriger une fois l'authentification réussie
        $redirectUrl = $this->params()->fromQuery('redirect', '/');

        return $this->redirect()->toUrl($redirectUrl);
279
    }
280

281
282
283
284
    /**
     * @return Response|ViewModel
     */
    public function requestPasswordResetAction()
285
    {
286
287
288
289
290
291
292
293
294
295
296
297
298
299
        $form = $this->userService->createResetPasswordEmailForm();

        $view = new ViewModel();
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/request-password-reset-form');

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                $email = $data['email'];
300
301
302
303
304
305
306
307
308
                try {
                    $this->processPasswordResetRequest($email);

                    $view->setVariable('email', $email);
                    $view->setTemplate('unicaen-auth/auth/request-password-reset-success');
                } catch (DomainException $de) {
                    // affichage de l'erreur comme une erreur de validation
                    $form->get('email')->setMessages([$de->getMessage()]);
                }
309
310
            }
        }
311

312
313
        return $view;
    }
314

315
316
317
    /**
     * @param string $email
     */
318
    private function processPasswordResetRequest(string $email)
319
    {
320
321
322
323
324
325
326
        // Recherche de l'utilisateur ayant pour *username* (login) l'email spécifié
        $user = $this->userService->getUserMapper()->findOneByUsername($email);

        if ($user === null) {
            // Aucun utilisateur trouvé ayant l'email spécifié :
            // on ne fait rien mais on ne le signale pas sinon le formulaire permettrait
            // de tester si des emails potentiellement valides existent dans la base.
327
328
            return;
        }
329
330
331
332
333
334
335
        if (! $user->isLocal()) {
            // L'email spécifié appartient à un utilisateur non local : on signale l'impossibilité de changer le mdp.
            throw new DomainException("Le changement de mot de passe n'est pas possible pour cet utilisateur.");
        }

        // génération/enregistrement d'un token
        $token = $this->userService->updateUserPasswordResetToken($user);
336

337
338
339
340
341
342
343
344
345
346
347
348
        // envoi du mail contenant le lien de changement de mdp
        $app = $this->appInfos()->getNom();
        $subject = "[$app] Demande de changement de mot de passe";
        $changePasswordUrl = $this->url()->fromRoute('auth/changePassword', ['token' => $token], ['force_canonical' => true]);
        $body = <<<EOS
<p>Une demande de changement de mot de passe a été faite sur l'application $app.</p>
<p>Si vous n'en êtes pas l'auteur, vous pouvez ignorer ce message.</p>
<p>Cliquez sur le lien suivant pour accéder au formulaire de changement de votre mot de passe :<br><a href='$changePasswordUrl'>$changePasswordUrl</a></p>
EOS;
        $message = $this->mail()->createNewMessage($body, $subject);
        $message->setTo($email);
        $this->mail()->send($message);
349
350
    }

351
352
353
    /**
     * @return array|ViewModel
     */
354
355
    public function changePasswordAction()
    {
356
357
        $token = $this->params()->fromRoute('token');
        $view = new ViewModel();
358

359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
        // recherche du token spécifié dans table utilisateur
        $user = $this->userService->getUserMapper()->findOneByPasswordResetToken($token);
        if ($user === null) {
            // token inexistant
            $view->setVariable('result', 'unknown_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }

        $form = $this->userService->createPasswordChangeForm();

        /** @var Request $request */
        $request = $this->getRequest();

        if ($request->isPost()) {
            $data = $request->getPost();
            $form->setData($data);
            if ($form->isValid()) {
                // màj password
                $password = $this->params()->fromPost('password');
                $this->userService->updateUserPassword($user, $password);

                $view->setVariable('result', 'success');
                $view->setTemplate('unicaen-auth/auth/change-password-result');

                // todo: faut-il déconnecter l'utilisateur (attention au logout shib différent) ?

                return $view;
            }
        }

        // test durée de vie du token
        $date = $this->userService->extractDateFromResetPasswordToken($token);
        if ($date < date_create()) {
            // token expiré, on le raz
            $this->userService->clearUserPasswordResetToken($user);

            $view->setVariable('result', 'dead_token');
            $view->setTemplate('unicaen-auth/auth/change-password-result');

            return $view;
        }
402

403
404
        $view->setVariable('form', $form);
        $view->setTemplate('unicaen-auth/auth/change-password-form');
405

406
        return $view;
407
    }
408
}