cgi-auth-hybrid.pm

   1 # -*- perl -*-
   2
   3 # This is part of CGI::Auth::Hybrid, a perl CGI authentication module.
   4 # Copyright (C) 2012 Ian Jackson.
   5 #
   6 # This program is free software: you can redistribute it and/or modify
   7 # it under the terms of the GNU Affero General Public License as published by
   8 # the Free Software Foundation, either version 3 of the License, or
   9 # (at your option) any later version.
  10 #
  11 # This program is distributed in the hope that it will be useful,
  12 # but WITHOUT ANY WARRANTY; without even the implied warranty of
  13 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  14 # GNU Affero General Public License for more details.
  15 #
  16 # You should have received a copy of the GNU Affero General Public License
  17 # along with this program.  If not, see <http://www.gnu.org/licenses/>.
  18
  19 BEGIN {
  20     use Exporter   ();
  21     our ($VERSION, @ISA, @EXPORT, @EXPORT_OK, %EXPORT_TAGS);
  22
  23     $VERSION     = 1.00;
  24     @ISA         = qw(Exporter);
  25     @EXPORT      = qw();
  26     %EXPORT_TAGS = ( );     # eg: TAG => [ qw!name1 name2! ],
  27
  28     @EXPORT_OK   = qw(setup);
  29 }
  30 our @EXPORT_OK;
  31
  32 use DBI;
  33 use CGI;
  34
  35 #---------- verifier object methods ----------
  36
  37 sub new_verifier {
  38     my $class = shift;
  39     my $s = {
  40         S => {
  41             assocdb_path => 'cah-assocs.db';
  42             assocdb_dsn => undef,
  43             assocdb_user => '',
  44             assocdb_password => '',
  45             assocdb_table => 'assocs',
  46             random_source => '/dev/urandom',
  47             associdlen => 128, # bits
  48             login_timeout => 86400, # seconds
  49             param_name => 'cah_associd',
  50             promise_check_mutate => 0,
  51             cookie_name => 'cah_associd', # make undef to disable cookie
  52             get_param => sub { $_[0]->param($s->{S}{param_name}) },
  53             get_cookie => sub { $s->{S}{cookie_name}
  54                                 ? $_[0]->cookie($s->{S}{cookie_name})
  55                                 : '' },
  56             get_method => sub { $_[0]->request_method() },
  57         },
  58         Dbh => undef,
  59     };
  60     my ($k,$v);
  61     while (($k,$v,@_) = @_) {
  62         die "unknown setting $k" unless exists $s->{S}{$k};
  63         $s->{S}{$k} = $v;
  64     }
  65     bless $s, $class;
  66     $s->_dbopen();
  67     return $s;
  68 }
  69
  70 sub _dbopen ($) {
  71     my ($s) = @_;
  72     my $dbh = $s->{Dbh};
  73     return $dbh if $dbh;
  74
  75     $s->{S}{assocdb_dsn} ||= "dbi:SQLite:dbname=$s->{S}{assocdb_path}";
  76
  77     my $u = umask 077;
  78     $dbh = DBI->open($s->{S}{assocdb_dsn}, $s->{S}{assocdb_user},
  79                      $s->{S}{assocdb_password}, {
  80                          AutoCommit => 0, RaiseError => 1,
  81                      });
  82     die "${assocdb_dsn} $! ?" unless $dbh;
  83     $s->{Dbh} = $dbh;
  84
  85     $dbh->do("BEGIN");
  86
  87     eval {
  88         $dbh->do("CREATE TABLE $s->{S}{assocdb_table} (".
  89                  " associd VARCHAR PRIMARY KEY,".
  90                  " username VARCHAR,".
  91                  " last INTEGER"
  92                  ")");
  93     };
  94     return $dbh;
  95 }
  96
  97 #---------- request object methods ----------
  98
  99 sub new_request {
 100     my ($classbase, $cgi, @extra) = @_;
 101     if (!ref $classbase) {
 102         $classbase = $classbase->new_verifier(@extra);
 103     } else {
 104         die if @extra;
 105     }
 106     my $r = {
 107         S => $classbase->{S},
 108         Dbh => $classbase->{Dbh},
 109         Cgi => $cgi,
 110     };
 111     bless $r, ref $classbase;
 112 }
 113
 114 sub _cm ($$@) {
 115     my ($r,$methname, @args) = @_;
 116     my $methfunc = $r->{S}{$methname};
 117     return $methfunc->($r->{Cgi}, $r, @args);
 118 }
 119
 120 sub record_login ($$) {
 121     my ($r,$nusername) = @_;
 122     my $rsp = $r->{S}{random_source};
 123     my $rsf = new IO::File $rsp, '<' or die "$rsp $!";
 124     my $bytes = ($r->{S}{associdlen} + 7) >> 3;
 125     my $nassocbin;
 126     $!=0;
 127     read($rsf,$nassocbin,$bytes) == $bytes or die "$rsp $!";
 128     close $rsf;
 129     my $nassoc = unpack "H*", $nassocbin;
 130     my $dbh = $r->{Dbh};
 131     $dbh->do("INSERT INTO $r->{S}{assocdb_table}".
 132              " (associd, username, last) VALUES (?,?,?)", {},
 133              $nassoc, $nusername, time);
 134     $dbh->do("COMMIT");
 135     $r->{U} = $nusername;
 136     $r->{A} = $nassoc;
 137 }
 138
 139 sub _check_core ($) {
 140     my ($r) = @_;
 141     my $qassoc = $r->_cm('get_param');
 142     my ($nassoc,$nmutate);
 143     if (!defined $r->{S}{cookie_name}) {
 144         # authentication is by hidden form parameter only
 145         return undef unless defined $qassoc;
 146         $nassoc = $qassoc;
 147         $nmutate = 1;
 148     } else {
 149         # authentication is by cookie
 150         # the cookie suffices for read-only GET requests
 151         # for mutating and non-GET requests we require hidden param too
 152         my $cassoc = $r->_cm('get_cookie');
 153         return undef unless defined $cassoc;
 154         $nassoc = $cassoc;
 155         if (defined $qassoc && $qassoc eq $cassoc) {
 156             $nmutate = 1;
 157         } else {
 158             return undef unless $r->{S}{promise_check_mutate};
 159             return undef unless $r->_cm('get_method') eq 'GET';
 160             $nmutate = 0;
 161         }
 162     }
 163
 164 # pages/param-sets are
 165 #   n normal non-mutating page
 166 #   r retrieval of information for JS, non-mutating
 167 #   m mutating page
 168 #   u update of information by JS, mutating
 169 #   i login
 170 #   o logout
 171
 172     # Case analysis, cookie mode, app promises re mutate:
 173     # cook par meth  form
 174     #
 175     #  y   y   GET   nr       fine, show page or send data
 176     #
 177     #  y   -   GET   n        cross-site link
 178     #                           show data
 179     #  y1  y2  GET   n        intra-site link
 180     #                           from session no longer known to browser
 181     #                           do not revoke y2 as not a POST so not RESTful
 182     #                           treat as cross-site link, show data
 183     #  y   n   GET   n        intra-site link from stale session,
 184     #                           treat as cross-site link, show data
 185     #
 186     #  y   -   GET    r       bug or attack, fail
 187     #  y1  y2  GET    r       intra-site data request
 188     #                           from session no longer known to browser
 189     #                           do not revoke y2 as not a POST so not RESTful
 190     #                           fail
 191     #  y   n   GET    r       intra-site data request from stale session
 192     #                           fail
 193     #
 194     #  -   y   GET   n           CLEAR COOKIES TO LOGOUT OPTION
 195     #
 196     #  -/n any GET   n        cross-site link but user not logged in
 197     #                           show login form
 198     #
 199     #  -/n any GET    r       data request from stale session
 200     #                           fail
 201     #
 202     #  any any GET     muoi   bug or attack, fail
 203     #
 204     #  y   y   POST  nrmu     mutation is OK, do operation
 205     #  y   y   POST      o    logout
 206     #  y   y   POST       i   login, redirect to GET of remaining params
 207     #
 208     #  any -   POST           bug or xsrf attack, fail
 209     #
 210     #  n/y1 y2 POST  r        intra-site form submission
 211     #                           from session no longer known to browser
 212     #                           revoke y2
 213     #                           show "session interrupted"
 214     #  n/y1 y2 POST    m      intra-site js operation
 215     #                           from session no longer known to browser
 216     #                           revoke y2
 217     #                           fail
 218     #  y   n   POST  r        intra-site form submission from stale session
 219     #                           show "session interrupted"
 220     #  y   n   POST    m      intra-site form submission from stale session
 221     #                           fail
 222     #
 223     #  -   y2  GET            intra-site link or data request
 224     #                           from session no longer known to browser
 225     #                           fail
 226
 227     #  -   y2        any      req from old session y2, del y2, show login
 228     #  y1  y2        any      req from old session y2, del y2, show y1 main
 229
 230     #  y1 any  GET   non-mut  cross-site link
 231     #  y1 any  GET   non-mut  no mutation, show page providing new par
 232     #
 233     #  A   B         any      page from old session or cross-site request
 234     #  any y2 POST  logout    do logout y2
 235
 236
 237     #  any any GET   mutate   bug or attack, forbidden, call die
 238
 239     my $dbh = $r->{Dbh};
 240     my ($nusername, $nlast) =
 241         $dbh->selectrow_array("SELECT username, last".
 242                               " FROM $r->{S}{assocdb_table}".
 243                               " WHERE associd = ?", {}, $nassoc);
 244     return undef unless defined $nusername;
 245     my $timeout = $r->{S}{login_timeout};
 246     return undef unless !defined $timeout || time <= $nlast + $timeout;
 247
 248     # hooray
 249     return ($nusername, $nassoc, $nmutate);
 250 }
 251
 252 sub _check ($) {
 253     my ($r) = @_;
 254
 255     return if exists $r->{Username};
 256     ($r->{Username}, $r->{Assoc}, $r->{Mutate}) = $r->_check();
 257
 258     if (defined $r->{Assoc}) {
 259         $dbh->do("UPDATE $r->{S}{assocdb_table}".
 260                  " SET last = ?".
 261                  " WHERE associd = ?", {}, time, $nassoc);
 262         $dbh->do("COMMIT");
 263     }
 264 }
 265
 266 sub logout ($) {
 267     my ($r) = @_;
 268
 269     my ($nusername, $nassoc, $nmutate) = $r->_check();
 270     return undef unless $nmutate;
 271     $dbh->do("DELETE FROM $r->{S}{assocdb_table}".
 272              " WHERE associd = ?", {}, $nassoc);
 273     $dbh->do("COMMIT");
 274     return $nusername;
 275 }
 276
 277 sub check ($) {
 278     my ($r) = @_;
 279     $r->_check();
 280     return !!defined $r->{Username};
 281 }
 282
 283 sub check_mutate ($) {
 284     my ($r) = @_;
 285     $r->check();
 286     return $r->{Mutate};
 287 }
 288
 289 sub username ($) {
 290     my ($r) = @_;
 291     $r->check();
 292     return $r->{Username};
 293
 294 sub hidden_val ($) {
 295     my ($r) = @_;
 296     $r->check();
 297     return defined $r->{Assoc} ? $r->{Assoc} : '';
 298 }
 299
 300 #---------- simple wrappers ----------
 301
 302 sub hidden_hargs ($) {
 303     my ($r) = @_;
 304     return (-name => $r->{S}{param_name},
 305             -default => $r->hidden_val());
 306 }
 307
 308 sub hidden_html ($) {
 309     my ($r) = @_;
 310     return hidden($r->hidden_hargs());
 311 }
 312
 313 sub cookiea_cargs ($) {
 314     my ($r) = @_;
 315     return (-name => $r->{S}{cookie_name},
 316             -value => hidden_val());
 317 }
 318
 319 __END__
 320
 321 =head1 NAME
 322
 323 CGI::Auth::Hybrid - web authentication optionally using cookies
 324
 325 =head1 SYNOPSYS
 326
 327  my $verifier = CGI::Auth::Hybrid->new_verifier(setting => value,...);
 328  my $authreq = $verifier->new_request($cgi_request_object);
 329
 330  my $authreq = CGI::Auth::Hybrid->new_request($cgi_request_object,
 331                                               setting => value,...);
 332
 333 =head1 USAGE PATTERN FOR SIMPLE APPLICATIONS
 334
 335  if ( form submission is login request ) {
 336      check login details, if wrong print error and quit
 337      $authreq->record_login(...username...);
 338  }
 339  if ( form submission is logout request ) {
 340      my $logged_out_user = $authreq->logout();
 341      if (!defined $logged_out_user) {
 342          print "you are not logged in" error and quit
 343      } else {
 344          print "goodbye $username you are now logged out" and quit
 345      }
 346  }
 347  if ( !$authreq->check() ) {
 348      display login form, quit
 349
 350
 351 =head1 USAGE PATTERN FOR FANCY APPLICATIONS
 352
 353  if ( form submission is login request ) {
 354      check login details, if wrong print error and quit
 355      $authreq->record_login(...username...);
 356  }
 357  if ( !$authreq->check() ) {
 358      display login form, quit
 359  if ( form submission is logout request ) {
 360      die unless $authreq->mutate();
 361      my $logged_out_user = $authreq->logout();
 362      if (!defined $logged_out_user) {
 363          print "you are not logged in" error and quit
 364      } else {
 365          print "goodbye $username you are now logged out" and quit
 366      }
 367  }
 368
 369
 370 advantages of cookie
 371  - user can sort of log out by clearing cookies
 372  - sophisticated applications can have get-requests