src/Security/CustomerAuthenticator.php line 172

Open in your IDE?
  1. <?php
  3. namespace App\Security;
  5. use App\Controller\Services\CaptchaController;
  6. use App\Entity\Account;
  7. use App\Entity\EgeeClient;
  8. use Psr\Log\LoggerInterface;
  9. use Doctrine\ORM\EntityManagerInterface;
  10. use App\Domain\Encryption\HashingService;
  11. use Symfony\Component\HttpFoundation\Request;
  12. use Symfony\Component\Security\Core\Security;
  13. use Symfony\Component\Security\Csrf\CsrfToken;
  14. use App\Exception\RecaptchaVerificationException;
  15. use Symfony\Component\HttpFoundation\RedirectResponse;
  16. use Symfony\Component\Security\Core\User\UserInterface;
  17. use Symfony\Component\Security\Http\Util\TargetPathTrait;
  18. use Symfony\Component\Routing\Generator\UrlGeneratorInterface;
  19. use Symfony\Component\Security\Csrf\CsrfTokenManagerInterface;
  20. use Symfony\Component\Security\Core\User\UserProviderInterface;
  21. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  22. use Symfony\Component\Security\Core\Exception\InvalidCsrfTokenException;
  23. use Symfony\Component\Security\Guard\Authenticator\AbstractFormLoginAuthenticator;
  24. use Symfony\Component\Security\Core\Exception\CustomUserMessageAuthenticationException;
  26. class CustomerAuthenticator extends AbstractFormLoginAuthenticator
  27. {
  28.     use TargetPathTrait;
  30.     public const LOGIN_ROUTE 'login';
  32.     private $entityManager;
  33.     private $urlGenerator;
  34.     private $csrfTokenManager;
  35.     private $hashingService;
  36.     private $logger;
  38.     public function __construct(
  39.         EntityManagerInterface $entityManager,
  40.         UrlGeneratorInterface $urlGenerator,
  41.         CsrfTokenManagerInterface $csrfTokenManager,
  42.         HashingService $hashingService,
  43.         LoggerInterface $logger
  44.     ) {
  45.         $this->entityManager $entityManager;
  46.         $this->urlGenerator $urlGenerator;
  47.         $this->csrfTokenManager $csrfTokenManager;
  48.         $this->hashingService $hashingService;
  49.         $this->logger $logger;
  50.     }
  52.     public function supports(Request $request)
  53.     {
  54.         return self::LOGIN_ROUTE === $request->attributes->get('_route')
  55.             && $request->isMethod('POST');
  56.     }
  58.     public function getCredentials(Request $request)
  59.     {
  60.         $ip $_SERVER['REMOTE_ADDR'];
  61.         $dateDuJour date("Ymd");
  62.         $varPath getcwd().'/../var';
  63.         $chemin $varPath.'/captcha';
  64.         if (!is_dir($chemin)) {
  65.             // Crée le dossier avec les permissions 0755, et true pour créer les dossiers parents si nécessaire
  66.             if (!mkdir($chemin0755true)) {
  67.                 die('Échec lors de la création du dossier...');
  68.             }
  69.         }
  71.         $fail_log $chemin '/'.$dateDuJour.'.log';
  72.         $max_attempts 5;
  73.         $time_window 15 60// 15 minutes
  75.         // ❗ Vérifie si l’IP est déjà bloquée
  76.         if ($this->verifierSiIpBloquee($ip$fail_log$max_attempts$time_window)) {
  77.             $this->logger->info('reCAPTCHA rejeté', ['IP bloquée']);
  78.             throw new RecaptchaVerificationException();
  79.             //die("Trop de tentatives échouées. Réessayez plus tard.");
  80.         }
  82.         /*
  83.          * Clé Google Recaptcha v3
  84.          * DEV :
  85.          *      - clé secrète 6LcnjyoaAAAAAPhi6K_AxoW47WPWJHNQCDEgTtMS
  86.          *      - clé site 6LcnjyoaAAAAANHwcvnepkwrR3Xby2e7FTPTTG_r
  87.          *
  88.          * PROD :
  89.          *      - clé secrète 6LcjorMZAAAAAPZ2jHNngd9MpmsUcO9pv6oNB3yx
  90.          *      - clé site 6LcjorMZAAAAAEKYV5kfyGo_K-oBN_dZGXLAs4N3
  91.          */
  92.         //if (null !== $request->request->get('recaptcha_response')) {
  93.         if (isset($_POST['formulaire_jeton']) && $_POST['formulaire_jeton'] == $_SESSION['captcha_token']) {
  95.             if (time() - $_SESSION['formulaire_time'] < 3) {
  96.                 $this->logger->info('reCAPTCHA rejeté', ['Soumission trop rapide : bot probable']);
  97.                 throw new RecaptchaVerificationException();
  98.             }
  100.             $trap_field $_SESSION['formulaire_piege'] ?? '';
  101.             if (!empty($_POST[$trap_field])) {
  102.                 $this->logger->info('reCAPTCHA rejeté', ['Bot détecté (champ dynamique)']);
  103.                 throw new RecaptchaVerificationException();
  104.             }
  106.             //$recaptcha_url = 'https://www.google.com/recaptcha/api/siteverify';
  108.             /*$host = $request->getHost();
  109.             switch ($host) {
  110.                 case 'ec-eau-2024.iti-communication.net':
  111.                     $recaptcha_secret = '6LcnjyoaAAAAAPhi6K_AxoW47WPWJHNQCDEgTtMS';
  112.                     break;
  114.                 default:
  115.                     $recaptcha_secret = '6LcjorMZAAAAAPZ2jHNngd9MpmsUcO9pv6oNB3yx';
  116.             }
  118.             $recaptcha_response = $request->request->get('recaptcha_response');
  120.             $params = [
  121.                 'secret' => $recaptcha_secret,
  122.                 'response' => $recaptcha_response,
  123.             ];*/
  125.             // Requete de vérification du score
  126.             /*$ch = curl_init($recaptcha_url);
  127.             curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
  128.             curl_setopt($ch, CURLOPT_TIMEOUT, 2); // timeout max 2s
  129.             curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($params));
  131.             $start = microtime(true);
  132.             $response = curl_exec($ch);
  133.             $duration = microtime(true) - $start;
  135.             if ($response === false) {
  136.                 $error = curl_error($ch);
  137.                 curl_close($ch);
  138.                 $this->logger->error('reCAPTCHA API error: ' . $error);
  139.                 throw new RecaptchaVerificationException();
  140.             }
  142.             curl_close($ch);
  144.             $recaptcha = json_decode($response);
  146.             if ($duration > 1.5) {
  147.                 $this->logger->warning('reCAPTCHA API slow response', ['duration' => $duration]);
  148.             }*/
  150.             //if (isset($recaptcha->score) && $recaptcha->score >= 0.5) {
  151.             //    $this->logger->info('reCAPTCHA accepté', ['score' => $recaptcha->score ?? 'null']);
  152.                 $this->logger->info('reCAPTCHA accepté', ['OK']);
  153.                 $credentials = [
  154.                     'reference' => $request->request->get('reference'),
  155.                     'password' => $request->request->get('password'),
  156.                     'csrf_token' => $request->request->get('_csrf_token'),
  157.                 ];
  158.                 $request->getSession()->set(
  159.                     Security::LAST_USERNAME,
  160.                     $credentials['reference']
  161.                 );
  163.                 return $credentials;
  164.             /*} else {
  165.                 $this->logger->info('reCAPTCHA rejeté', ['score' => $recaptcha->score ?? 'null']);
  166.                 throw new RecaptchaVerificationException();
  167.             }*/
  168.         } else {
  169.             $this->loguerEchecs($ip$fail_log);
  170.             $this->logger->info('reCAPTCHA rejeté', ['Captcha incorrect']);
  171.             //throw new RecaptchaVerificationException();
  172.             throw new InvalidCsrfTokenException('reCAPTCHA manquant.');
  173.         }
  174.     }
  176.     public function getUser($credentialsUserProviderInterface $userProvider)
  177.     {
  178.         $token = new CsrfToken('authenticate'$credentials['csrf_token']);
  179.         if (!$this->csrfTokenManager->isTokenValid($token)) {
  180.             throw new InvalidCsrfTokenException();
  181.         }
  183.         $account $this->entityManager->getRepository(Account::class)->getAccountByReference(
  184.             $credentials['reference']
  185.         );
  187.         $client $this->entityManager->getRepository(EgeeClient::class)->findOneBy(
  188.             ['cliReference' => $credentials['reference']]
  189.         );
  191.         if (!$account) { // Si usager non présent dans la table account on cherche si présent dans l'ancienne plareforme
  192.             $varPath getcwd().'/../var';
  193.             $accountsLegacy = [];
  194.             if (file_exists($varPath.'/account')) {
  195.                 $fileAccount fopen($varPath.'/account''r');
  196.                 while (!feof($fileAccount)) {
  197.                     $line fgets($fileAccount);
  198.                     $line explode(','$line);
  199.                     if (isset($line[0]) && isset($line[1]) && isset($line[2])) {
  200.                         $accountsLegacy[$line[0]] = [
  201.                             'password' => $line[1],
  202.                             'email' => $line[2],
  203.                         ];
  204.                     }
  205.                 }
  206.                 fclose($fileAccount);
  207.             }
  209.             if (isset($accountsLegacy[$credentials['reference']]) && isset($client)) { // Si present dans le fichier account de rétrocompatibilité
  210.                 $accountEmail preg_replace("/\r|\n/"''$accountsLegacy[$credentials['reference']]['email']);
  211.                 if ('' == $accountEmail && $client->getCliMel()) {
  212.                     $accountEmail $client->getCliMel();
  213.                 }
  215.                 if (crypt(
  216.                     $credentials['password'],
  217.                     $accountsLegacy[$credentials['reference']]['password']
  218.                 ) === $accountsLegacy[$credentials['reference']]['password']) {
  219.                     // Si authentification rétrocompatible réussie on créer une entrée dans la table account
  220.                     $this->createAccountRetroCompatibility(
  221.                         $credentials['reference'],
  222.                         $accountEmail,
  223.                         $credentials['password']
  224.                     );
  226.                     // On supprime l'entree dans le fichier
  227.                     unset($accountsLegacy[$credentials['reference']]);
  228.                     $fileAccount fopen($varPath.'/account''w');
  229.                     foreach ($accountsLegacy as $key => $line) {
  230.                         fwrite($fileAccount$key.','.$line['password'].','.$line['email']);
  231.                     }
  232.                     fclose($fileAccount);
  234.                     $account $this->entityManager->getRepository(Account::class)->getAccountByReference(
  235.                         $credentials['reference']
  236.                     );
  238.                     $this->logger->info(
  239.                         'Connexion de l\'utilisateur - Création de l\'usager (Retrocompatibilité du mot de passe)',
  240.                         ['customer' => $credentials['reference']]
  241.                     );
  242.                 } else {
  243.                     // Si l'authentification via la rétrocompatibilité à échouée on créer une entrée dans la table account
  244.                     $this->createAccountRetroCompatibility(
  245.                         $credentials['reference'],
  246.                         $accountEmail,
  247.                         'qU39npeP4mVaB655atRS4J6S'
  248.                     );
  250.                     $this->logger->error(
  251.                         'Connexion de l\'utilisateur - Echec authentification rétrocompatible, création user verrouillé',
  252.                         ['customer' => $credentials['reference']]
  253.                     );
  254.                     throw new CustomUserMessageAuthenticationException('La référence client est introuvable, en cas de problème veuillez utiliser le lien "mot de passe oublié"');
  255.                 }
  256.             } elseif ($client) { // Si usager non présent dans la table account, non présent dans le fichier account mais present dans la table client
  257.                 if ($client->getCliMel()) {
  258.                     $accountEmail $client->getCliMel();
  259.                 } else {
  260.                     $accountEmail '';
  261.                 }
  263.                 if ($client->getCliTelephone()) {
  264.                     $accountTel $client->getCliTelephone();
  265.                 } else {
  266.                     $accountTel '';
  267.                 }
  269.                 if (crypt(
  270.                     $credentials['password'],
  271.                     $client->getCliMdp()
  272.                 ) === $client->getCliMdp()) {
  273.                     $this->createAccountRetroCompatibility(
  274.                         $credentials['reference'],
  275.                         $accountEmail,
  276.                         $credentials['password'],
  277.                         $accountTel
  278.                     );
  280.                     $account $this->entityManager->getRepository(Account::class)->getAccountByReference(
  281.                         $credentials['reference']
  282.                     );
  284.                     $this->logger->info(
  285.                         'Connexion de l\'utilisateur - Création de l\'usager (Account non présent)',
  286.                         ['customer' => $credentials['reference']]
  287.                     );
  288.                 } else {
  289.                     // Si l'authentification via la récupération des infos de la table client à échouée on créer une entrée dans la table account
  290.                     $this->createAccountRetroCompatibility(
  291.                         $credentials['reference'],
  292.                         $accountEmail,
  293.                         'qU39npeP4mVaB655atRS4J6S',
  294.                         $accountTel
  295.                     );
  297.                     $this->logger->error(
  298.                         'Connexion de l\'utilisateur - Echec authentification via récupération des infos table client, création user verrouillé',
  299.                         ['customer' => $credentials['reference']]
  300.                     );
  301.                     throw new CustomUserMessageAuthenticationException('La référence client est introuvable, en cas de problème veuillez utiliser le lien "mot de passe oublié"');
  302.                 }
  303.             } else { // usager inconnu (non présent dans le fichier account ni dans la table client) ou authentification incorrecte
  304.                 $this->logger->error(
  305.                     'Connexion de l\'utilisateur - Echec référence introuvable',
  306.                     ['customer' => $credentials['reference']]
  307.                 );
  308.                 throw new CustomUserMessageAuthenticationException('La référence client est introuvable');
  309.             }
  310.         }
  312.         return $account;
  313.     }
  315.     private function createAccountRetroCompatibility($reference$email$password$telephone '')
  316.     {
  317.         $account = new Account();
  318.         $account->setReference($reference);
  319.         $account->setEmail($email);
  320.         if ($telephone) {
  321.             $account->setPhoneNumber($telephone);
  322.         }
  323.         $account->setPassword($this->hashingService->hashPassword($password));
  324.         $account->setIsSetupNeeded(1);
  325.         $account->setUpdatedAt(new \DateTime());
  326.         $this->entityManager->persist($account);
  327.         $this->entityManager->flush();
  328.     }
  330.     public function checkCredentials($credentialsUserInterface $account)
  331.     {
  332.         return password_verify($credentials['password'], $account->getPassword());
  333.     }
  335.     public function onAuthenticationSuccess(Request $requestTokenInterface $token$providerKey)
  336.     {
  337.         $account $this->entityManager->getRepository(Account::class)->find($token->getUser()->getAutoId());
  339.         $varPath getcwd().'/../var';
  340.         $reference preg_replace('/\s+/'''$account->getReference());
  341.         $dossierParent substr($reference03);
  342.         $filename $varPath.'/accounts/'.$dossierParent.'/'.$reference;
  344.         if (!file_exists($varPath.'/accounts')) {
  345.             mkdir($varPath.'/accounts'0777true);
  346.         }
  348.         if (!file_exists($varPath.'/accounts/'.$dossierParent)) {
  349.             mkdir($varPath.'/accounts/'.$dossierParent0777true);
  350.         }
  352.         if (!file_exists($filename)) {
  353.             $timestamp time();
  354.             $result file_put_contents($filename$timestamp);
  356.             if (false !== $result) {
  357.                 $this->logger->info('Creation fichier timestamp', ['customer' => $account->getReference()]);
  358.             } else {
  359.                 $this->logger->info('Impossible d\'écrire dans le fichier timestamp', ['customer' => $account->getReference()]);
  360.             }
  361.         }
  363.         // --------------------------------------------------
  364.         // On ajoute une vérification pour forcer le
  365.         // changement de mot de passe au bout de 150 jours
  366.         /*$derniereMaj = file_get_contents($filename);
  367.         $delaiMaj = $derniereMaj + (86400 * 150);
  369.         if($delaiMaj < time()) {
  370.             $account->setIsSetupNeeded(1);
  371.             $this->entityManager->flush();
  372.         }*/
  373.         // --------------------------------------------------
  375.         if ($account->getIsSetupNeeded()) {
  376.             $this->logger->info(
  377.                 'Connexion de l\'utilisateur - Réussite première configuration',
  378.                 ['customer' => $account->getReference()]
  379.             );
  381.             return new RedirectResponse($this->urlGenerator->generate('account-setup'));
  382.         }
  384.         $this->logger->info('Connexion de l\'utilisateur - Réussite', ['customer' => $account->getReference()]);
  386.         if ($targetPath $this->getTargetPath($request->getSession(), $providerKey)) {
  387.             return new RedirectResponse($targetPath);
  388.         }
  390.         return new RedirectResponse($this->urlGenerator->generate('dashboard'));
  391.     }
  393.     protected function getLoginUrl()
  394.     {
  395.         return $this->urlGenerator->generate(self::LOGIN_ROUTE);
  396.     }
  398.     private function hashLegacyPassword($password$cost)
  399.     {
  400.         $salt substr(base64_encode(openssl_random_pseudo_bytes(17)), 022);
  401.         $salt str_replace('+''.'$salt);
  402.         $param '$'.implode('$', ['2y'str_pad($cost2'0'STR_PAD_LEFT), $salt]);
  404.         return crypt($password$param);
  405.     }
  407.     private function verifierSiIpBloquee($ip$fail_log$max_attempts$time_window) {
  408.         if (!file_exists($fail_log)) return false;
  410.         $lines file($fail_logFILE_IGNORE_NEW_LINES FILE_SKIP_EMPTY_LINES);
  411.         $now time();
  412.         $recent_fails 0;
  414.         foreach ($lines as $line) {
  415.             list($logged_ip$timestamp) = explode('|'$line);
  416.             if ($logged_ip === $ip && ($now - (int)$timestamp) < $time_window) {
  417.                 $recent_fails++;
  418.             }
  419.         }
  421.         return $recent_fails >= $max_attempts;
  422.     }
  424.     private function loguerEchecs($ip$fail_log) {
  425.         file_put_contents($fail_log"$ip|" time() . "\n"FILE_APPEND);
  426.     }
  427. }