src/Controller/SecurityController.php line 35

Open in your IDE?
  1. <?php
  3. namespace App\Controller;
  5. // begin token-guard ---------------------------------------------------------------------------------
  6. use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;
  7. use Symfony\Component\Security\Csrf\CsrfToken;
  8. use Symfony\Component\Security\Core\Exception\InvalidCsrfTokenException;
  9. use Symfony\Component\Security\Guard\Authenticator\AbstractFormLoginAuthenticator;
  10. // end token-guard ---------------------------------------------------------------------------------
  13. use App\Service\LOGDEFService;
  14. use App\Service\DIVService;
  16. use Symfony\Bundle\FrameworkBundle\Controller\AbstractController;
  17. use Symfony\Component\Routing\Annotation\Route;
  18. use Symfony\Component\HttpFoundation\Response;
  19. use Symfony\Component\HttpFoundation\Request;
  20. use Symfony\Component\Security\Http\Authentication\AuthenticationUtils;
  22. use Doctrine\Persistence\ManagerRegistry;
  23. use Symfony\Component\Validator\Validator\ValidatorInterface;       // contrôleur de contraintes
  24. use Symfony\Component\PasswordHasher\Hasher\UserPasswordHasherInterface;   // l'encodeur ofcourse
  25. use Symfony\Component\DependencyInjection\ParameterBag\ParameterBagInterface;
  27. use App\Entity\usr;
  28. use App\Entity\usl;
  31. class SecurityController extends AbstractController
  32. {
  34.     #[Route(path'/identification'name'identification')]
  35.     public function identification
  36.         (
  37.             ManagerRegistry $doctrine
  38.             AuthenticationUtils $authenticationUtils,
  39.             UserPasswordHasherInterface $passwordHasher,
  40.             DIVService $divservice,
  41.         ): Response
  42.     {
  43.         
  44.         $em $doctrine->getManager();
  45.         // activer si besoin de coder / définir un pwd pour un glups
  46.         /*
  47.             $usr = $em->getRepository(usr::class)->findOneBy(array('username'=>'stephy.deveaux'));
  48.             $plaintextPassword = 'agagagagag:';
  49.             $hashedPassword = $passwordHasher->hashPassword(
  50.                 $usr,
  51.                 $plaintextPassword
  52.             );
  53.             $usr->setPassword($hashedPassword);
  54.             $em->persist($usr);
  55.             $em->flush();
  56.         */
  58.         // =============== CTRL LOGIN'S =====================
  59.         //var_dump($_SERVER);
  60.         // vérif occurences demandes : combien de fois en combien de temps pour quel login
  61.         $delaymin 1800;    // délai maxi pour une série de tentative de login pour une IP (30')
  62.         $nbtryipmax 16;      // nb tentatives max pour une même IP en moins de 'delaymin'
  63.         $nbtrylogmax 10;      // nb tentatives échouées max pour un login en moins de 'delaymin'
  64.         
  65.         $ip '';
  66.         if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){    // récup IP origine dde
  67.             $ip $_SERVER['HTTP_X_FORWARDED_FOR'];
  68.         }else{
  69.             $ip $_SERVER['REMOTE_ADDR'];
  70.         }
  72.         $datnow time();
  73.         $perioddde date('Y-m-d H:i:s'mktime(date('H'$datnow),date('i'$datnow),date('s'$datnow),date('m'$datnow),date('d'$datnow),date('Y'$datnow)));
  74.         $datlimit $datnow $delaymin;
  75.         $periodlimit date('Y-m-d H:i:s'mktime(date('H'$datlimit),date('i'$datlimit),date('s'$datlimit),date('m'$datlimit),date('d'$datlimit),date('Y'$datlimit)));
  77.         // 1° niveau CTRL : affichage répété page login pour rien  ================================
  78.         $ctx '';$nbtry=0;
  79.         if((isset($_SERVER['HTTP_REFERER'])) && (isset($_SERVER['HTTP_COOKIE']))){ // logout possible, pas de vérif
  80.             $ctx 'logout';
  81.             // dd('http referer isset et cookie');
  82.         }
  83.         
  84.         // nb ddes pour cette IP dans les dernières 'delaymin' secondes avec ou sans login
  85.         if($ctx!='logout'){
  86.             // dd($ctx.', '.$ip);
  87.             $query $em->getRepository(usl::class)->createQueryBuilder('usl')
  88.                 ->select("COUNT(usl.uslip) AS nbtry")
  89.                 ->where('usl.uslip = :uslip')
  90.                 ->setParameter('uslip'$ip)
  91.                 ->andwhere('usl.uslip NOT IN (:iplocale)')
  92.                 // ->setParameter('iplocale' , array('127.0.0.1','192.168.26.50'))     // pour audit cq + locloc
  93.                 ->setParameter('iplocale' , array('127.0.0.1'))     // locloc ou cq
  94.                 ->andwhere('usl.usldat BETWEEN :periodlimit AND :perioddde')
  95.                 ->setParameter('perioddde' ,$perioddde)
  96.                 ->setParameter('periodlimit' ,$periodlimit)
  97.             ;
  98.             $nbtry $query->getQuery()->getSingleScalarResult();
  99.         }
  101.         // 1° blocage : affichage excessif de la page de login pour rien
  102.         if($nbtry>=$nbtryipmax){        // abus
  103.             $this->addFlash('Erreur'"IP Reconnectez-vous dans 1 heure. Tentatives de connexion excessives : ".$nbtryipmax);
  104.             // renvoi page erreur
  105.             return $this->render('security/erreur.html.twig'
  106.                 array(
  107.                     'ip' => $ip
  108.                 )
  109.             );
  110.         }
  111.         
  113.         // 2° niveau CTRL : tentative de login répétée avec échec => error ========================
  114.         // vérif si même IP a tenté de se loguer plus de nbtrylogmax pour un login avec N comptes....
  115.         $query $em->getRepository(USL::class)->createQueryBuilder('usl')
  116.             ->select("COUNT(usl.uslip) AS nbtry")
  117.             ->where('usl.uslctx =:uslctx')
  118.             ->setParameter('uslctx''error')
  119.             ->andwhere('usl.usldat BETWEEN :periodlimit AND :perioddde')
  120.             ->setParameter('perioddde' ,$perioddde)
  121.             ->setParameter('periodlimit' ,$periodlimit)
  122.         ;
  123.         $nbtry $query->getQuery()->getSingleScalarResult();
  125.         if($nbtry>=$nbtrylogmax){        // abus
  126.             $this->addFlash('Erreur'"IP Reconnectez-vous dans 1 heure. Tentatives de connexion excessives : ".$nbtrylogmax);
  127.             // renvoi page erreur
  128.             return $this->render('security/erreur.html.twig'
  129.                 array(
  130.                     'ip' => $ip
  131.                 )
  132.             );
  133.         }else{
  134.             
  135.             // enregistrement des caractéristiques de la demande de login 
  136.             $error $authenticationUtils->getLastAuthenticationError();    // get the login error if there is one
  137.             $lastUsername $authenticationUtils->getLastUsername();        // last username entered by the user
  139.             // possible provenance logout, récup phpsessid pour id usr
  140.             $cook ''
  141.             if(isset($_SERVER['HTTP_REFERER'])){
  142.                 if(isset($_SERVER['HTTP_COOKIE'])){ // id usr possibl
  143.                     $cook str_replace('PHPSESSID=','',$_SERVER['HTTP_COOKIE']);
  144.                     $pos strpos($cook";");
  145.                     if(($pos>1)&&($pos<255)){
  146.                         $cook substr($cook0$pos-1);
  147.                     }else{
  148.                         $cook substr($cook0254);
  149.                     }
  150.                 }
  151.             }
  153.             if($error){                                                // inactive renvoi erreur niveau Render (ci-dessous)
  154.                 $login $lastUsername;
  155.                 $ctx 'error';
  156.                 $this->addFlash('Erreur''Identification invalide');
  157.             }else{
  158.                 if($lastUsername!=''){
  159.                     $login $lastUsername;
  160.                     $ctx 'login';
  161.                     if($cook==''){
  162.                         $ctx 'start';
  163.                     }
  164.                 }else{
  165.                     $login '';
  166.                     if($cook==''){
  167.                         $ctx 'start';
  168.                     }else{
  169.                         $ctx 'logout';
  170.                     }
  171.                 }
  172.             }
  173.             
  174.         
  175.             // enrgt dde : IP + Heure + login (0,1)
  176.             $datdde = new \DateTime();
  177.             $usl = new usl;
  178.             $usl->setUslip($ip);
  179.             $usl->setUsldat($datdde);
  180.             $usl->setUsllogin($login);
  181.             $usl->setUslctx($ctx);
  182.             $usl->setUslcook($cook);
  183.             $em->persist($usl);
  184.             $em->flush();
  186.             // 2° niveau vérif   ================================
  187.             // nb échecs pour ce login dans les dernières 'delaymin' secondes
  188.             $nbtry 0;
  189.             if($login!=''){
  190.                 $query $em->getRepository(USL::class)->createQueryBuilder('usl')
  191.                     ->select("COUNT(usl.uslip) AS nbtry")
  192.                     ->where('usl.usllogin = :usllogin')
  193.                     ->setParameter('usllogin'$login)
  194.                     ->andwhere('usl.uslctx <> :uslctx')
  195.                     ->setParameter('uslctx''error')
  196.                     ->andwhere('usl.usldat BETWEEN :periodlimit AND :perioddde')
  197.                     ->setParameter('perioddde' ,$perioddde)
  198.                     ->setParameter('periodlimit' ,$periodlimit)
  199.                 ;
  200.                 $nbtry $query->getQuery()->getSingleScalarResult();
  201.             }
  202.                     
  203.             if($nbtry>=$nbtrylogmax){
  204.                 $this->addFlash('Erreur'"LOGIN : Reconnectez-vous dans 1 heure, nb tentatives excessives > ".$nbtrylogmax);
  205.                 // renvoi page erreur
  206.                 return $this->render('security/erreur.html.twig'
  207.                     array(
  208.                         'ip' => $ip
  209.                     )
  210.                 );
  211.             }else{
  212.                 
  213.                 // situation normale ras
  214.                 return $this->render('security/login.html.twig', [
  215.                     'last_username' => $lastUsername,
  216.                     'error' => $error,
  217.                     // 'deflog' => $deflog,
  218.                 ]);
  219.             }
  220.         }
  221.     }
  226.     #[Route(path'/login'name'app_login')]
  227.     public function login
  228.         (
  229.             AuthenticationUtils $authenticationUtils,
  230.             LOGDEFService $logdefservice,
  231.             DIVService $divservice,
  232.         ): Response
  233.     {
  234.         
  235.         // en cas d'erreur, enregistrement des caractéristiques de la demande de login 
  236.         // TODO : tenter de réafficher identification !?
  237.         $error $authenticationUtils->getLastAuthenticationError();    // get the login error if there is one
  238.         $lastUsername $authenticationUtils->getLastUsername();        // last username entered by the user
  240.         // ACCUEIL : possible provenance logout, récup phpsessid pour id usr
  241.         $cook ''
  242.         if(isset($_SERVER['HTTP_REFERER'])){
  243.             if(isset($_SERVER['HTTP_COOKIE'])){ // id usr possibl
  244.                 $cook str_replace('PHPSESSID=','',$_SERVER['HTTP_COOKIE']);
  245.                 $pos strpos($cook";");
  246.                 if(($pos>1)&&($pos<255)){
  247.                     $cook substr($cook0$pos-1);
  248.                 }else{
  249.                     $cook substr($cook0254);
  250.                 }
  251.             }
  252.         }
  254.         if($error){                                                // inactive renvoi erreur niveau Render (ci-dessous)
  255.             $login $lastUsername;
  256.             $ctx 'error';
  257.             $this->addFlash('Erreur''Identification invalide');
  258.         }else{
  259.             if($lastUsername!=''){
  260.                 $login $lastUsername;
  261.                 $ctx 'login';
  262.                 if($cook==''){
  263.                     $ctx 'start';
  264.                 }
  265.             }else{
  266.                 $login '';
  267.                 if($cook==''){
  268.                     $ctx 'start';
  269.                 }else{
  270.                     $ctx 'logout';
  271.                 }
  272.             }
  273.         }
  276.         // OUTILS : infobulles fusion de la page
  277.         $lesdefs = array('ppi','pfb','mfp');
  278.         $deflog = array();
  279.         foreach($lesdefs as $ladef){
  280.             $deflog[$ladef] = $logdefservice->get_unedef($ladef); 
  281.         }
  282.         
  283.         // récup guide pratique CF
  284.         $gp $divservice->crypt_cfppiid(57);
  285.         
  286.         return $this->render('security\accueil.html.twig', array(
  287.                 'last_username' => $lastUsername,
  288.                 'deflog' => $deflog,
  289.                 'error' => $error,
  290.                 'gp' => $gp
  291.             )
  292.         ); 
  293.     }
  296.     
  297.     // les cartes à jouer avec les outils financiers
  298.     #[Route(path'/nosoutils'name'nosoutils')]
  299.     public function nosoutils(
  300.             LOGDEFService $logdefservice,
  301.         ): Response
  302.     {
  303.         // a) les infobulles fusion de la page
  304.         // $lesdefs = array('ppi','mod','pro','eau','pfi','lis','mev');
  305.         $lesdefs = array('ppi','raf','mfp');
  306.         $deflog = array();
  307.         foreach($lesdefs as $ladef){
  308.             $deflog[$ladef] = $logdefservice->get_unedef($ladef); 
  309.         }
  310.         
  311.         // situation normale ras
  312.         return $this->render('security/nosoutils.html.twig', [
  313.             'deflog' => $deflog,
  314.         ]);
  315.     }
  320.     // Téléchargement du guide utilisateur
  321.     #[Route(path'/downloadguide'name'downloadguide')]
  322.     public function downloadguide(
  323.             Request $request
  324.             CsrfTokenManagerInterface $csrfTokenManager,
  325.             ParameterBagInterface $parambag,
  326.             DIVService $divservice,
  327.         ): Response
  328.     {
  329.         $cause = -1;
  330.         $ouv_poss false// protection ACL contre les lectures intempestives extérieures (saisie url directe)
  331.         
  332.         // begin token-guard --------------------------------------------------------------------------------------------------------------
  333.         if($request->query->get('dou')=='accueil'){
  334.               // pas de token
  335.         }else{
  336.             if($request->query->get('dou')=='autre'){
  337.                 $tokorigin 'yoplaboum';      // provenance de ailleurs
  338.             }
  339.             $csrfToken $request->query->get('tok');        // contient le _token
  340.             if (false === $csrfTokenManager->isTokenValid(new CsrfToken($tokorigin$csrfToken))) {
  341.                 $cause '4';
  342.                 // end token-guard --------------------------------------------------------------------------------------------------------------
  343.             }            
  344.         }
  345.         
  346.         if($cause==-1){        // poursuit
  347.             $data_nfid $request->query->get('nfid');   // nfid trafiqué
  349.             $gp $divservice->decrypt_cfppiid($data_nfid);
  350.             
  351.             if($gp!='57'){       // juste pour voir si accès direct pas détourné par des zombis
  352.                 $cause '2';      // pas ok
  353.             }else{
  354.                 $ouv_poss true;
  355.             }
  356.         }
  359.         if($ouv_poss){        // pour le moment pas d'accès au guide suprême, il est pas là
  360.             $nom_fichier 'guide_utilisateur_cf.pdf';
  361.             $chemin_fichier =  $parambag->get('dochelp_web_path');
  362.             $content file_get_contents($chemin_fichier.$nom_fichier);
  363.             $response = new Response();
  364.         
  365.             //set headers
  366.             $response->headers->set('Content-Type''mime/type');
  367.             // $response->headers->set('Content-Disposition', 'attachment;filename="'.bin2hex(random_bytes(32)).'.pdf"');
  368.             $response->headers->set('Content-Disposition''attachment;filename="guide_utilisateur_cf.pdf"');
  369.             $response->setContent($content);
  370.             return $response;
  371.             
  372.         }else{
  373.             $this->get('session')->getFlashBag()->add(
  374.                 'error',
  375.                 'Impossible d\'accéder à la fonction demandée'.' ('.$cause.')'
  376.             );
  377.             return $this->redirect($this->generateUrl('pageaccueil')); // renvoi caval
  378.         }
  379.     }
  384.     #[Route(path'/ruralconsult'name'ruralconsult')]
  385.     public function ruralconsult(): Response
  386.     {
  387.         return $this->render('security\ruralconsult.html.twig', array());        
  388.     }
  392.     #[Route(path'/logout'name'app_logout')]
  393.     public function logout(): void
  394.     {
  395.         throw new \LogicException('This method can be blank - it will be intercepted by the logout key on your firewall.');
  396.     }
  397. }