vendor/pimcore/pimcore/lib/Tool/Authentication.php line 70

Open in your IDE?
  1. <?php
  2. /**
  3.  * Pimcore
  4.  *
  5.  * This source file is available under two different licenses:
  6.  * - GNU General Public License version 3 (GPLv3)
  7.  * - Pimcore Enterprise License (PEL)
  8.  * Full copyright and license information is available in
  9.  * LICENSE.md which is distributed with this source code.
  10.  *
  11.  * @copyright  Copyright (c) Pimcore GmbH (http://www.pimcore.org)
  12.  * @license    http://www.pimcore.org/license     GPLv3 and PEL
  13.  */
  15. namespace Pimcore\Tool;
  17. use Defuse\Crypto\Crypto;
  18. use Defuse\Crypto\Exception\CryptoException;
  19. use Pimcore\Logger;
  20. use Pimcore\Model\User;
  21. use Pimcore\Tool;
  22. use Symfony\Component\HttpFoundation\Request;
  24. class Authentication
  25. {
  26.     /**
  27.      * @param string $username
  28.      * @param string $password
  29.      *
  30.      * @return null|User
  31.      */
  32.     public static function authenticatePlaintext($username$password)
  33.     {
  34.         /** @var User $user */
  35.         $user User::getByName($username);
  37.         // user needs to be active, needs a password and an ID (do not allow system user to login, ...)
  38.         if (self::isValidUser($user)) {
  39.             if (self::verifyPassword($user$password)) {
  40.                 $user->setLastLoginDate(); //set user current login date
  41.                 return $user;
  42.             }
  43.         }
  45.         return null;
  46.     }
  48.     /**
  49.      * @static
  50.      *
  51.      * @param Request $request
  52.      *
  53.      * @return User|null
  54.      */
  55.     public static function authenticateSession(Request $request null)
  56.     {
  57.         if (null === $request) {
  58.             $request = \Pimcore::getContainer()->get('request_stack')->getCurrentRequest();
  60.             if (null === $request) {
  61.                 return null;
  62.             }
  63.         }
  65.         if (!Session::requestHasSessionId($requesttrue)) {
  66.             // if no session cookie / ID no authentication possible, we don't need to start a session
  67.             return null;
  68.         }
  70.         $session Session::getReadOnly();
  71.         $user $session->get('user');
  73.         if ($user instanceof User) {
  74.             // renew user
  75.             $user User::getById($user->getId());
  77.             if (self::isValidUser($user)) {
  78.                 return $user;
  79.             }
  80.         }
  82.         return null;
  83.     }
  85.     /**
  86.      * @static
  87.      *
  88.      * @throws \Exception
  89.      *
  90.      * @return User
  91.      */
  92.     public static function authenticateHttpBasic()
  93.     {
  95.         // we're using Sabre\HTTP for basic auth
  96.         $request = \Sabre\HTTP\Sapi::getRequest();
  97.         $response = new \Sabre\HTTP\Response();
  98.         $auth = new \Sabre\HTTP\Auth\Basic(Tool::getHostname(), $request$response);
  99.         $result $auth->getCredentials();
  101.         if (is_array($result)) {
  102.             list($username$password) = $result;
  103.             $user self::authenticatePlaintext($username$password);
  104.             if ($user) {
  105.                 return $user;
  106.             }
  107.         }
  109.         $auth->requireLogin();
  110.         $response->setBody('Authentication required');
  111.         Logger::error('Authentication Basic (WebDAV) required');
  112.         \Sabre\HTTP\Sapi::sendResponse($response);
  113.         die();
  114.     }
  116.     /**
  117.      * @param string $token
  118.      * @param bool $adminRequired
  119.      *
  120.      * @return null|User
  121.      */
  122.     public static function authenticateToken($token$adminRequired false)
  123.     {
  124.         $username null;
  125.         $timestamp null;
  126.         try {
  127.             $decrypted self::tokenDecrypt($token);
  128.             list($timestamp$username) = $decrypted;
  129.         } catch (CryptoException $e) {
  130.             return null;
  131.         }
  133.         $user User::getByName($username);
  134.         if (self::isValidUser($user)) {
  135.             if ($adminRequired and !$user->isAdmin()) {
  136.                 return null;
  137.             }
  139.             $timeZone date_default_timezone_get();
  140.             date_default_timezone_set('UTC');
  142.             if ($timestamp time() or $timestamp < (time() - (60 60 24))) {
  143.                 return null;
  144.             }
  145.             date_default_timezone_set($timeZone);
  147.             return $user;
  148.         }
  150.         return null;
  151.     }
  153.     /**
  154.      * @param User $user
  155.      * @param string $password
  156.      *
  157.      * @return bool
  158.      */
  159.     public static function verifyPassword($user$password)
  160.     {
  161.         $password self::preparePlainTextPassword($user->getName(), $password);
  163.         if ($user->getPassword()) { // do not allow logins for users without a password
  164.             if (password_verify($password$user->getPassword())) {
  165.                 if (password_needs_rehash($user->getPassword(), PASSWORD_DEFAULT)) {
  166.                     $user->setPassword(self::getPasswordHash($user->getName(), $password));
  167.                     $user->save();
  168.                 }
  170.                 return true;
  171.             }
  172.         }
  174.         return false;
  175.     }
  177.     /**
  178.      * @param User|null $user
  179.      *
  180.      * @return bool
  181.      */
  182.     public static function isValidUser($user)
  183.     {
  184.         if ($user instanceof User && $user->isActive() && $user->getId() && $user->getPassword()) {
  185.             return true;
  186.         }
  188.         return false;
  189.     }
  191.     /**
  192.      * @param string $username
  193.      * @param string $plainTextPassword
  194.      *
  195.      * @return bool|false|string
  196.      *
  197.      * @throws \Exception
  198.      */
  199.     public static function getPasswordHash($username$plainTextPassword)
  200.     {
  201.         $hash password_hash(self::preparePlainTextPassword($username$plainTextPassword), PASSWORD_DEFAULT);
  202.         if (!$hash) {
  203.             throw new \Exception('Unable to create password hash for user: ' $username);
  204.         }
  206.         return $hash;
  207.     }
  209.     /**
  210.      * @param string $username
  211.      * @param string $plainTextPassword
  212.      *
  213.      * @return string
  214.      */
  215.     public static function preparePlainTextPassword($username$plainTextPassword)
  216.     {
  217.         // plaintext password is prepared as digest A1 hash, this is to be backward compatible because this was
  218.         // the former hashing algorithm in pimcore (< version 2.1.1)
  219.         return md5($username ':pimcore:' $plainTextPassword);
  220.     }
  222.     /**
  223.      * @param string $username
  224.      *
  225.      * @return string
  226.      */
  227.     public static function generateToken($username)
  228.     {
  229.         $secret = \Pimcore::getContainer()->getParameter('secret');
  231.         $data time() - '|' $username;
  232.         $token Crypto::encryptWithPassword($data$secret);
  234.         return $token;
  235.     }
  237.     /**
  238.      * @param string $token
  239.      *
  240.      * @return array
  241.      */
  242.     public static function tokenDecrypt($token)
  243.     {
  244.         $secret = \Pimcore::getContainer()->getParameter('secret');
  245.         $decrypted Crypto::decryptWithPassword($token$secret);
  247.         return explode('|'$decrypted);
  248.     }
  249. }