dépôts / velocampus / web / www.git / blob
? search:


31cb420b427194d348e4d8270e00fea7cf7d8ede
[velocampus/web/www.git] / www / ecrire / inc / auth.php
1 <?php
2
3 /***************************************************************************\
4 * SPIP, Systeme de publication pour l'internet *
5 * *
6 * Copyright (c) 2001-2011 *
7 * Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James *
8 * *
9 * Ce programme est un logiciel libre distribue sous licence GNU/GPL. *
10 * Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne. *
11 \***************************************************************************/
12
13 if (!defined('_ECRIRE_INC_VERSION')) return;
14
15 include_spip('base/abstract_sql');
16 //
17 // Fonctions de gestion de l'acces restreint aux rubriques
18 //
19
20 // http://doc.spip.org/@acces_restreint_rubrique
21 function acces_restreint_rubrique($id_rubrique) {
22 global $connect_id_rubrique;
23
24 return (isset($connect_id_rubrique[$id_rubrique]));
25 }
26
27 // http://doc.spip.org/@auteurs_article
28 function auteurs_article($id_article, $cond='')
29 {
30 return sql_allfetsel("id_auteur", "spip_auteurs_articles", "id_article=$id_article". ($cond ? " AND $cond" : ''));
31 }
32
33 // http://doc.spip.org/@auteurs_autorises
34 function auteurs_autorises($in, $cond='')
35 {
36 return sql_in("statut", array('0minirezo','1comite'))
37 . (!$cond ? '' : " AND $cond")
38 . (!$in ? '' : (" AND ". sql_in("id_auteur", $in, 'NOT')));
39 }
40
41 // Un nouvel inscrit prend son statut definitif a la 1ere connexion.
42 // Le statut a ete memorise dans bio (cf formulaire_inscription).
43 // On le verifie, car la config a peut-etre change depuis,
44 // et pour compatibilite avec les anciennes versions n'utilisait pas "bio".
45
46 // http://doc.spip.org/@acces_statut
47 function acces_statut($id_auteur, $statut, $bio)
48 {
49 if ($statut != 'nouveau') return $statut;
50 include_spip('inc/filtres');
51 if (!($s = tester_config('', $bio))) return $statut;
52 include_spip('action/editer_auteur');
53 instituer_auteur($id_auteur,array('statut'=> $s));
54 include_spip('inc/modifier');
55 revision_auteur($id_auteur, array('bio'=>''));
56 include_spip('inc/session');
57 session_set('statut',$s);
58 return $s;
59 }
60
61 // Fonction d'authentification. Retourne:
62 // - URL de connexion si on ne sait rien (pas de cookie, pas Auth_user);
63 // - un tableau si visiteur sans droit (tableau = sa ligne SQL)
64 // - code numerique d'erreur SQL
65 // - une chaine vide si autorisation a penetrer dans l'espace prive.
66
67 // http://doc.spip.org/@inc_auth_dist
68 function inc_auth_dist() {
69
70 global $connect_login ;
71
72 $row = auth_mode();
73
74 if ($row) return auth_init_droits($row);
75
76 if (!$connect_login) return auth_a_loger();
77
78 // Cas ou l'auteur a ete identifie mais on n'a pas d'info sur lui
79 // C'est soit parce que la base est inutilisable,
80 // soit parce que la table des auteurs a changee (restauration etc)
81 // Pas la peine d'insister.
82 // Renvoyer le nom fautif et une URL de remise a zero
83
84 if (spip_connect())
85 return array('login' => $connect_login,
86 'site' => generer_url_public('', "action=logout&amp;logout=prive"));
87
88 $n = intval(sql_errno());
89 spip_log("Erreur base de donnees $n " . sql_error());
90 return $n ? $n : 1;
91 }
92
93 // fonction appliquee par ecrire/index sur le resultat de la precedente
94 // en cas de refus de connexion.
95 // Retourne un message a afficher ou redirige illico.
96
97 function auth_echec($raison)
98 {
99 include_spip('inc/minipres');
100 include_spip('inc/headers');
101 // pas authentifie. Pourquoi ?
102 if (is_string($raison)) {
103 // redirection vers une page d'authentification
104 // on ne revient pas de cette fonction
105 // sauf si pb de header
106 $raison = redirige_formulaire($raison);
107 } elseif (is_int($raison)) {
108 // erreur SQL a afficher
109 $raison = minipres(_T('info_travaux_titre'), _T('titre_probleme_technique'). "<p><tt>".sql_errno()." ".sql_error()."</tt></p>");
110 } elseif (@$raison['statut']) {
111 // un simple visiteur n'a pas acces a l'espace prive
112 spip_log("connexion refusee a " . @$raison['id_auteur']);
113 $raison = minipres(_T('avis_erreur_connexion'),_T('avis_erreur_visiteur'));
114 } else {
115 // auteur en fin de droits ...
116 $h = $raison['site'];
117 $raison = minipres(_T('avis_erreur_connexion'),
118 "<br /><br /><p>"
119 . _T('texte_inc_auth_1',
120 array('auth_login' => $raison['login']))
121 . " <a href='$h'>"
122 . _T('texte_inc_auth_2')
123 . "</a>"
124 . _T('texte_inc_auth_3'));
125 }
126 return $raison;
127 }
128
129 // Retourne la description d'un authentifie par cookie ou http_auth
130 // Et affecte la globale $connect_login
131
132 function auth_mode()
133 {
134 global $auth_can_disconnect, $ignore_auth_http, $ignore_remote_user;
135 global $connect_login ;
136
137 //
138 // Initialiser variables (eviter hacks par URL)
139 //
140
141 $connect_login = '';
142 $id_auteur = NULL;
143 $auth_can_disconnect = false;
144
145 //
146 // Recuperer les donnees d'identification
147 //
148
149 // Session valide en cours ?
150 if (isset($_COOKIE['spip_session'])) {
151 $session = charger_fonction('session', 'inc');
152 if ($id_auteur = $session()
153 OR $id_auteur===0 // reprise sur restauration
154 ) {
155 $auth_can_disconnect = true;
156 $connect_login = $GLOBALS['visiteur_session']['login'];
157 } else unset($_COOKIE['spip_session']);
158 }
159
160 // Essayer auth http si significatif
161 // (ignorer les login d'intranet independants de spip)
162 if (!$ignore_auth_http) {
163 if (
164 (isset($_SERVER['PHP_AUTH_USER']) AND isset($_SERVER['PHP_AUTH_PW'])
165 AND $r = lire_php_auth($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']))
166 OR
167 // Si auth http differtente de basic, PHP_AUTH_PW
168 // est indisponible mais tentons quand meme pour
169 // autocreation via LDAP
170 (isset($_SERVER['REMOTE_USER'])
171 AND $r = lire_php_auth($_SERVER['PHP_AUTH_USER'] = $_SERVER['REMOTE_USER'], ''))
172 ) {
173 if (!$id_auteur) {
174 $_SERVER['PHP_AUTH_PW'] = '';
175 $auth_can_disconnect = true;
176 $GLOBALS['visiteur_session'] = $r;
177 $connect_login = $GLOBALS['visiteur_session']['login'];
178 } else {
179 // cas de la session en plus de PHP_AUTH
180 /* if ($id_auteur != $r['id_auteur']){
181 spip_log("vol de session $id_auteur" . join(', ', $r));
182 unset($_COOKIE['spip_session']);
183 $id_auteur = '';
184 } */
185 }
186 }
187 // Authentification .htaccess old style, car .htaccess semble
188 // souvent definir *aussi* PHP_AUTH_USER et PHP_AUTH_PW
189 else if (isset($_SERVER['REMOTE_USER']))
190 $connect_login = $_SERVER['REMOTE_USER'];
191 }
192
193 $where = (is_numeric($id_auteur)
194 /*AND $id_auteur>0*/ // reprise lors des restaurations
195 ) ?
196 "id_auteur=$id_auteur" :
197 (!strlen($connect_login) ? '' : "login=" . sql_quote($connect_login));
198
199 if (!$where) return '';
200
201 // Trouver les autres infos dans la table auteurs.
202 // le champ 'quand' est utilise par l'agenda
203
204 return sql_fetsel("*, en_ligne AS quand", "spip_auteurs", "$where AND statut!='5poubelle'");
205 }
206
207 //
208 // Init des globales pour tout l'espace prive si visiteur connu
209 // Le tableau global visiteur_session contient toutes les infos pertinentes et
210 // a jour (tandis que $visiteur_session peut avoir des valeurs un peu datees
211 // s'il est pris dans le fichier de session)
212 // Les plus utiles sont aussi dans les variables simples ci-dessus
213 // si la globale est vide ce n'est pas un tableau, on la force pour empecher un warning
214
215 function auth_init_droits($row)
216 {
217 global $connect_statut, $connect_toutes_rubriques, $connect_id_rubrique, $connect_login, $connect_id_auteur;
218
219 $connect_id_auteur = $row['id_auteur'];
220 $connect_login = $row['login'];
221 $connect_statut = acces_statut($connect_id_auteur, $row['statut'], $row['bio']);
222
223
224 $GLOBALS['visiteur_session'] = array_merge((array)$GLOBALS['visiteur_session'], $row);
225 $r = @unserialize($row['prefs']);
226 $GLOBALS['visiteur_session']['prefs'] =
227 (@isset($r['couleur'])) ? $r : array('couleur' =>1, 'display'=>0);
228
229 // au cas ou : ne pas memoriser les champs sensibles
230 unset($GLOBALS['visiteur_session']['pass']);
231 unset($GLOBALS['visiteur_session']['htpass']);
232 unset($GLOBALS['visiteur_session']['alea_actuel']);
233 unset($GLOBALS['visiteur_session']['alea_futur']);
234
235 // rajouter les sessions meme en mode auth_http
236 // pour permettre les connexions multiples et identifier les visiteurs
237 if (!isset($_COOKIE['spip_session'])) {
238 $session = charger_fonction('session', 'inc');
239 if ($spip_session = $session($row)) {
240 include_spip('inc/cookie');
241 spip_setcookie(
242 'spip_session',
243 $_COOKIE['spip_session'] = $spip_session,
244 time() + 3600 * 24 * 14
245 );
246 }
247 }
248
249 // Etablir les droits selon le codage attendu
250 // dans ecrire/index.php ecrire/prive.php
251
252 // Pas autorise a acceder a ecrire ? renvoyer le tableau
253 // A noter : le premier appel a autoriser() a le bon gout
254 // d'initialiser $GLOBALS['visiteur_session']['restreint'],
255 // qui ne figure pas dans le fichier de session
256 include_spip('inc/autoriser');
257
258 if (!autoriser('ecrire'))
259 return $row;
260
261 // autoriser('ecrire') ne laisse passer que les Admin et les Redac
262
263 auth_trace($row);
264
265 // Administrateurs
266 if ($connect_statut == '0minirezo') {
267 if (is_array($GLOBALS['visiteur_session']['restreint']))
268 $connect_id_rubrique = $GLOBALS['visiteur_session']['restreint'];
269 $connect_toutes_rubriques = !$connect_id_rubrique;
270 }
271 // Pour les redacteurs, inc_version a fait l'initialisation minimale
272
273 return ''; // i.e. pas de pb.
274 }
275
276 function auth_a_loger()
277 {
278 $redirect = generer_url_public('login',
279 "url=" . rawurlencode(self('&',true)), '&');
280
281 // un echec au "bonjour" (login initial) quand le statut est
282 // inconnu signale sans doute un probleme de cookies
283 if (isset($_GET['bonjour']))
284 $redirect = parametre_url($redirect,
285 'var_erreur',
286 (!isset($GLOBALS['visiteur_session']['statut'])
287 ? 'cookie'
288 : 'statut'
289 ),
290 '&'
291 );
292 return $redirect;
293 }
294
295 // http://doc.spip.org/@auth_trace
296 function auth_trace($row, $date=null)
297 {
298 // Indiquer la connexion. A la minute pres ca suffit.
299 if (!is_numeric($connect_quand = $row['quand']))
300 $connect_quand = strtotime($connect_quand);
301
302 if (is_null($date))
303 $date = date('Y-m-d H:i:s');
304
305 if (abs(strtotime($date) - $connect_quand) >= 60) {
306 sql_updateq("spip_auteurs", array("en_ligne" => $date), "id_auteur=" .$row['id_auteur']);
307 }
308 }
309
310
311 /** ----------------------------------------------------------------------------
312 * API Authentification, gestion des identites centralisees
313 */
314
315 /**
316 * Fonction aiguillage, privee
317 * @param string $fonction
318 * @param array $args
319 * @param mixed $defaut
320 * @return mixed
321 */
322 function auth_administrer($fonction,$args,$defaut=false){
323 $auth_methode = array_shift($args);
324 $auth_methode = $auth_methode ? $auth_methode : 'spip'; // valeur par defaut au cas ou
325 if ($auth = charger_fonction($auth_methode,'auth',true)
326 AND function_exists($f="auth_{$auth_methode}_$fonction")
327 )
328 return call_user_func_array($f, $args);
329 else
330 return $defaut;
331 }
332
333 /**
334 * Pipeline pour inserer du contenu dans le formulaire de login
335 *
336 * @param array $flux
337 * @return array
338 */
339 function auth_formulaire_login($flux){
340 foreach ($GLOBALS['liste_des_authentifications'] as $methode)
341 $flux = auth_administrer('formulaire_login',array($methode,$flux),$flux);
342 return $flux;
343 }
344
345
346
347 /**
348 * Retrouver le login interne lie a une info login saisie
349 * la saisie peut correspondre a un login delegue
350 * qui sera alors converti en login interne apres verification
351 *
352 * @param string $login
353 * @param string $serveur
354 * @return string/bool
355 */
356 function auth_retrouver_login($login, $serveur=''){
357 if (!spip_connect($serveur)) {
358 include_spip('inc/minipres');
359 echo minipres(_T('info_travaux_titre'),
360 _T('titre_probleme_technique'));
361 exit;
362 }
363
364 foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
365 if ($auteur = auth_administrer('retrouver_login',array($methode, $login, $serveur))) {
366 return $auteur;
367 }
368 }
369 return false;
370 }
371
372
373 /**
374 * informer sur un login
375 * Ce dernier transmet le tableau ci-dessous a la fonction JS informer_auteur
376 * Il est invoque par la fonction JS actualise_auteur via la globale JS
377 * page_auteur=#URL_PAGE{informer_auteur} dans le squelette login
378 * N'y aurait-il pas plus simple ?
379 *
380 * @param string $login
381 * @param string $serveur
382 * @return array
383 */
384 function auth_informer_login($login, $serveur=''){
385 if (!$login
386 OR !$login = auth_retrouver_login($login, $serveur)
387 OR !$row = sql_fetsel('*','spip_auteurs','login='.sql_quote($login),'','','','',$serveur)
388 )
389 return array();
390
391 $prefs = unserialize($row['prefs']);
392 $infos = array(
393 'id_auteur'=>$row['id_auteur'],
394 'login'=>$row['login'],
395 'cnx' => ($prefs['cnx'] == 'perma') ? '1' : '0',
396 'logo' => recuperer_fond('formulaires/inc-logo_auteur', $row),
397 );
398
399 // desactiver le hash md5 si pas auteur spip ?
400 if ($row['source']!=='spip'){
401 $row['alea_actuel']= '';
402 $row['alea_futur']= '';
403 }
404 verifier_visiteur();
405
406 return auth_administrer('informer_login',array($row['source'],$infos, $row, $serveur),$infos);
407 }
408
409
410 /**
411 * Essayer les differentes sources d'authenfication dans l'ordre specifie.
412 * S'en souvenir dans visiteur_session['auth']
413 *
414 * @param string $login
415 * @param string $password
416 * @param string $serveur
417 * @return mixed
418 */
419 function auth_identifier_login($login, $password, $serveur=''){
420 $erreur = "";
421 foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
422 if ($auth = charger_fonction($methode, 'auth',true)){
423 $auteur = $auth($login, $password, $serveur);
424 if (is_array($auteur) AND count($auteur)) {
425 spip_log("connexion de $login par methode $methode");
426 $auteur['auth'] = $methode;
427 return $auteur;
428 }
429 elseif (is_string($auteur))
430 $erreur .= "$auteur ";
431 }
432 }
433 return $erreur;
434 }
435
436 /**
437 * Fournir une url de retour apres login par un SSO
438 * pour finir l'authentification
439 *
440 * @param string $auth_methode
441 * @param string $login
442 * @param string $serveur
443 * @return string
444 */
445 function auth_url_retour_login($auth_methode, $login, $redirect='', $serveur=''){
446 $securiser_action = charger_fonction('securiser_action','inc');
447 return $securiser_action('auth', "$auth_methode/$login", $redirect, true);
448 }
449
450 function auth_terminer_identifier_login($auth_methode, $login, $serveur=''){
451 $args = func_get_args();
452 $auteur = auth_administrer('terminer_identifier_login',$args);
453 return $auteur;
454 }
455
456 /**
457 * Loger un auteur suite a son identification
458 *
459 * @param array $auteur
460 */
461 function auth_loger($auteur, $refuse_cookie_admin=false){
462 if (!is_array($auteur) OR !count($auteur))
463 return false;
464
465 $session = charger_fonction('session', 'inc');
466 $session($auteur);
467 $p = ($auteur['prefs']) ? unserialize($auteur['prefs']) : array();
468 $p['cnx'] = ($auteur['cookie'] == 'oui') ? 'perma' : '';
469 $p = array('prefs' => serialize($p));
470 sql_updateq('spip_auteurs', $p, "id_auteur=" . $auteur['id_auteur']);
471
472 if ($auteur['statut'] == 'nouveau') {
473 $session(); // charger la session car on va la modifier
474 $auteur['statut'] = acces_statut($auteur['id_auteur'], $auteur['statut'], $auteur['bio']);
475 }
476
477 // Si on est admin, poser le cookie de correspondance
478 include_spip('inc/cookie');
479 if (!$refuse_cookie_admin AND $auteur['statut'] == '0minirezo') {
480 spip_setcookie('spip_admin', '@'.$auteur['login'],
481 time() + 7 * 24 * 3600);
482 }
483 // sinon le supprimer ...
484 else {
485 spip_setcookie('spip_admin', '',1);
486 }
487
488 // bloquer ici le visiteur qui tente d'abuser de ses droits
489 verifier_visiteur();
490 return true;
491 }
492
493
494 function auth_deloger(){
495 $logout = charger_fonction('logout','action');
496 $logout();
497 }
498
499 /**
500 * Tester la possibilite de modifier le login d'authentification
501 * pour la methode donnee
502 *
503 * @param string $auth_methode
504 * @param string $serveur
505 * @return bool
506 */
507 function auth_autoriser_modifier_login($auth_methode, $serveur=''){
508 $args = func_get_args();
509 return auth_administrer('autoriser_modifier_login',$args);
510 }
511
512 /**
513 * Verifier la validite d'un nouveau login pour modification
514 * pour la methode donnee
515 *
516 * @param string $auth_methode
517 * @param string $new_login
518 * @param int $id_auteur
519 * @param string $serveur
520 * @return string
521 * message d'erreur ou chaine vide si pas d'erreur
522 */
523 function auth_verifier_login($auth_methode, $new_login, $id_auteur=0, $serveur=''){
524 $args = func_get_args();
525 return auth_administrer('verifier_login',$args,'');
526 }
527
528 /**
529 * Modifier le login d'un auteur pour la methode donnee
530 *
531 * @param string $auth_methode
532 * @param string $new_login
533 * @param int $id_auteur
534 * @param string $serveur
535 * @return bool
536 */
537 function auth_modifier_login($auth_methode, $new_login, $id_auteur, $serveur=''){
538 $args = func_get_args();
539 return auth_administrer('modifier_login',$args);
540 }
541
542 /**
543 * Tester la possibilite de modifier le pass
544 * pour la methode donnee
545 *
546 * @param string $auth_methode
547 * @param string $serveur
548 * @return bool
549 * succes ou echec
550 */
551 function auth_autoriser_modifier_pass($auth_methode, $serveur=''){
552 $args = func_get_args();
553 return auth_administrer('autoriser_modifier_pass',$args);
554 }
555
556 /**
557 * Verifier la validite d'un pass propose pour modification
558 * pour la methode donnee
559 *
560 * @param string $auth_methode
561 * @param string $login
562 * @param string $new_pass
563 * @param int $id_auteur
564 * @param string $serveur
565 * @return string
566 * message d'erreur ou chaine vide si pas d'erreur
567 */
568 function auth_verifier_pass($auth_methode, $login, $new_pass, $id_auteur=0, $serveur=''){
569 $args = func_get_args();
570 return auth_administrer('verifier_pass',$args,'');
571 }
572
573 /**
574 * Modifier le mot de passe d'un auteur
575 * pour la methode donnee
576 *
577 * @param string $auth_methode
578 * @param string $login
579 * @param string $new_pass
580 * @param int $id_auteur
581 * @param string $serveur
582 * @return bool
583 * succes ou echec
584 */
585 function auth_modifier_pass($auth_methode, $login, $new_pass, $id_auteur, $serveur=''){
586 $args = func_get_args();
587 return auth_administrer('modifier_pass',$args);
588 }
589
590 /**
591 * Synchroniser un compte sur une base distante pour la methode
592 * donnee lorsque des modifications sont faites dans la base auteur
593 *
594 * @param string $auth_methode
595 * ici true permet de forcer la synchronisation de tous les acces pour toutes les methodes
596 * @param int $id_auteur
597 * @param array $champs
598 * @param array $options
599 * @param string $serveur
600 * @return void
601 */
602 function auth_synchroniser_distant($auth_methode=true, $id_auteur=0, $champs=array(), $options = array(), $serveur=''){
603 $args = func_get_args();
604 if ($auth_methode===true OR (isset($options['all']) AND $options['all']==true)){
605 $options['all'] = true; // ajouter une option all=>true pour chaque auth
606 $args = array(true, $id_auteur, $champs, $options, $serveur);
607 foreach ($GLOBALS['liste_des_authentifications'] as $methode) {
608 array_shift($args);
609 array_unshift($args,$methode);
610 auth_administrer('synchroniser_distant',$args);
611 }
612 }
613 else
614 auth_administrer('synchroniser_distant',$args);
615 }
616
617
618 /**
619 *
620 * @param string $login
621 * @param string $pw
622 * @param string $serveur
623 * @return array
624 */
625 function lire_php_auth($login, $pw, $serveur=''){
626
627 $row = sql_fetsel('*', 'spip_auteurs', 'login=' . sql_quote($login),'','','','',$serveur);
628
629 if (!$row) {
630 if (spip_connect_ldap($serveur)
631 AND $auth_ldap = charger_fonction('ldap', 'auth', true))
632 return $auth_ldap($login, $pw, $serveur);
633 return false;
634 }
635 // su pas de source definie
636 // ou auth/xxx introuvable, utiliser 'spip'
637 if (!$auth_methode = $row['source']
638 OR !$auth = charger_fonction($auth_methode, 'auth', true))
639 $auth = charger_fonction('spip', 'auth', true);
640
641 $auteur='';
642 if ($auth)
643 $auteur = $auth($login, $pw, $serveur);
644 // verifier que ce n'est pas un message d'erreur
645 if (is_array($auteur) AND count($auteur))
646 return $auteur;
647 return false;
648 }
649
650 /**
651 * entete php_auth (est-encore utilise ?)
652 *
653 * @param <type> $pb
654 * @param <type> $raison
655 * @param <type> $retour
656 * @param <type> $url
657 * @param <type> $re
658 * @param <type> $lien
659 */
660 function ask_php_auth($pb, $raison, $retour, $url='', $re='', $lien='') {
661 @Header("WWW-Authenticate: Basic realm=\"espace prive\"");
662 @Header("HTTP/1.0 401 Unauthorized");
663 $ici = generer_url_ecrire();
664 echo "<b>$pb</b><p>$raison</p>[<a href='$ici'>$retour</a>] ";
665 if ($url) {
666 echo "[<a href='", generer_url_action('cookie',"essai_auth_http=oui&$url"), "'>$re</a>]";
667 }
668
669 if ($lien)
670 echo " [<a href='$ici'>"._T('login_espace_prive')."</a>]";
671 exit;
672 }
673 ?>
Site oueb de VĂ©locampus Nantes