cgi-auth-hybrid.pm

   1 # -*- perl -*-
   2
   3 # This is part of CGI::Auth::Hybrid, a perl CGI authentication module.
   4 # Copyright (C) 2012 Ian Jackson.
   5 #
   6 # This program is free software: you can redistribute it and/or modify
   7 # it under the terms of the GNU Affero General Public License as published by
   8 # the Free Software Foundation, either version 3 of the License, or
   9 # (at your option) any later version.
  10 #
  11 # This program is distributed in the hope that it will be useful,
  12 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  13 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14 # GNU Affero General Public License for more details.
  15 #
  16 # You should have received a copy of the GNU Affero General Public License
  17 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
  18
  19 BEGIN {
  20     use Exporter   ();
  21     our ($VERSION, @ISA, @EXPORT, @EXPORT_OK, %EXPORT_TAGS);
  22
  23     $VERSION     = 1.00;
  24     @ISA         = qw(Exporter);
  25     @EXPORT      = qw();
  26     %EXPORT_TAGS = ( );     # eg: TAG => [ qw!name1 name2! ],
  27
  28     @EXPORT_OK   = qw(setup);
  29 }
  30 our @EXPORT_OK;
  31
  32 use DBI;
  33 use CGI;
  34
  35 #---------- verifier object methods ----------
  36
  37 sub new_verifier {
  38     my $class = shift;
  39     my $s = {
  40         S => {
  41             assocdb_path => 'cah-assocs.db';
  42             assocdb_dsn => undef,
  43             assocdb_user => '',
  44             assocdb_password => '',
  45             assocdb_table => 'assocs',
  46             random_source => '/dev/urandom',
  47             associdlen => 128, # bits
  48             login_timeout => 86400, # seconds
  49             param_name => 'cah_associd',
  50             promise_check_mutate => 0,
  51             cookie_name => 'cah_associd', # make undef to disable cookie
  52             get_param => sub { $_[0]->param($s->{S}{param_name}) },
  53             get_cookie => sub { $s->{S}{cookie_name}
  54                                 ? $_[0]->cookie($s->{S}{cookie_name})
  55                                 : '' },
  56             get_method => sub { $_[0]->request_method() },
  57         },
  58         Dbh => undef,
  59     };
  60     my ($k,$v);
  61     while (($k,$v,@_) = @_) {
  62         die "unknown setting $k" unless exists $s->{S}{$k};
  63         $s->{S}{$k} = $v;
  64     }
  65     bless $s, $class;
  66     $s->_dbopen();
  67     return $s;
  68 }
  69
  70 sub _dbopen ($) {
  71     my ($s) = @_;
  72     my $dbh = $s->{Dbh};
  73     return $dbh if $dbh;
  74
  75     $s->{S}{assocdb_dsn} ||= "dbi:SQLite:dbname=$s->{S}{assocdb_path}";
  76
  77     my $u = umask 077;
  78     $dbh = DBI->open($s->{S}{assocdb_dsn}, $s->{S}{assocdb_user},
  79                      $s->{S}{assocdb_password}, {
  80                          AutoCommit => 0, RaiseError => 1,
  81                      });
  82     die "${assocdb_dsn} $! ?" unless $dbh;
  83     $s->{Dbh} = $dbh;
  84
  85     $dbh->do("BEGIN");
  86
  87     eval {
  88         $dbh->do("CREATE TABLE $s->{S}{assocdb_table} (".
  89                  " associd VARCHAR PRIMARY KEY,".
  90                  " username VARCHAR,".
  91                  " last INTEGER"
  92                  ")");
  93     };
  94     return $dbh;
  95 }
  96
  97 #---------- request object methods ----------
  98
  99 sub new_request {
 100     my ($classbase, $cgi, @extra) = @_;
 101     if (!ref $classbase) {
 102         $classbase = $classbase->new_verifier(@extra);
 103     } else {
 104         die if @extra;
 105     }
 106     my $r = {
 107         S => $classbase->{S},
 108         Dbh => $classbase->{Dbh},
 109         Cgi => $cgi,
 110     };
 111     bless $r, ref $classbase;
 112 }
 113
 114 sub _cm ($$@) {
 115     my ($r,$methname, @args) = @_;
 116     my $methfunc = $r->{S}{$methname};
 117     return $methfunc->($r->{Cgi}, $r, @args);
 118 }
 119
 120 sub record_login ($$) {
 121     my ($r,$nusername) = @_;
 122     my $rsp = $r->{S}{random_source};
 123     my $rsf = new IO::File $rsp, '<' or die "$rsp $!";
 124     my $bytes = ($r->{S}{associdlen} + 7) >> 3;
 125     my $nassocbin;
 126     $!=0;
 127     read($rsf,$nassocbin,$bytes) == $bytes or die "$rsp $!";
 128     close $rsf;
 129     my $nassoc = unpack "H*", $nassocbin;
 130     my $dbh = $r->{Dbh};
 131     $dbh->do("INSERT INTO $r->{S}{assocdb_table}".
 132              " (associd, username, last) VALUES (?,?,?)", {},
 133              $nassoc, $nusername, time);
 134     $dbh->do("COMMIT");
 135     $r->{U} = $nusername;
 136     $r->{A} = $nassoc;
 137 }
 138
 139 sub _check ($) {
 140     my ($r) = @_;
 141     my $qassoc = $r->_cm('get_param');
 142     my ($nassoc,$nmutate);
 143     if (!defined $r->{S}{cookie_name}) {
 144         # authentication is by hidden form parameter only
 145         return undef unless defined $qassoc;
 146         $nassoc = $qassoc;
 147         $nmutate = 1;
 148     } else {
 149         # authentication is by cookie
 150         # the cookie suffices for read-only GET requests
 151         # for mutating and non-GET requests we require hidden param too
 152         my $cassoc = $r->_cm('get_cookie');
 153         return undef unless defined $cassoc;
 154         $nassoc = $cassoc;
 155         if (defined $qassoc && $qassoc eq $cassoc) {
 156             $nmutate = 1;
 157         } else {
 158             return undef unless $r->{S}{promise_check_mutate};
 159             return undef unless $r->_cm('get_method') eq 'GET';
 160             $nmutate = 0;
 161         }
 162     }
 163     my $dbh = $r->{Dbh};
 164     my ($nusername, $nlast) =
 165         $dbh->selectrow_array("SELECT username, last".
 166                               " FROM $r->{S}{assocdb_table}".
 167                               " WHERE associd = ?", {}, $nassoc);
 168     return undef unless defined $nusername;
 169     my $timeout = $r->{S}{login_timeout};
 170     return undef unless !defined $timeout || time <= $nlast + $timeout;
 171
 172     # hooray
 173     return ($nusername, $nassoc, $nmutate);
 174 }
 175
 176 sub check ($) {
 177     my ($r) = @_;
 178
 179     my ($nusername, $nassoc, $nmutate) = $r->_check() or return undef;
 180
 181     $dbh->do("UPDATE $r->{S}{assocdb_table}".
 182              " SET last = ?".
 183              " WHERE associd = ?", {}, time, $nassoc);
 184     $dbh->do("COMMIT");
 185
 186     $r->{Username} = $nusername;
 187     $r->{Assoc} = $nassoc;
 188     $r->{Mutate} = $nmutate;
 189     return $nusername;
 190 }
 191
 192 sub check_mutate ($) {
 193     my ($r) = @_;
 194 }
 195
 196 sub logout ($) {
 197     my ($r) = @_;
 198
 199     my ($nusername, $nassoc, $nmutate) = $r->_check();
 200     return undef unless $nmutate;
 201     $dbh->do("DELETE FROM $r->{S}{assocdb_table}".
 202              " WHERE associd = ?", {}, $nassoc);
 203     $dbh->do("COMMIT");
 204     return $nusername;
 205 }
 206
 207 sub username ($) {
 208     my ($r) = @_;
 209     return $r->{Username};
 210
 211 sub hidden_val ($) {
 212     my ($r) = @_;
 213     return defined $r->{Assoc} ? $r->{Assoc} : '';
 214 }
 215
 216 sub hidden_hargs ($) {
 217     my ($r) = @_;
 218     return (-name => $r->{S}{param_name},
 219             -default => $r->hidden_val());
 220 }
 221
 222 sub hidden_html ($) {
 223     my ($r) = @_;
 224     return hidden($r->hidden_hargs());
 225 }
 226
 227 sub cookiea_cargs ($) {
 228     my ($r) = @_;
 229     return (-name => $r->{S}{cookie_name},
 230             -value => hidden_val());
 231 }