projects / Pman.Base / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Pman/Login.php
[Pman.Base] / Pman / Login.php
1 <?php
2
3 require_once 'Pman.php';
4
5 /***
6
7 * Auth wrapper..
8
9 * User class must provide the following features.
10
11 * logout()
12 * isAuth() 
13 * getAuthUser();
14 * authUserArray() 
15 * active()  -- is user active. // or set prior to checking..
16 * authUserName(n) - sets the value prior to a find(true)
17 * checkPassword($_REQUEST['password'])) {
18 * login();
19 * lang(val) - to set the language..
20 */
21
22
23
24 class Pman_Login extends Pman
25
26     var $masterTemplate = 'login.html';
27     
28     var $ip_management = false;
29     
30     function getAuth() // everyone allowed in here..
31     {
32         parent::getAuth(); // load company..
33         
34         $ff = HTML_FlexyFramework::get();
35         
36         $this->ip_management = (empty($ff->Pman['ip_management'])) ? false : true;
37         
38         return true;
39     }
40     /**
41      * Accepts:
42      * logout =
43      * 
44      * 
45      */
46     function get($v, $opts=array()) 
47     {
48         $this->initErrorHandling();
49         
50         $this->ip_validate();
51         
52          //DB_DataObject::DebugLevel(1);
53         if (!empty($_REQUEST['logout'])) {
54            return $this->logout();
55         }
56         
57         // general query...
58         if (!empty($_REQUEST['getAuthUser'])) {
59             //DB_Dataobject::debugLevel(5);
60             $this->sendAuthUserDetails();
61             exit;
62            
63         }
64         
65         // might be an idea to disable this?!?
66         if (!empty($_REQUEST['username'])) {
67             $this->post();
68         }
69         
70         
71         if (!empty($_REQUEST['switch'])) {
72             $this->switchUser($_REQUEST['switch']);
73         }
74         
75         if (!empty($_REQUEST['loginPublic'])) {
76             $this->switchPublicUser($_REQUEST['loginPublic']);
77         }
78         
79         
80         $this->jerr("INVALID REQUEST");
81         exit;
82     }
83     
84     
85     function logout()
86     {
87         $ff = class_exists('HTML_FlexyFramework2') ?  HTML_FlexyFramework2::get()  :  HTML_FlexyFramework::get();
88         //DB_DAtaObject::debugLevel(1);
89         $u = $this->getAuthUser();
90         //print_r($u);
91         if ($u) {
92             
93             $this->addEvent('LOGOUT');
94             $e = DB_DataObject::factory('Events');
95           
96             
97             $u->logout();
98             session_regenerate_id(true);
99             session_commit(); 
100
101             if(!empty($ff->Pman['local_autoauth']) && !empty($_SERVER['HTTP_HOST']) && $_SERVER['HTTP_HOST'] == 'localhost') {
102                 $this->jerr("you are using local autoauth!?");                
103             }
104             //echo '<PRE>';print_R($_SESSION);
105             $this->jok("Logged out - user ");
106         }
107         // log it..
108         
109         //$_SESSION['Pman_I18N'] = array(); << 
110         session_regenerate_id(true);
111         session_commit();
112         
113         $this->jok("Logged out - no user");
114         
115     }
116     
117     function sendAuthUserDetails()
118     {
119         // remove for normal use - it's a secuirty hole!
120         //DB_DataObject::debugLevel(1);
121         if (!empty($_REQUEST['_debug'])) {
122            // DB_DataObject::debugLevel(1);
123         }
124         // 
125         $ff = HTML_FlexyFramework::get();
126         $tbl = empty($ff->Pman['authTable']) ? 'core_person' : $ff->Pman['authTable'];
127         
128         $u = DB_DataObject::factory($tbl);
129         if (!$u->isAuth()) {
130              
131             $this->jok(array('id' => 0)); // not logged in..
132             exit;
133         }
134         //die("got here?");
135         $au = $u->getAuthUser();
136         
137          // might occur on shared systems.
138         $ff= HTML_FlexyFramework::get();
139         
140         if (!empty($ff->Pman['auth_comptype'])  && $au->id > 0 &&
141                 ($ff->Pman['auth_comptype'] != $au->company()->comptype)) {
142             $au->logout();
143             $this->jerr("Login not permited to outside companies - please reload");
144         }
145         
146         //$au = $u->getAuthUser();
147         
148         $aur = $au ?  $au->authUserArray() : array();
149         
150         /** -- these need modulizing somehow! **/
151         
152         
153         
154         // basically calls Pman_MODULE_Login::sendAuthUserDetails($aur) on all the modules
155         //echo '<PRE>'; print_r($this->modules());
156         // technically each module should only add properties to an array named after that module..
157         
158         foreach($this->modules() as $m) {
159             if (empty($m)) {
160                 continue;
161             }
162             if (!file_exists($this->rootDir.'/Pman/'.$m.'/Login.php')) {
163                 continue;
164             }
165             $cls = 'Pman_'.$m.'_Login';
166             require_once 'Pman/'.$m.'/Login.php';
167             $x = new $cls;
168             $x->authUser = $au;
169             $aur = $x->sendAuthUserDetails($aur);
170         }
171         
172                  
173 //        
174 //        echo '<PRE>';print_r($aur);
175 //        exit;
176         $this->jok($aur);
177         exit;
178         
179             
180     }
181
182     
183     function switchUser($id)
184     {
185         $tbl = empty($ff->Pman['authTable']) ? 'core_person' : $ff->Pman['authTable'];
186         $u = DB_DataObject::factory($tbl);
187         if (!$u->isAuth()) {
188             $this->err("not logged in");
189         }
190         
191         $au = $u->getAuthUser();
192         
193         
194         // first check they have perms to do this..
195         if (!$au|| ($au->company()->comptype != 'OWNER') || !$this->hasPerm('Core.Person', 'E')) {
196             $this->jerr("User switching not permitted");
197         }
198         
199         
200         $u = DB_DataObject::factory($tbl);
201         $u->get($id);
202         if (!$u->active()) {
203             $this->jerr('Account disabled');
204         }
205         $u->login();
206             // we might need this later..
207         $this->addEvent("SWITCH USER", false, $au->name . ' TO ' . $u->name);
208         $this->jok("SWITCH");
209         
210     }
211     
212     function switchPublicUser($id)
213     {
214         $tbl = empty($ff->Pman['authTable']) ? 'core_person' : $ff->Pman['authTable'];
215         
216         $u = DB_DataObject::factory($tbl);
217         $u->get($id);
218         
219         if (!$u->active()) {
220             $this->jerr('Account disabled');
221         }
222         
223         if(!$u->loginPublic()){
224             $this->jerr('Switch fail');
225         }
226         
227         $this->jok('OK');
228     }
229     
230     var $domObj = false;
231     
232     function post($v)
233     {
234         if($this->ip_management){
235             
236             require_once 'Net/XMPP.php';
237             
238             $conn = new Net_XMPP('talk.google.com', 5222, 'edward.roojs@gmail.com', 'pass4edward123', 'xmpphp', 'gmail.com', $printlog=false, $loglevel= Net_XMPP_Log::LEVEL_INFO);
239             
240             exit;
241         }
242         //DB_DataObject::debugLevel(1);
243         if (!empty($_REQUEST['getAuthUser'])) {
244             $this->sendAuthUserDetails();
245             exit;
246         }
247         
248         if (!empty($_REQUEST['logout'])) {
249            return $this->logout();
250         }
251         
252         if (!empty($_REQUEST['passwordRequest'])) { //|| (strpos($_REQUEST['username'], '@') < 1)) {
253             
254             return $this->passwordRequest($_REQUEST['passwordRequest']);
255             
256         }
257         
258         if (!empty($_REQUEST['changePassword'])) {
259             return $this->changePassword($_REQUEST);
260         }
261         
262         // login attempt..
263         
264         $ff = HTML_FlexyFramework::get();
265         $tbl = empty($ff->Pman['authTable']) ? 'core_person' : $ff->Pman['authTable'];
266         
267        
268         $u = DB_DataObject::factory($tbl);
269         
270         
271         
272         // ratelimit
273         if (!empty($_SERVER['REMOTE_ADDR'])) {
274             //DB_DataObject::DebugLevel(1);
275             $e = DB_DataObject::Factory('Events');
276             $e->action = 'LOGIN-BAD';
277             $e->ipaddr = $_SERVER['REMOTE_ADDR'];
278             $e->whereAdd('event_when > NOW() - INTERVAL 10 MINUTE');
279             if ($e->count() > 5) {
280                 $this->jerror('LOGIN-RATE', "Login failures are rate limited - please try later");
281             }
282         }
283         
284         //$u->active = 1;
285         
286         // empty username = not really a hacking attempt.
287         
288         if (empty($_REQUEST['username'])) { //|| (strpos($_REQUEST['username'], '@') < 1)) {
289             $this->jerror('LOGIN-EMPTY', 'You typed the wrong Username or Password (0)');
290             exit;
291         }
292         
293         $u->authUserName($_REQUEST['username']);
294         
295         if ($u->count() > 1 || !$u->find(true)) {
296             $this->jerror('LOGIN-BAD','You typed the wrong Username or Password  (1)');
297             exit;
298         }
299         
300         if (!$u->active()) {
301             $this->jerror('LOGIN-BAD','Account disabled');
302         }
303         
304         if(!empty($u->oath_key) && empty($_REQUEST['oath_password'])){
305             $this->jerror('LOGIN-BAD','Your account require Two-Factor Authentication');
306         }
307         
308         // check if config allows non-owner passwords.
309         // auth_company = "OWNER" // auth_company = "CLIENT" or blank for all?
310         // perhaps it should support arrays..
311         $ff= HTML_FlexyFramework::get();
312         if (!empty($ff->Pman['auth_comptype']) && $ff->Pman['auth_comptype'] != $u->company()->comptype) {
313             //print_r($u->company());
314             $this->jerror('LOGIN-BADUSER', "Login not permited to outside companies"); // serious failure
315         }
316         
317         
318         // note we trim \x10 -- line break - as it was injected the front end
319         // may have an old bug on safari/chrome that added that character in certian wierd scenarios..
320         if (!$u->checkPassword(trim($_REQUEST['password'],"\x10"))) {
321             $this->jerror('LOGIN-BAD', 'You typed the wrong Username or Password  (2)'); // - " . htmlspecialchars(print_r($_POST,true))."'");
322             exit;
323         }
324         
325         if(!empty($u->oath_key) && !$u->checkTwoFactorAuthentication(trim($_REQUEST['oath_password'],"\x10"))){
326             $this->jerror('LOGIN-BAD', 'You typed the wrong Username or Password  (3)');
327             exit;
328         }
329         
330         $u->login();
331         // we might need this later..
332         $this->addEvent("LOGIN", false, session_id());
333         if (!empty($_REQUEST['lang'])) {
334             $u->lang($_REQUEST['lang']);
335         }
336          // log it..
337
338         $this->sendAuthUserDetails();
339         exit;
340          
341         
342     }
343     
344     function passwordRequest($n) 
345     {
346         $u = DB_DataObject::factory('core_person');
347         //$u->company_id = $this->company->id;
348         
349         $u->whereAdd('LENGTH(passwd) > 1');
350         $u->email = $n;
351         $u->active = 1;
352         if ($u->count() > 1 || !$u->find(true)) {
353             $this->jerr('invalid User (1)');
354         }
355         // got a avlid user..
356         if (!strlen($u->passwd)) {
357             $this->jerr('invalid User (2)');
358         }
359         // check to see if we have sent a request before..
360         
361         if ($u->no_reset_sent > 3) {
362             $this->jerr('We have issued to many resets - please contact the Administrator');
363         }
364         
365         
366         
367         
368         // sort out sender.
369         $cm = DB_DataObject::factory('core_email');
370         if (!$cm->get('name', 'ADMIN_PASSWORD_RESET')) {
371             $this->jerr("no template ADMIN_PASSWORD_RESET exists - please run importer ");
372             
373         }
374         /*
375         
376         $g = DB_DAtaObject::factory('Groups');
377         if (!$g->get('name', 'system-email-from')) {
378             $this->jerr("no group 'system-email-from' exists in the system");
379         }
380         $from_ar = $g->members();
381         if (count($from_ar) != 1) {
382             $this->jerr(count($from_ar) ? "To many members in the 'system-email-from' group " :
383                        "'system-email-from' group  does not have any members");
384         }
385         */
386         
387         
388         
389         // bcc..
390         $g = DB_DAtaObject::factory('core_group');
391         if (!$g->get('name', 'bcc-email')) {
392             $this->jerr("no group 'bcc-email' exists in the system");
393         }
394         $bcc = $g->members('email');
395         if (!count($bcc)) {
396             $this->jerr( "'bcc-email' group  does not have any members");
397         }
398         
399         
400         
401         $this->authFrom = time();
402         $this->authKey = $u->genPassKey($this->authFrom);
403         //$this->authKey = md5($u->email . $this->authFrom . $u->passwd);
404         $this->person = $u;
405         $this->bcc = $bcc;
406         $this->rcpts = $u->getEmailFrom();
407         
408         $ret = $cm->send($this);
409         //$this->jerr(print_r($r->toData(),true));
410         
411         if (is_object($ret)) {
412             $this->addEvent('SYSERR',false, $ret->getMessage());
413             $this->jerr($ret->getMessage());
414         }
415         $this->addEvent('PASSREQ',$u, $u->email);
416         $uu = clone($u);
417         $uu->no_reset_sent++;
418         $uu->update($u);
419         $this->jok("done");
420         
421     }
422     
423     function changePassword($r)
424     {
425         
426         $au = $this->getAuthUser();
427         if ($au) {
428             $uu = clone($au);
429             $au->setPassword($r['passwd1']);
430             $au->update($uu);
431             $this->addEvent("CHANGEPASS", $au);
432             $this->jok($au);
433         }
434         // not logged in -> need to validate 
435         if (empty($r['passwordReset'])) {
436             $this->jerr("invalid request");
437         }
438         // same code as reset pasword
439        
440         $bits = explode('/', $r['passwordReset']);
441         //print_R($bits);
442       
443         $res= $this->resetPassword(@$bits[0],@$bits[1],@$bits[2]);
444           
445         if ($res !== false) {
446             $this->jerr($res);
447         }
448         // key is correct.. let's change password...
449         
450         $u = DB_DataObject::factory('core_person');
451         
452         //$u->company_id = $this->company->id;
453         $u->whereAdd('LENGTH(passwd) > 1');
454         $u->active = 1;
455         if (!$u->get($bits[0])) {
456            $this->jerr("invalid id"); // should not happen!!!!
457         }
458         $uu = clone($u);
459         $u->setPassword($r['passwd1']);
460         $u->update($uu);
461         $u->login();
462         $this->addEvent("CHANGEPASS", $u);
463         $this->jok($u);
464     }
465     
466     function ip_validate()
467     {
468         if(empty($this->ip_management)){
469             return;
470         }
471         
472         $ip = $this->ip_lookup();
473         
474         if(empty($ip)){
475             $this->jerr('BAD-IP-ADDRESS', array('ip' => $ip));
476         }
477         
478         $core_ip_access = DB_DataObject::factory('core_ip_access');
479         
480         if(!DB_DataObject::factory('core_ip_access')->count()){ // first ip we always mark it as approved..
481             
482             $core_ip_access = DB_DataObject::factory('core_ip_access');
483             
484             $core_ip_access->setFrom(array(
485                 'ip' => $ip,
486                 'created_dt' => $core_ip_access->sqlValue("NOW()"),
487                 'status' => 1
488             ));
489             
490             $core_ip_access->insert();
491         }
492         
493         $core_ip_access = DB_DataObject::factory('core_ip_access');
494         
495         if(!$core_ip_access->get('ip', $ip)){ // new ip
496             
497             $core_ip_access->setFrom(array(
498                 'ip' => $ip,
499                 'created_dt' => $core_ip_access->sqlValue("NOW()"),
500                 'status' => 0
501             ));
502             
503             $core_ip_access->insert();
504             
505             $this->jerr('NEW-IP-ADDRESS', array('ip' => $ip));
506         }
507         
508         if(empty($core_ip_access->status)){
509             $this->jerr('PENDING-IP-ADDRESS', array('ip' => $ip));
510         }
511         
512         if($core_ip_access->status == -1){
513             $this->jerr('BLOCKED-IP-ADDRESS', array('ip' => $ip));
514         }
515         
516         return true;
517     }
518     
519     function ip_lookup()
520     {
521
522         if (!empty($_SERVER['HTTP_CLIENT_IP'])){
523             return $_SERVER['HTTP_CLIENT_IP'];
524         }
525         
526         if (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) {
527             return $_SERVER['HTTP_X_FORWARDED_FOR'];
528         }
529         
530         return $_SERVER['REMOTE_ADDR'];
531     }
532     
533     
534 }
535
Pman (Base Files)