vendor/drenso/symfony-oidc-bundle/src/OidcClient.php line 505

Open in your IDE?
  1. <?php
  3. namespace Drenso\OidcBundle;
  5. use Drenso\OidcBundle\Exception\OidcCodeChallengeMethodNotSupportedException;
  6. use Drenso\OidcBundle\Exception\OidcConfigurationException;
  7. use Drenso\OidcBundle\Exception\OidcConfigurationResolveException;
  8. use Drenso\OidcBundle\Exception\OidcException;
  9. use Drenso\OidcBundle\Model\OidcTokens;
  10. use Drenso\OidcBundle\Model\OidcUserData;
  11. use Drenso\OidcBundle\Security\Exception\OidcAuthenticationException;
  12. use Exception;
  13. use InvalidArgumentException;
  14. use LogicException;
  15. use phpseclib3\Crypt\RSA;
  16. use RuntimeException;
  17. use Symfony\Component\HttpFoundation\RedirectResponse;
  18. use Symfony\Component\HttpFoundation\Request;
  19. use Symfony\Component\HttpFoundation\RequestStack;
  20. use Symfony\Component\Security\Http\HttpUtils;
  21. use Symfony\Component\String\Slugger\AsciiSlugger;
  22. use Symfony\Contracts\Cache\CacheInterface;
  23. use Symfony\Contracts\Cache\ItemInterface;
  25. /**
  26.  * This class implements the Oidc protocol.
  27.  */
  28. class OidcClient implements OidcClientInterface
  29. {
  30.   /** OIDC configuration values */
  31.   protected ?array $configuration null;
  32.   private ?string $cacheKey       null;
  33.   private const PKCE_ALGORITHMS   = [
  34.     'S256'  => 'sha256',
  35.     'plain' => false,
  36.   ];
  38.   public function __construct(
  39.     protected RequestStack $requestStack,
  40.     protected HttpUtils $httpUtils,
  41.     protected ?CacheInterface $wellKnownCache,
  42.     protected OidcUrlFetcher $urlFetcher,
  43.     protected OidcSessionStorage $sessionStorage,
  44.     protected OidcJwtHelper $jwtHelper,
  45.     protected string $wellKnownUrl,
  46.     private readonly ?int $wellKnownCacheTime,
  47.     private readonly string $clientId,
  48.     private readonly string $clientSecret,
  49.     private readonly string $redirectRoute,
  50.     private readonly string $rememberMeParameter,
  51.     protected ?OidcWellKnownParserInterface $wellKnownParser null,
  52.     private readonly ?string $codeChallengeMethod null,
  53.     private readonly bool $disableNonce false)
  54.   {
  55.     // Check for required phpseclib classes
  56.     if (!class_exists('\phpseclib\Crypt\RSA') && !class_exists(RSA::class)) {
  57.       throw new RuntimeException('Unable to find phpseclib Crypt/RSA.php.  Ensure phpseclib/phpseclib is installed.');
  58.     }
  60.     if (!$this->wellKnownUrl || filter_var($this->wellKnownUrlFILTER_VALIDATE_URL) === false) {
  61.       throw new LogicException(sprintf('Invalid well known url (%s) for OIDC'$this->wellKnownUrl));
  62.     }
  64.     if ($this->codeChallengeMethod && !array_key_exists($this->codeChallengeMethodself::PKCE_ALGORITHMS)) {
  65.       throw new LogicException(sprintf('Invalid PKCE algorithm (%s) for code challenge method'$this->codeChallengeMethod));
  66.     }
  67.   }
  69.   public function authenticate(Request $request): OidcTokens
  70.   {
  71.     // Check whether the request has an error state
  72.     if ($request->request->has('error')) {
  73.       throw new OidcAuthenticationException(sprintf('OIDC error: %s. Description: %s.',
  74.         $request->request->get('error'''), $request->request->get('error_description''')));
  75.     }
  77.     // Check whether the request contains the required state and code keys
  78.     if (!$code $request->query->get('code')) {
  79.       throw new OidcAuthenticationException('Missing code in query');
  80.     }
  81.     if (!$state $request->query->get('state')) {
  82.       throw new OidcAuthenticationException('Missing state in query');
  83.     }
  85.     // Do a session check
  86.     if ($state != $this->sessionStorage->getState()) {
  87.       // Fail silently
  88.       throw new OidcAuthenticationException('Invalid session state');
  89.     }
  91.     // Clear session after check
  92.     $this->sessionStorage->clearState();
  94.     // Request and verify the tokens
  95.     return $this->verifyTokens(
  96.       $this->requestTokens('authorization_code'$code$this->getRedirectUrl()),
  97.       !$this->disableNonce
  98.     );
  99.   }
  101.   public function refreshTokens(string $refreshToken): OidcTokens
  102.   {
  103.     // Clear session after check
  104.     $this->sessionStorage->clearState();
  106.     // Request and verify the tokens
  107.     return $this->verifyTokens(
  108.       $this->requestTokens('refresh_token'nullnull$refreshToken),
  109.       verifyNoncefalse
  110.     );
  111.   }
  113.   public function generateAuthorizationRedirect(
  114.     ?string $prompt null,
  115.     array $scopes = ['openid'],
  116.     bool $forceRememberMe false,
  117.     array $additionalQueryParams = []): RedirectResponse
  118.   {
  119.     $data array_merge($additionalQueryParams, [
  120.       'client_id'     => $this->clientId,
  121.       'response_type' => 'code',
  122.       'redirect_uri'  => $this->getRedirectUrl(),
  123.       'scope'         => implode(' '$scopes),
  124.       'state'         => $this->generateState(),
  125.     ]);
  127.     if (!$this->disableNonce) {
  128.       $data['nonce'] = $this->generateNonce();
  129.     }
  131.     if ($prompt) {
  132.       $validPrompts = ['none''login''consent''select_account''create'];
  133.       if (!in_array($prompt$validPrompts)) {
  134.         throw new InvalidArgumentException(sprintf(
  135.           'The prompt parameter need to be one of ("%s"), but "%s" given',
  136.           implode('", "'$validPrompts),
  137.           $prompt
  138.         ));
  139.       }
  141.       $data['prompt'] = $prompt;
  142.     }
  144.     if ($this->codeChallengeMethod) {
  145.       $data array_merge($data, [
  146.         'code_challenge'        => $this->generateCodeChallenge(),
  147.         'code_challenge_method' => $this->codeChallengeMethod,
  148.       ]);
  149.     }
  151.     // Store remember me state
  152.     /** @phan-suppress-next-line PhanAccessMethodInternal */
  153.     $parameter $this->requestStack->getCurrentRequest()->get($this->rememberMeParameter);
  154.     $this->sessionStorage->storeRememberMe($forceRememberMe || 'true' === $parameter || 'on' === $parameter || '1' === $parameter || 'yes' === $parameter || true === $parameter);
  156.     // Remove security session state
  157.     $session $this->requestStack->getSession();
  159.     // BC for attribute definition
  160.     $session->remove(match (true) {
  161.       // Symfony 7
  162.       defined('\Symfony\Component\Security\Http\SecurityRequestAttributes::AUTHENTICATION_ERROR') => \Symfony\Component\Security\Http\SecurityRequestAttributes::AUTHENTICATION_ERROR,
  163.       // Symfony 6
  164.       /* @phan-suppress-next-line PhanUndeclaredConstantOfClass */
  165.       defined('\Symfony\Bundle\SecurityBundle\Security::AUTHENTICATION_ERROR') => \Symfony\Bundle\SecurityBundle\Security::AUTHENTICATION_ERROR,
  166.       // Symfony 5
  167.       /* @phan-suppress-next-line PhanUndeclaredClassConstant */
  168.       default => \Symfony\Component\Security\Core\Security::AUTHENTICATION_ERROR,
  169.     });
  170.     $session->remove(match (true) {
  171.       // Symfony 7
  172.       defined('\Symfony\Component\Security\Http\SecurityRequestAttributes::LAST_USERNAME') => \Symfony\Component\Security\Http\SecurityRequestAttributes::LAST_USERNAME,
  173.       // Symfony 6
  174.       /* @phan-suppress-next-line PhanUndeclaredConstantOfClass */
  175.       defined('\Symfony\Bundle\SecurityBundle\Security::LAST_USERNAME') => \Symfony\Bundle\SecurityBundle\Security::LAST_USERNAME,
  176.       // Symfony 5
  177.       /* @phan-suppress-next-line PhanUndeclaredClassConstant */
  178.       default => \Symfony\Component\Security\Core\Security::LAST_USERNAME,
  179.     });
  181.     $endpointHasQuery parse_url($this->getAuthorizationEndpoint(), PHP_URL_QUERY);
  183.     return new RedirectResponse(sprintf('%s%s%s'$this->getAuthorizationEndpoint(), $endpointHasQuery '&' '?'http_build_query($data)));
  184.   }
  186.   public function generateEndSessionEndpointRedirect(
  187.     OidcTokens $tokens,
  188.     ?string $postLogoutRedirectUrl null,
  189.     array $additionalQueryParams = []): RedirectResponse
  190.   {
  191.     $data array_merge($additionalQueryParams, [
  192.       'client_id'     => $this->clientId,
  193.       'id_token_hint' => $tokens->getIdToken(),
  194.     ]);
  196.     if (null !== $postLogoutRedirectUrl) {
  197.       $data array_merge($data, [
  198.         'post_logout_redirect_uri' => $postLogoutRedirectUrl,
  199.       ]);
  200.     }
  202.     $endpointHasQuery parse_url($this->getEndSessionEndpoint(), PHP_URL_QUERY);
  204.     return new RedirectResponse(sprintf('%s%s%s'$this->getEndSessionEndpoint(), $endpointHasQuery '&' '?'http_build_query($data)));
  205.   }
  207.   public function retrieveUserInfo(OidcTokens $tokens): OidcUserData
  208.   {
  209.     // Set the authorization header
  210.     $headers = ["Authorization: Bearer {$tokens->getAccessToken()}"];
  212.     // Retrieve the user information and convert the encoding to UTF-8 to harden for surfconext UTF-8 bug
  213.     $jsonData $this->urlFetcher->fetchUrl($this->getUserinfoEndpoint(), null$headers);
  214.     $jsonData mb_convert_encoding($jsonData'UTF-8');
  216.     // Read the data
  217.     $data json_decode($jsonDatatrue);
  219.     // Check data due
  220.     if (!is_array($data)) {
  221.       throw new OidcException('Error retrieving the user info from the endpoint.');
  222.     }
  224.     return new OidcUserData($data);
  225.   }
  227.   /**
  228.    * @throws OidcConfigurationException
  229.    * @throws OidcConfigurationResolveException
  230.    */
  231.   protected function getAuthorizationEndpoint(): string
  232.   {
  233.     return $this->getConfigurationValue('authorization_endpoint');
  234.   }
  236.   /**
  237.    * @throws OidcConfigurationException
  238.    * @throws OidcConfigurationResolveException
  239.    */
  240.   protected function getEndSessionEndpoint(): string
  241.   {
  242.     return $this->getConfigurationValue('end_session_endpoint');
  243.   }
  245.   /**
  246.    * @throws OidcConfigurationException
  247.    * @throws OidcConfigurationResolveException
  248.    */
  249.   protected function getIssuer(): string
  250.   {
  251.     return $this->getConfigurationValue('issuer');
  252.   }
  254.   /**
  255.    * @throws OidcConfigurationException
  256.    * @throws OidcConfigurationResolveException
  257.    */
  258.   protected function getJwktUri(): string
  259.   {
  260.     return $this->getConfigurationValue('jwks_uri');
  261.   }
  263.   protected function getRedirectUrl(): string
  264.   {
  265.     return $this->httpUtils->generateUri($this->requestStack->getCurrentRequest(), $this->redirectRoute);
  266.   }
  268.   /**
  269.    * @throws OidcConfigurationException
  270.    * @throws OidcConfigurationResolveException
  271.    */
  272.   protected function getTokenEndpoint(): string
  273.   {
  274.     return $this->getConfigurationValue('token_endpoint');
  275.   }
  277.   /**
  278.    * @throws OidcConfigurationException
  279.    * @throws OidcConfigurationResolveException
  280.    */
  281.   protected function getTokenEndpointAuthMethods(): array
  282.   {
  283.     return $this->getConfigurationValue('token_endpoint_auth_methods_supported', ['client_secret_basic']);
  284.   }
  286.   /**
  287.    * @throws OidcConfigurationException
  288.    * @throws OidcConfigurationResolveException
  289.    */
  290.   protected function getCodeChallengeMethodsSupported(): array
  291.   {
  292.     $value $this->getConfigurationValue('code_challenge_methods_supported');
  294.     if (!is_array($value)) {
  295.       return [];
  296.     }
  298.     return $value;
  299.   }
  301.   /**
  302.    * @throws OidcConfigurationException
  303.    * @throws OidcConfigurationResolveException
  304.    */
  305.   protected function getUserinfoEndpoint(): string
  306.   {
  307.     return $this->getConfigurationValue('userinfo_endpoint');
  308.   }
  310.   /** Generate a nonce to verify the response */
  311.   private function generateNonce(): string
  312.   {
  313.     $value $this->generateRandomString();
  315.     $this->sessionStorage->storeNonce($value);
  317.     return $value;
  318.   }
  320.   /**
  321.    * Generate a code challenge based on the code verifier and PKCE Algorithm.
  322.    *
  323.    * @throws OidcConfigurationException
  324.    * @throws OidcConfigurationResolveException
  325.    * @throws OidcCodeChallengeMethodNotSupportedException
  326.    */
  327.   private function generateCodeChallenge(): string
  328.   {
  329.     if (null === $this->codeChallengeMethod) {
  330.       throw new RuntimeException('Method should not called when a code challenge method isn\'t conmfigured');
  331.     }
  333.     if (!in_array($this->codeChallengeMethod$this->getCodeChallengeMethodsSupported(), true)) {
  334.       throw new OidcCodeChallengeMethodNotSupportedException($this->codeChallengeMethod);
  335.     }
  337.     $codeVerifier bin2hex(random_bytes(64));
  339.     // Save the code verifier for later use in token verification
  340.     $this->sessionStorage->storeCodeVerifier($codeVerifier);
  342.     $pkceAlgorithm self::PKCE_ALGORITHMS[$this->codeChallengeMethod];
  344.     // if $pkceAlgorithm is false handle it as plain
  345.     if (!$pkceAlgorithm) {
  346.       $codeChallenge $codeVerifier;
  347.     } else {
  348.       $codeChallenge rtrim(strtr(base64_encode(hash(self::PKCE_ALGORITHMS[$this->codeChallengeMethod], $codeVerifiertrue)), '+/''-_'), '=');
  349.     }
  351.     return $codeChallenge;
  352.   }
  354.   /** Generate a secure random string for usage as state */
  355.   private function generateRandomString(): string
  356.   {
  357.     return md5(random_bytes(25));
  358.   }
  360.   /** Generate a state to identify the request */
  361.   private function generateState(): string
  362.   {
  363.     $value $this->generateRandomString();
  364.     $this->sessionStorage->storeState($value);
  366.     return $value;
  367.   }
  369.   /**
  370.    * Retrieve a configuration value from the provider well-known configuration.
  371.    *
  372.    * @throws OidcConfigurationException
  373.    * @throws OidcConfigurationResolveException
  374.    */
  375.   private function getConfigurationValue(string $keymixed $default null): mixed
  376.   {
  377.     // Resolve the configuration
  378.     $this->resolveConfiguration();
  380.     if (!array_key_exists($key$this->configuration)) {
  381.       return $default ?? throw new OidcConfigurationException($key);
  382.     }
  384.     return $this->configuration[$key];
  385.   }
  387.   /**
  388.    * Request the tokens from the OIDC provider.
  389.    *
  390.    * @throws OidcException
  391.    */
  392.   private function requestTokens(
  393.     string $grantType,
  394.     ?string $code null,
  395.     ?string $redirectUrl null,
  396.     ?string $refreshToken null): OidcTokens
  397.   {
  398.     $params = [
  399.       'grant_type'    => $grantType,
  400.       'client_id'     => $this->clientId,
  401.       'client_secret' => $this->clientSecret,
  402.     ];
  404.     if (null !== $code) {
  405.       $params['code'] = $code;
  406.     }
  408.     if (null !== $redirectUrl) {
  409.       $params['redirect_uri'] = $redirectUrl;
  410.     }
  412.     if (null !== $refreshToken) {
  413.       $params['refresh_token'] = $refreshToken;
  414.     }
  416.     // Use basic auth if offered
  417.     $headers = [];
  418.     if (in_array('client_secret_basic'$this->getTokenEndpointAuthMethods())) {
  419.       $headers = ['Authorization: Basic ' base64_encode(urlencode($this->clientId) . ':' urlencode($this->clientSecret))];
  420.       unset($params['client_id']);
  421.       unset($params['client_secret']);
  422.     }
  424.     if ($codeVerifier $this->sessionStorage->getCodeVerifier()) {
  425.       unset($params['client_secret']);
  427.       $params array_merge($params, [
  428.         'code_verifier' => $codeVerifier,
  429.       ]);
  430.     }
  432.     $jsonToken json_decode($this->urlFetcher->fetchUrl($this->getTokenEndpoint(), $params$headers));
  434.     // Throw an error if the server returns one
  435.     if (isset($jsonToken->error)) {
  436.       if (isset($jsonToken->error_description)) {
  437.         throw new OidcAuthenticationException($jsonToken->error_description);
  438.       }
  439.       throw new OidcAuthenticationException(sprintf('Got response: %s'$jsonToken->error));
  440.     }
  442.     // Clear code verifier from session after check
  443.     $this->sessionStorage->clearCodeVerifier();
  445.     return new OidcTokens($jsonToken);
  446.   }
  448.   /** @throws OidcException */
  449.   private function verifyTokens(OidcTokens $tokens$verifyNonce true): OidcTokens
  450.   {
  451.     // Retrieve the claims
  452.     $claims $this->jwtHelper->getIdTokenClaims($tokens);
  454.     // Verify the token
  455.     if (!$this->jwtHelper->verifyJwtSignature($this->getJwktUri(), $tokens)) {
  456.       throw new OidcAuthenticationException('Unable to verify signature');
  457.     }
  459.     // If this is a valid claim
  460.     if ($this->jwtHelper->verifyJwtClaims($this->getIssuer(), $claims$tokens$verifyNonce)) {
  461.       return $tokens;
  462.     } else {
  463.       throw new OidcAuthenticationException('Unable to verify JWT claims');
  464.     }
  465.   }
  467.   /**
  468.    * Retrieves the well-known configuration and saves it in the class.
  469.    *
  470.    * @phan-suppress PhanTypeInvalidThrowsIsInterface
  471.    *
  472.    * @throws OidcConfigurationResolveException
  473.    */
  474.   private function resolveConfiguration(): void
  475.   {
  476.     // Check whether the configuration is already available
  477.     if ($this->configuration !== null) {
  478.       return;
  479.     }
  481.     if ($this->wellKnownCache && $this->wellKnownCacheTime !== null) {
  482.       try {
  483.         $this->cacheKey ??= '_drenso_oidc_client__' . (new AsciiSlugger('en'))->slug($this->wellKnownUrl);
  484.         $config         $this->wellKnownCache->get($this->cacheKey, function (ItemInterface $item) {
  485.           $item->expiresAfter($this->wellKnownCacheTime);
  487.           return $this->retrieveWellKnownConfiguration();
  488.         });
  489.       } catch (\Psr\Cache\InvalidArgumentException $e) {
  490.         throw new OidcConfigurationResolveException('Cache failed: ' $e->getMessage(), previous$e);
  491.       }
  492.     } else {
  493.       $config $this->retrieveWellKnownConfiguration();
  494.     }
  496.     // Set the configuration
  497.     $this->configuration $config;
  498.   }
  500.   /**
  501.    * Retrieves the well-known configuration from the configured url.
  502.    *
  503.    * @throws OidcConfigurationResolveException
  504.    */
  505.   private function retrieveWellKnownConfiguration(): array
  506.   {
  507.     try {
  508.       $wellKnown $this->urlFetcher->fetchUrl($this->wellKnownUrl);
  509.     } catch (Exception $e) {
  510.       throw new OidcConfigurationResolveException(sprintf('Could not retrieve OIDC configuration from "%s".'$this->wellKnownUrl), 0$e);
  511.     }
  513.     // Parse the configuration
  514.     if (($config json_decode($wellKnowntrue)) === null) {
  515.       throw new OidcConfigurationResolveException(sprintf('Could not parse OIDC configuration. Response data: "%s"'$wellKnown));
  516.     }
  518.     return $this->wellKnownParser?->parseWellKnown($config) ?? $config;
  519.   }
  520. }