vendor/biceps/oauth/Security/Authenticator.php line 81

Open in your IDE?
  1. <?php
  2. /**
  3.  * @copyright Copyright (c) 2020 Biceps
  4.  */
  6. namespace Biceps\OAuth\Security;
  8. use Biceps\OAuth\Client\Provider;
  9. use Biceps\OAuth\Grant\ResetToken;
  10. use Exception;
  11. use Biceps\OAuth\Client\OAuthClient;
  12. use Biceps\OAuth\Client\RemoteUser;
  13. use Biceps\OAuth\Entity\User;
  14. use Biceps\OAuth\Security\Exception\NoTokenFoundException;
  15. use Doctrine\ORM\EntityManagerInterface;
  16. use KnpU\OAuth2ClientBundle\Client\ClientRegistry;
  17. use KnpU\OAuth2ClientBundle\Client\OAuth2ClientInterface;
  18. use KnpU\OAuth2ClientBundle\Exception\InvalidStateException;
  19. use KnpU\OAuth2ClientBundle\Exception\MissingAuthorizationCodeException;
  20. use KnpU\OAuth2ClientBundle\Security\Authenticator\SocialAuthenticator;
  21. use KnpU\OAuth2ClientBundle\Security\Exception\IdentityProviderAuthenticationException;
  22. use KnpU\OAuth2ClientBundle\Security\Exception\InvalidStateAuthenticationException;
  23. use KnpU\OAuth2ClientBundle\Security\Exception\NoAuthCodeAuthenticationException;
  24. use League\OAuth2\Client\Provider\Exception\IdentityProviderException;
  25. use League\OAuth2\Client\Token\AccessToken;
  26. use Symfony\Component\Config\Definition\Exception\InvalidConfigurationException;
  27. use Symfony\Component\HttpFoundation\RedirectResponse;
  28. use Symfony\Component\HttpFoundation\Request;
  29. use Symfony\Component\HttpFoundation\Response;
  30. use Symfony\Component\HttpFoundation\Session\Session;
  31. use Symfony\Component\Routing\RouterInterface;
  32. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  33. use Symfony\Component\Security\Core\Exception\AuthenticationException;
  34. use Symfony\Component\Security\Core\Exception\LazyResponseException;
  35. use Symfony\Component\Security\Core\User\UserInterface;
  36. use Symfony\Component\Security\Core\User\UserProviderInterface;
  38. class Authenticator extends SocialAuthenticator
  39. {
  40.     const ROLE_OWNER 'ROLE_BICEPS_OWNER';
  41.     const ROLE_PROFILE 'ROLE_BICEPS_PROFILE';
  43.     const TOKEN_SESSION_KEY 'BicepsOAuthSecurityAccessToken';
  44.     const VALIDITY_SESSION_KEY 'BicepsOAuthSecurityValidity';
  45.     const URI_SESSION_KEY 'BicepsOAuthSecurityURI';
  46.     const ACTION_SESSION_KEY 'BicepsOAuthSecurityAction';
  47.     const ERROR_SESSION_KEY 'BicepsOAuthSecurityError';
  48.     const TOKEN_VALIDITY 5;
  50.     const ACTION_RESET 'reset';
  52.     /** @var ClientRegistry */
  53.     protected $clientRegistry;
  55.     /** @var EntityManagerInterface */
  56.     protected $em;
  58.     /** @var RouterInterface */
  59.     protected $router;
  61.     /**
  62.      * Authenticator constructor.
  63.      *
  64.      * @param ClientRegistry $clientRegistry
  65.      * @param EntityManagerInterface $em
  66.      * @param RouterInterface $router
  67.      */
  68.     public function __construct(ClientRegistry $clientRegistryEntityManagerInterface $emRouterInterface $router)
  69.     {
  70.         $this->clientRegistry $clientRegistry;
  71.         $this->em $em;
  72.         $this->router $router;
  73.     }
  75.     /**
  76.      * @inheritDoc
  77.      */
  78.     public function start(Request $requestAuthenticationException $authException null)
  79.     {
  80.         if (!$request->getSession()->get(self::URI_SESSION_KEY)) {
  81.             $request->getSession()->set(self::URI_SESSION_KEY$request->getUri());
  82.         }
  84.         return new RedirectResponse($this->router->generate('oauth_biceps_connect'));
  85.     }
  87.     /**
  88.      * @inheritDoc
  89.      */
  90.     public function supports(Request $request)
  91.     {
  92.         return $request->getPathInfo() === $this->router->generate('oauth_biceps_check') && $request->isMethod('GET');
  93.     }
  95.     /**
  96.      * @param Request $request
  97.      */
  98.     public function reset(Request $request$redirectUri)
  99.     {
  100.         $session $request->getSession();
  101.         $this->clearSessionData($requesttrue);
  102.         $session->set(self::URI_SESSION_KEY$redirectUri);
  103.         $session->set(self::ACTION_SESSION_KEYself::ACTION_RESET);
  105.         return new RedirectResponse($this->router->generate('oauth_biceps_connect'));
  106.     }
  108.     /**
  109.      * @param Request $request
  110.      * @param $redirectUri
  111.      */
  112.     public function logout(Request $request)
  113.     {
  114.         $session $request->getSession();
  115.         $accessToken $this->restoreAccessTokenFromSession($session);
  116.         $this->clearSessionData($request);
  117.         if ($accessToken) {
  118.             try {
  119.                 $this->getClient()->getLogoutToken($accessToken);
  120.             } catch (Exception $e) {
  121.             }
  122.         }
  123.     }
  125.     /**
  126.      * @inheritDoc
  127.      */
  128.     public function getCredentials(Request $request)
  129.     {
  130.         try {
  131.             $session $request->getSession();
  132.             /** @var AccessToken $accessToken */
  133.             $accessToken $this->fetchAccessToken($this->getClient(), [
  134.                 'scope' => implode(' '$this->getCurrentScopes($request)),
  135.             ]);
  136.             switch ($session->get(self::ACTION_SESSION_KEY)) {
  137.                 case self::ACTION_RESET:
  138.                     $accessToken $this->getClient()->getResetToken($accessToken);
  139.                     break;
  140.             }
  141.             $session->set(self::TOKEN_SESSION_KEY$accessToken->jsonSerialize());
  142.             $session->set(self::VALIDITY_SESSION_KEYtime() + self::TOKEN_VALIDITY);
  144.             return $accessToken;
  145.         } catch (\Exception $e) {
  146.             $this->handleException($e$request);
  147.         } finally {
  148.             $request->getSession()->remove(self::ACTION_SESSION_KEY);
  149.         }
  151.         return false;
  152.     }
  154.     /**
  155.      * @param Request $request
  156.      * @return array
  157.      */
  158.     public function getCurrentScopes(Request $request)
  159.     {
  160.         $action $request->getSession()->get(self::ACTION_SESSION_KEYnull);
  161.         $additionals = [];
  162.         switch ($action) {
  163.             case self::ACTION_RESET:
  164.                 $additionals = ['online_mode'];
  165.         }
  167.         return $this->getClient()->getOAuth2Provider()->getScopes($additionals);
  168.     }
  170.     /**
  171.      * @inheritDoc
  172.      */
  173.     public function getUser($credentialsUserProviderInterface $userProvider)
  174.     {
  175.         /** @var RemoteUser $remoteUser */
  176.         $remoteUser $this->getClient()->fetchUserFromToken($credentials);
  178.         // get className from userProvider
  179.         if (method_exists($userProvider'getClass')) {
  180.             $getUserClass = function () {
  181.                 return $this->getClass();
  182.             };
  183.             $userClassName $getUserClass->call($userProvider);
  184.             if (!($userClassName === User::class || is_subclass_of($userClassNameUser::class))) {
  185.                 throw new Exception(sprintf('"%s" do not extends "%s"'$userClassNameUser::class), 1591553523);
  186.             }
  187.         } else {
  188.             throw new Exception(sprintf('"%s" must have method "getClass" to get user class name'get_class($userProvider)), 1591605229);
  189.         }
  191.         $username $remoteUser->getUsername();
  192.         $user $this->em->getRepository($userClassName)->findOneBy(['username' => $username]);
  193.         if (!$user) {
  194.             $user = new $userClassName();
  195.             $user->setUsername($username);
  196.             $roles $this->getClient()->getOAuth2Provider()->getRoles([$remoteUser->isOwner() ? self::ROLE_OWNER self::ROLE_PROFILE]);
  197.             foreach($roles as $role){
  198.                 $user->addRole($role);
  199.             }
  200.             $this->em->persist($user);
  201.             $this->em->flush();
  202.         }
  204.         return $user;
  205.     }
  207.     /**
  208.      * @inheritDoc
  209.      */
  210.     public function onAuthenticationFailure(Request $requestAuthenticationException $exception)
  211.     {
  212.         // TODO: Implement onAuthenticationFailure() method.
  213.     }
  215.     /**
  216.      * @inheritDoc
  217.      */
  218.     public function onAuthenticationSuccess(Request $requestTokenInterface $tokenstring $providerKey)
  219.     {
  220.         // TODO: Implement onAuthenticationSuccess() method.
  221.     }
  223.     public function refreshToken(Request $request)
  224.     {
  225.         $session $request->getSession();
  226.         $accessToken $this->restoreAccessTokenFromSession($session);
  228.         if ($accessToken && !$accessToken->hasExpired()) {
  230.             $validity = (int)$session->get(self::VALIDITY_SESSION_KEY0);
  231.             if (time() < $validity) {
  232.                 return true;
  233.             }
  235.             $newAccessToken $this->getClient()->getRefreshToken($accessToken);
  236.             if (!$newAccessToken->hasExpired()) {
  237.                 $session->set(self::TOKEN_SESSION_KEY$newAccessToken->jsonSerialize());
  238.                 $session->set(self::VALIDITY_SESSION_KEYtime() + self::TOKEN_VALIDITY);
  239.             }
  241.             return true;
  242.         }
  244.         return false;
  245.     }
  247.     /**
  248.      * @return OAuthClient
  249.      */
  250.     protected function getClient()
  251.     {
  252.         $client $this->clientRegistry->getClient('biceps');
  253.         if (!($client instanceof OAuthClient)) {
  254.             $exception = new InvalidConfigurationException('Invalid client class! Client must implement OAuthClientInterface.'1588239787);
  255.             $exception->setPath('knpu_oauth2_client.clients.biceps.client_class');
  256.             throw $exception;
  257.         }
  259.         return $client;
  260.     }
  262.     /**
  263.      * @param Exception $exception
  264.      */
  265.     protected function handleException(Exception $exceptionRequest $request)
  266.     {
  267.         $session $request->getSession();
  269.         if ($exception instanceof IdentityProviderAuthenticationException) {
  270.             /** @var IdentityProviderException $previous */
  271.             $exception $exception->getPrevious();
  272.         }
  274.         if ($exception instanceof IdentityProviderException) {
  275.             $body $exception->getResponseBody();
  276.             if (!is_array($body) || !isset($body['error'])) {
  277.                 // If body do not contain an error code, user should contact an administrator
  278.                 throw new IdentityProviderAuthenticationException($exception);
  279.             }
  280.             $session->set(self::ERROR_SESSION_KEY, [
  281.                 'code' => $body['error'],
  282.                 'description' => $body['error_description'] ?? '',
  283.                 'licence_id' => $body['licence_id'] ?? '',
  284.                 'redirectUri' => $session->get(self::URI_SESSION_KEY),
  285.             ]);;
  287.             // Clear session data
  288.             $this->clearSessionData($requestfalse);
  290.             throw new LazyResponseException(new RedirectResponse($this->router->generate('oauth_biceps_exception')));
  291.         }
  293.         $this->clearSessionData($requesttrue);
  295.         throw $exception;
  296.     }
  298.     /**
  299.      * @param Session $session
  300.      *
  301.      * @return AccessToken|null
  302.      */
  303.     protected function restoreAccessTokenFromSession(Session $session): ?AccessToken
  304.     {
  306.         if (!$session->has(self::TOKEN_SESSION_KEY)) {
  307.             return null;
  308.         }
  310.         $accessTokenData $session->get(self::TOKEN_SESSION_KEY);
  311.         if (!is_array($accessTokenData)) {
  312.             $session->remove(self::TOKEN_SESSION_KEY);
  314.             return null;
  315.         }
  317.         $accessToken = new AccessToken($accessTokenData);
  319.         return !$accessToken->hasExpired() ? $accessToken null;
  320.     }
  322.     /**
  323.      * @param Request $request
  324.      * @param bool $includeError
  325.      */
  326.     protected function clearSessionData(Request $request$includeError true)
  327.     {
  328.         $session $request->getSession();
  329.         $session->remove(self::VALIDITY_SESSION_KEY);
  330.         $session->remove(self::URI_SESSION_KEY);
  331.         $session->remove(self::ACTION_SESSION_KEY);
  332.         if ($includeError) {
  333.             $session->remove(self::ERROR_SESSION_KEY);
  334.         }
  335.     }
  336. }