]> git.mxchange.org Git - quix0rs-gnu-social.git/blob - plugins/OpenID/OpenIDPlugin.php
d1a6786fa8c6d9790dd78aae2607699a7d77d716
[quix0rs-gnu-social.git] / plugins / OpenID / OpenIDPlugin.php
1 <?php
2 /**
3  * StatusNet, the distributed open-source microblogging tool
4  *
5  * PHP version 5
6  *
7  * LICENCE: This program is free software: you can redistribute it and/or modify
8  * it under the terms of the GNU Affero General Public License as published by
9  * the Free Software Foundation, either version 3 of the License, or
10  * (at your option) any later version.
11  *
12  * This program is distributed in the hope that it will be useful,
13  * but WITHOUT ANY WARRANTY; without even the implied warranty of
14  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
15  * GNU Affero General Public License for more details.
16  *
17  * You should have received a copy of the GNU Affero General Public License
18  * along with this program.  If not, see <http://www.gnu.org/licenses/>.
19  *
20  * @category  Plugin
21  * @package   StatusNet
22  * @author    Evan Prodromou <evan@status.net>
23  * @author   Craig Andrews <candrews@integralblue.com>
24  * @copyright 2009-2010 StatusNet, Inc.
25  * @copyright 2009 Free Software Foundation, Inc http://www.fsf.org
26  * @license   http://www.fsf.org/licensing/licenses/agpl-3.0.html GNU Affero General Public License version 3.0
27  * @link      http://status.net/
28  */
29
30 if (!defined('STATUSNET')) {
31     exit(1);
32 }
33
34 /**
35  * Plugin for OpenID authentication and identity
36  *
37  * This class enables consumer support for OpenID, the distributed authentication
38  * and identity system.
39  *
40  * @category Plugin
41  * @package  StatusNet
42  * @author   Evan Prodromou <evan@status.net>
43  * @author   Craig Andrews <candrews@integralblue.com>
44  * @copyright 2009 Free Software Foundation, Inc http://www.fsf.org
45  * @license  http://www.fsf.org/licensing/licenses/agpl-3.0.html GNU Affero General Public License version 3.0
46  * @link     http://status.net/
47  * @link     http://openid.net/
48  */
49 class OpenIDPlugin extends Plugin
50 {
51     // Plugin parameter: set true to disallow non-OpenID logins
52     // If set, overrides the setting in database or $config['site']['openidonly']
53     public $openidOnly = null;
54
55     function initialize()
56     {
57         parent::initialize();
58         if ($this->openidOnly !== null) {
59             global $config;
60             $config['site']['openidonly'] = (bool)$this->openidOnly;
61         }
62     }
63
64     /**
65      * Add OpenID-related paths to the router table
66      *
67      * Hook for RouterInitialized event.
68      *
69      * @param Net_URL_Mapper $m URL mapper
70      *
71      * @return boolean hook return
72      */
73     function onStartInitializeRouter($m)
74     {
75         $m->connect('main/openid', array('action' => 'openidlogin'));
76         $m->connect('main/openidtrust', array('action' => 'openidtrust'));
77         $m->connect('settings/openid', array('action' => 'openidsettings'));
78         $m->connect('index.php?action=finishopenidlogin',
79                     array('action' => 'finishopenidlogin'));
80         $m->connect('index.php?action=finishaddopenid',
81                     array('action' => 'finishaddopenid'));
82         $m->connect('main/openidserver', array('action' => 'openidserver'));
83         $m->connect('admin/openid', array('action' => 'openidadminpanel'));
84
85         return true;
86     }
87
88     /**
89      * In OpenID-only mode, disable paths for password stuff
90      *
91      * @param string $path     path to connect
92      * @param array  $defaults path defaults
93      * @param array  $rules    path rules
94      * @param array  $result   unused
95      *
96      * @return boolean hook return
97      */
98     function onStartConnectPath(&$path, &$defaults, &$rules, &$result)
99     {
100         if (common_config('site', 'openidonly')) {
101             // Note that we should not remove the login and register
102             // actions. Lots of auth-related things link to them,
103             // such as when visiting a private site without a session
104             // or revalidating a remembered login for admin work.
105             //
106             // We take those two over with redirects to ourselves
107             // over in onArgsInitialize().
108             static $block = array('main/recoverpassword',
109                                   'settings/password');
110
111             if (in_array($path, $block)) {
112                 return false;
113             }
114         }
115
116         return true;
117     }
118
119     /**
120      * If we've been hit with password-login args, redirect
121      *
122      * @param array $args args (URL, Get, post)
123      *
124      * @return boolean hook return
125      */
126     function onArgsInitialize($args)
127     {
128         if (common_config('site', 'openidonly')) {
129             if (array_key_exists('action', $args)) {
130                 $action = trim($args['action']);
131                 if (in_array($action, array('login', 'register'))) {
132                     common_redirect(common_local_url('openidlogin'));
133                     exit(0);
134                 } else if ($action == 'passwordsettings') {
135                     common_redirect(common_local_url('openidsettings'));
136                     exit(0);
137                 } else if ($action == 'recoverpassword') {
138                     throw new ClientException('Unavailable action');
139                 }
140             }
141         }
142         return true;
143     }
144
145     /**
146      * Public XRDS output hook
147      *
148      * Puts the bits of code needed by some OpenID providers to show
149      * we're good citizens.
150      *
151      * @param Action       $action         Action being executed
152      * @param XMLOutputter &$xrdsOutputter Output channel
153      *
154      * @return boolean hook return
155      */
156     function onEndPublicXRDS($action, &$xrdsOutputter)
157     {
158         $xrdsOutputter->elementStart('XRD', array('xmlns' => 'xri://$xrd*($v*2.0)',
159                                                   'xmlns:simple' => 'http://xrds-simple.net/core/1.0',
160                                                   'version' => '2.0'));
161         $xrdsOutputter->element('Type', null, 'xri://$xrds*simple');
162         //consumer
163         foreach (array('finishopenidlogin', 'finishaddopenid') as $finish) {
164             $xrdsOutputter->showXrdsService(Auth_OpenID_RP_RETURN_TO_URL_TYPE,
165                                             common_local_url($finish));
166         }
167         //provider
168         $xrdsOutputter->showXrdsService('http://specs.openid.net/auth/2.0/server',
169                                         common_local_url('openidserver'),
170                                         null,
171                                         null,
172                                         'http://specs.openid.net/auth/2.0/identifier_select');
173         $xrdsOutputter->elementEnd('XRD');
174     }
175
176     /**
177      * User XRDS output hook
178      *
179      * Puts the bits of code needed to discover OpenID endpoints.
180      *
181      * @param Action       $action         Action being executed
182      * @param XMLOutputter &$xrdsOutputter Output channel
183      *
184      * @return boolean hook return
185      */
186     function onEndUserXRDS($action, &$xrdsOutputter)
187     {
188         $xrdsOutputter->elementStart('XRD', array('xmlns' => 'xri://$xrd*($v*2.0)',
189                                                   'xml:id' => 'openid',
190                                                   'xmlns:simple' => 'http://xrds-simple.net/core/1.0',
191                                                   'version' => '2.0'));
192         $xrdsOutputter->element('Type', null, 'xri://$xrds*simple');
193
194         //consumer
195         $xrdsOutputter->showXrdsService('http://specs.openid.net/auth/2.0/return_to',
196                                         common_local_url('finishopenidlogin'));
197
198         //provider
199         $xrdsOutputter->showXrdsService('http://specs.openid.net/auth/2.0/signon',
200                                         common_local_url('openidserver'),
201                                         null,
202                                         null,
203                                         common_profile_url($action->user->nickname));
204         $xrdsOutputter->elementEnd('XRD');
205     }
206
207     /**
208      * If we're in OpenID-only mode, hide all the main menu except OpenID login.
209      *
210      * @param Action $action Action being run
211      *
212      * @return boolean hook return
213      */
214     function onStartPrimaryNav($action)
215     {
216         if (common_config('site', 'openidonly') && !common_logged_in()) {
217             // TRANS: Tooltip for main menu option "Login"
218             $tooltip = _m('TOOLTIP', 'Login to the site');
219             $action->menuItem(common_local_url('openidlogin'),
220                               // TRANS: Main menu option when not logged in to log in
221                               _m('MENU', 'Login'),
222                               $tooltip,
223                               false,
224                               'nav_login');
225             // TRANS: Tooltip for main menu option "Help"
226             $tooltip = _m('TOOLTIP', 'Help me!');
227             $action->menuItem(common_local_url('doc', array('title' => 'help')),
228                               // TRANS: Main menu option for help on the StatusNet site
229                               _m('MENU', 'Help'),
230                               $tooltip,
231                               false,
232                               'nav_help');
233             if (!common_config('site', 'private')) {
234                 // TRANS: Tooltip for main menu option "Search"
235                 $tooltip = _m('TOOLTIP', 'Search for people or text');
236                 $action->menuItem(common_local_url('peoplesearch'),
237                                   // TRANS: Main menu option when logged in or when the StatusNet instance is not private
238                                   _m('MENU', 'Search'), $tooltip, false, 'nav_search');
239             }
240             Event::handle('EndPrimaryNav', array($action));
241             return false;
242         }
243         return true;
244     }
245
246     /**
247      * Menu for login
248      *
249      * If we're in openidOnly mode, we disable the menu for all other login.
250      *
251      * @param Action &$action Action being executed
252      *
253      * @return boolean hook return
254      */
255     function onStartLoginGroupNav(&$action)
256     {
257         if (common_config('site', 'openidonly')) {
258             $this->showOpenIDLoginTab($action);
259             // Even though we replace this code, we
260             // DON'T run the End* hook, to keep others from
261             // adding tabs. Not nice, but.
262             return false;
263         }
264
265         return true;
266     }
267
268     /**
269      * Menu item for login
270      *
271      * @param Action &$action Action being executed
272      *
273      * @return boolean hook return
274      */
275     function onEndLoginGroupNav(&$action)
276     {
277         $this->showOpenIDLoginTab($action);
278
279         return true;
280     }
281
282     /**
283      * Show menu item for login
284      *
285      * @param Action $action Action being executed
286      *
287      * @return void
288      */
289     function showOpenIDLoginTab($action)
290     {
291         $action_name = $action->trimmed('action');
292
293         $action->menuItem(common_local_url('openidlogin'),
294                           // TRANS: OpenID plugin menu item on site logon page.
295                           _m('MENU', 'OpenID'),
296                           // TRANS: OpenID plugin tooltip for logon menu item.
297                           _m('Login or register with OpenID'),
298                           $action_name === 'openidlogin');
299     }
300
301     /**
302      * Show menu item for password
303      *
304      * We hide it in openID-only mode
305      *
306      * @param Action $menu    Widget for menu
307      * @param void   &$unused Unused value
308      *
309      * @return void
310      */
311     function onStartAccountSettingsPasswordMenuItem($menu, &$unused) {
312         if (common_config('site', 'openidonly')) {
313             return false;
314         }
315         return true;
316     }
317
318     /**
319      * Menu item for OpenID settings
320      *
321      * @param Action &$action Action being executed
322      *
323      * @return boolean hook return
324      */
325     function onEndAccountSettingsNav(&$action)
326     {
327         $action_name = $action->trimmed('action');
328
329         $action->menuItem(common_local_url('openidsettings'),
330                           // TRANS: OpenID plugin menu item on user settings page.
331                           _m('MENU', 'OpenID'),
332                           // TRANS: OpenID plugin tooltip for user settings menu item.
333                           _m('Add or remove OpenIDs'),
334                           $action_name === 'openidsettings');
335
336         return true;
337     }
338
339     /**
340      * Autoloader
341      *
342      * Loads our classes if they're requested.
343      *
344      * @param string $cls Class requested
345      *
346      * @return boolean hook return
347      */
348     function onAutoload($cls)
349     {
350         switch ($cls)
351         {
352         case 'OpenidloginAction':
353         case 'FinishopenidloginAction':
354         case 'FinishaddopenidAction':
355         case 'XrdsAction':
356         case 'PublicxrdsAction':
357         case 'OpenidsettingsAction':
358         case 'OpenidserverAction':
359         case 'OpenidtrustAction':
360         case 'OpenidadminpanelAction':
361             require_once dirname(__FILE__) . '/' . strtolower(mb_substr($cls, 0, -6)) . '.php';
362             return false;
363         case 'User_openid':
364             require_once dirname(__FILE__) . '/User_openid.php';
365             return false;
366         case 'User_openid_trustroot':
367             require_once dirname(__FILE__) . '/User_openid_trustroot.php';
368             return false;
369         case 'Auth_OpenID_TeamsExtension':
370         case 'Auth_OpenID_TeamsRequest':
371         case 'Auth_OpenID_TeamsResponse':
372             require_once dirname(__FILE__) . '/extlib/teams-extension.php';
373             return false;
374         default:
375             return true;
376         }
377     }
378
379     /**
380      * Sensitive actions
381      *
382      * These actions should use https when SSL support is 'sometimes'
383      *
384      * @param Action  $action Action to form an URL for
385      * @param boolean &$ssl   Whether to mark it for SSL
386      *
387      * @return boolean hook return
388      */
389     function onSensitiveAction($action, &$ssl)
390     {
391         switch ($action)
392         {
393         case 'finishopenidlogin':
394         case 'finishaddopenid':
395             $ssl = true;
396             return false;
397         default:
398             return true;
399         }
400     }
401
402     /**
403      * Login actions
404      *
405      * These actions should be visible even when the site is marked private
406      *
407      * @param Action  $action Action to show
408      * @param boolean &$login Whether it's a login action
409      *
410      * @return boolean hook return
411      */
412     function onLoginAction($action, &$login)
413     {
414         switch ($action)
415         {
416         case 'openidlogin':
417         case 'finishopenidlogin':
418         case 'openidserver':
419             $login = true;
420             return false;
421         default:
422             return true;
423         }
424     }
425
426     /**
427      * We include a <meta> element linking to the userxrds page, for OpenID
428      * client-side authentication.
429      *
430      * @param Action $action Action being shown
431      *
432      * @return void
433      */
434     function onEndShowHeadElements($action)
435     {
436         if ($action instanceof ShowstreamAction) {
437             $action->element('link', array('rel' => 'openid2.provider',
438                                            'href' => common_local_url('openidserver')));
439             $action->element('link', array('rel' => 'openid2.local_id',
440                                            'href' => $action->profile->profileurl));
441             $action->element('link', array('rel' => 'openid.server',
442                                            'href' => common_local_url('openidserver')));
443             $action->element('link', array('rel' => 'openid.delegate',
444                                            'href' => $action->profile->profileurl));
445         }
446         return true;
447     }
448
449     /**
450      * Redirect to OpenID login if they have an OpenID
451      *
452      * @param Action $action Action being executed
453      * @param User   $user   User doing the action
454      *
455      * @return boolean whether to continue
456      */
457     function onRedirectToLogin($action, $user)
458     {
459         if (common_config('site', 'openid_only') || (!empty($user) && User_openid::hasOpenID($user->id))) {
460             common_redirect(common_local_url('openidlogin'), 303);
461             return false;
462         }
463         return true;
464     }
465
466     /**
467      * Show some extra instructions for using OpenID
468      *
469      * @param Action $action Action being executed
470      *
471      * @return boolean hook value
472      */
473     function onEndShowPageNotice($action)
474     {
475         $name = $action->trimmed('action');
476
477         switch ($name)
478         {
479         case 'register':
480             if (common_logged_in()) {
481                 $instr = '(Have an [OpenID](http://openid.net/)? ' .
482                   '[Add an OpenID to your account](%%action.openidsettings%%)!';
483             } else {
484                 $instr = '(Have an [OpenID](http://openid.net/)? ' .
485                   'Try our [OpenID registration]'.
486                   '(%%action.openidlogin%%)!)';
487             }
488             break;
489         case 'login':
490             $instr = '(Have an [OpenID](http://openid.net/)? ' .
491               'Try our [OpenID login]'.
492               '(%%action.openidlogin%%)!)';
493             break;
494         default:
495             return true;
496         }
497
498         $output = common_markup_to_html($instr);
499         $action->raw($output);
500         return true;
501     }
502
503     /**
504      * Load our document if requested
505      *
506      * @param string &$title  Title to fetch
507      * @param string &$output HTML to output
508      *
509      * @return boolean hook value
510      */
511     function onStartLoadDoc(&$title, &$output)
512     {
513         if ($title == 'openid') {
514             $filename = INSTALLDIR.'/plugins/OpenID/doc-src/openid';
515
516             $c      = file_get_contents($filename);
517             $output = common_markup_to_html($c);
518             return false; // success!
519         }
520
521         return true;
522     }
523
524     /**
525      * Add our document to the global menu
526      *
527      * @param string $title   Title being fetched
528      * @param string &$output HTML being output
529      *
530      * @return boolean hook value
531      */
532     function onEndLoadDoc($title, &$output)
533     {
534         if ($title == 'help') {
535             $menuitem = '* [OpenID](%%doc.openid%%) - what OpenID is and how to use it with this service';
536
537             $output .= common_markup_to_html($menuitem);
538         }
539
540         return true;
541     }
542
543     /**
544      * Data definitions
545      *
546      * Assure that our data objects are available in the DB
547      *
548      * @return boolean hook value
549      */
550     function onCheckSchema()
551     {
552         $schema = Schema::get();
553         $schema->ensureTable('user_openid',
554                              array(new ColumnDef('canonical', 'varchar',
555                                                  '255', false, 'PRI'),
556                                    new ColumnDef('display', 'varchar',
557                                                  '255', false, 'UNI'),
558                                    new ColumnDef('user_id', 'integer',
559                                                  null, false, 'MUL'),
560                                    new ColumnDef('created', 'datetime',
561                                                  null, false),
562                                    new ColumnDef('modified', 'timestamp')));
563         $schema->ensureTable('user_openid_trustroot',
564                              array(new ColumnDef('trustroot', 'varchar',
565                                                  '255', false, 'PRI'),
566                                    new ColumnDef('user_id', 'integer',
567                                                  null, false, 'PRI'),
568                                    new ColumnDef('created', 'datetime',
569                                                  null, false),
570                                    new ColumnDef('modified', 'timestamp')));
571         return true;
572     }
573
574     /**
575      * Add our tables to be deleted when a user is deleted
576      *
577      * @param User  $user    User being deleted
578      * @param array &$tables Array of table names
579      *
580      * @return boolean hook value
581      */
582     function onUserDeleteRelated($user, &$tables)
583     {
584         $tables[] = 'User_openid';
585         $tables[] = 'User_openid_trustroot';
586         return true;
587     }
588
589     /**
590      * Add an OpenID tab to the admin panel
591      *
592      * @param Widget $nav Admin panel nav
593      *
594      * @return boolean hook value
595      */
596     function onEndAdminPanelNav($nav)
597     {
598         if (AdminPanelAction::canAdmin('openid')) {
599
600             $action_name = $nav->action->trimmed('action');
601
602             $nav->out->menuItem(
603                 common_local_url('openidadminpanel'),
604                 // TRANS: OpenID configuration menu item.
605                 _m('MENU','OpenID'),
606                 // TRANS: Tooltip for OpenID configuration menu item.
607                 _m('OpenID configuration'),
608                 $action_name == 'openidadminpanel',
609                 'nav_openid_admin_panel'
610             );
611         }
612
613         return true;
614     }
615
616     /**
617      * Add OpenID information to the Account Management Control Document
618      * Event supplied by the Account Manager plugin
619      *
620      * @param array &$amcd Array that expresses the AMCD
621      *
622      * @return boolean hook value
623      */
624
625     function onEndAccountManagementControlDocument(&$amcd)
626     {
627         $amcd['auth-methods']['openid'] = array(
628             'connect' => array(
629                 'method' => 'POST',
630                 'path' => common_local_url('openidlogin'),
631                 'params' => array(
632                     'identity' => 'openid_url'
633                 )
634             )
635         );
636     }
637
638     /**
639      * Add our version information to output
640      *
641      * @param array &$versions Array of version-data arrays
642      *
643      * @return boolean hook value
644      */
645     function onPluginVersion(&$versions)
646     {
647         $versions[] = array('name' => 'OpenID',
648                             'version' => STATUSNET_VERSION,
649                             'author' => 'Evan Prodromou, Craig Andrews',
650                             'homepage' => 'http://status.net/wiki/Plugin:OpenID',
651                             'rawdescription' =>
652                             // TRANS: OpenID plugin description.
653                             _m('Use <a href="http://openid.net/">OpenID</a> to login to the site.'));
654         return true;
655     }
656
657     function onStartOAuthLoginForm($action, &$button)
658     {
659         if (common_config('site', 'openidonly')) {
660             // Cancel the regular password login form, we won't need it.
661             $this->showOAuthLoginForm($action);
662             // TRANS: button label for OAuth authorization page when needing OpenID authentication first.
663             $button = _m('BUTTON', 'Continue');
664             return false;
665         } else {
666             // Leave the regular password login form in place.
667             // We'll add an OpenID link at bottom...?
668             return true;
669         }
670     }
671
672     /**
673      * @fixme merge with common code for main OpenID login form
674      * @param HTMLOutputter $action
675      */
676     protected function showOAuthLoginForm($action)
677     {
678         $action->elementStart('fieldset');
679         // TRANS: OpenID plugin logon form legend.
680         $action->element('legend', null, _m('OpenID login'));
681
682         $action->elementStart('ul', 'form_data');
683         $action->elementStart('li');
684         $provider = common_config('openid', 'trusted_provider');
685         $appendUsername = common_config('openid', 'append_username');
686         if ($provider) {
687             // TRANS: Field label.
688             $action->element('label', array(), _m('OpenID provider'));
689             $action->element('span', array(), $provider);
690             if ($appendUsername) {
691                 $action->element('input', array('id' => 'openid_username',
692                                               'name' => 'openid_username',
693                                               'style' => 'float: none'));
694             }
695             $action->element('p', 'form_guide',
696                            // TRANS: Form guide.
697                            ($appendUsername ? _m('Enter your username.') . ' ' : '') .
698                            // TRANS: Form guide.
699                            _m('You will be sent to the provider\'s site for authentication.'));
700             $action->hidden('openid_url', $provider);
701         } else {
702             // TRANS: OpenID plugin logon form field label.
703             $action->input('openid_url', _m('OpenID URL'),
704                          '',
705                         // TRANS: OpenID plugin logon form field instructions.
706                          _m('Your OpenID URL'));
707         }
708         $action->elementEnd('li');
709         $action->elementEnd('ul');
710
711         $action->elementEnd('fieldset');
712     }
713
714     /**
715      * Handle a POST user credential check in apioauthauthorization.
716      * If given an OpenID URL, we'll pass us over to the regular things
717      * and then redirect back here on completion.
718      *
719      * @fixme merge with common code for main OpenID login form
720      * @param HTMLOutputter $action
721      */
722     function onStartOAuthLoginCheck($action, &$user)
723     {
724         $provider = common_config('openid', 'trusted_provider');
725         if ($provider) {
726             $openid_url = $provider;
727             if (common_config('openid', 'append_username')) {
728                 $openid_url .= $action->trimmed('openid_username');
729             }
730         } else {
731             $openid_url = $action->trimmed('openid_url');
732         }
733
734         if ($openid_url) {
735             require_once dirname(__FILE__) . '/openid.php';
736             oid_assert_allowed($openid_url);
737
738             $returnto = common_local_url(
739                 'ApiOauthAuthorize',
740                 array(),
741                 array(
742                     'oauth_token' => $action->arg('oauth_token'),
743                     'mode'        => $action->arg('mode')
744                 )
745             );
746             common_set_returnto($returnto);
747
748             // This will redirect if functional...
749             $result = oid_authenticate($openid_url,
750                                        'finishopenidlogin');
751             if (is_string($result)) { # error message
752                 throw new ServerException($result);
753             } else {
754                 exit(0);
755             }
756         }
757
758         return true;
759     }
760
761     /**
762      * Add link in user's XRD file to allow OpenID login.
763      * 
764      * This link in the XRD should let users log in with their
765      * Webfinger identity to services that support it. See
766      * http://webfinger.org/login for an example.
767      *
768      * @param XRD  &$xrd Currently-displaying XRD object
769      * @param User $user The user that it's for
770      * 
771      * @return boolean hook value (always true)
772      */
773
774     function onEndXrdActionLinks(&$xrd, $user)
775     {
776         $profile = $user->getProfile();
777         
778         if (!empty($profile)) {
779             $xrd->links[] = array('rel' => 'http://specs.openid.net/auth/2.0/provider',
780                                   'href' => $profile->profileurl);
781         }
782         
783         return true;
784     }
785 }