src/EventSubscriber/UserSystem/PasswordChangeNeededSubscriber.php line 94

Open in your IDE?
  1. <?php
  2. /**
  3.  * This file is part of Part-DB (https://github.com/Part-DB/Part-DB-symfony).
  4.  *
  5.  * Copyright (C) 2019 - 2020 Jan Böhmer (https://github.com/jbtronics)
  6.  *
  7.  * This program is free software: you can redistribute it and/or modify
  8.  * it under the terms of the GNU Affero General Public License as published
  9.  * by the Free Software Foundation, either version 3 of the License, or
  10.  * (at your option) any later version.
  11.  *
  12.  * This program is distributed in the hope that it will be useful,
  13.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  14.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15.  * GNU Affero General Public License for more details.
  16.  *
  17.  * You should have received a copy of the GNU Affero General Public License
  18.  * along with this program.  If not, see <https://www.gnu.org/licenses/>.
  19.  */
  21. declare(strict_types=1);
  23. /**
  24.  * This file is part of Part-DB (https://github.com/Part-DB/Part-DB-symfony).
  25.  *
  26.  * Copyright (C) 2019 Jan Böhmer (https://github.com/jbtronics)
  27.  *
  28.  * This program is free software; you can redistribute it and/or
  29.  * modify it under the terms of the GNU General Public License
  30.  * as published by the Free Software Foundation; either version 2
  31.  * of the License, or (at your option) any later version.
  32.  *
  33.  * This program is distributed in the hope that it will be useful,
  34.  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  35.  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  36.  * GNU General Public License for more details.
  37.  *
  38.  * You should have received a copy of the GNU General Public License
  39.  * along with this program; if not, write to the Free Software
  40.  * Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA
  41.  */
  43. namespace App\EventSubscriber\UserSystem;
  45. use App\Entity\UserSystem\User;
  46. use Symfony\Component\EventDispatcher\EventSubscriberInterface;
  47. use Symfony\Component\HttpFoundation\Session\Session;
  48. use Symfony\Component\HttpFoundation\Session\SessionInterface;
  49. use Symfony\Component\HttpKernel\Event\RequestEvent;
  50. use Symfony\Component\HttpKernel\KernelEvents;
  51. use Symfony\Component\Security\Core\Security;
  52. use Symfony\Component\Security\Http\HttpUtils;
  54. /**
  55.  * This event subscriber redirects a user to its settings page, when it needs to change its password or is enforced
  56.  * to setup a 2FA method (enforcement can be set per group).
  57.  * In this cases the user is unable to access sites other than the whitelisted (see ALLOWED_ROUTES).
  58.  */
  59. final class PasswordChangeNeededSubscriber implements EventSubscriberInterface
  60. {
  61.     /**
  62.      * @var string[] The routes the user is allowed to access without being redirected.
  63.      *               This should be only routes related to login/logout and user settings
  64.      */
  65.     public const ALLOWED_ROUTES = [
  66.         '2fa_login',
  67.         '2fa_login_check',
  68.         'user_settings',
  69.         'club_base_register_u2f',
  70.         'logout',
  71.     ];
  73.     /**
  74.      * @var string The route the user will redirected to, if he needs to change this password
  75.      */
  76.     public const REDIRECT_TARGET 'user_settings';
  77.     private $security;
  78.     private $flashBag;
  79.     private $httpUtils;
  81.     public function __construct(Security $securitySessionInterface $sessionHttpUtils $httpUtils)
  82.     {
  83.         /** @var Session $session */
  84.         $this->security $security;
  85.         $this->flashBag $session->getFlashBag();
  86.         $this->httpUtils $httpUtils;
  87.     }
  89.     /**
  90.      * This function is called when the kernel encounters a request.
  91.      * It checks if the user must change its password or add an 2FA mehtod and redirect it to the user settings page,
  92.      * if needed.
  93.      */
  94.     public function redirectToSettingsIfNeeded(RequestEvent $event): void
  95.     {
  96.         $user $this->security->getUser();
  97.         $request $event->getRequest();
  99.         if (!$event->isMainRequest()) {
  100.             return;
  101.         }
  102.         if (!$user instanceof User) {
  103.             return;
  104.         }
  106.         //Abort if we dont need to redirect the user.
  107.         if (!$user->isNeedPwChange() && !static::TFARedirectNeeded($user)) {
  108.             return;
  109.         }
  111.         //Check for a whitelisted URL
  112.         foreach (static::ALLOWED_ROUTES as $route) {
  113.             //Dont do anything if we encounter an allowed route
  114.             if ($this->httpUtils->checkRequestPath($request$route)) {
  115.                 return;
  116.             }
  117.         }
  119.         /* Dont redirect tree endpoints, as this would cause trouble and creates multiple flash
  120.         warnigs for one page reload */
  121.         if (false !== strpos($request->getUri(), '/tree/')) {
  122.             return;
  123.         }
  125.         //Show appropriate message to user about the reason he was redirected
  126.         if ($user->isNeedPwChange()) {
  127.             $this->flashBag->add('warning''user.pw_change_needed.flash');
  128.         }
  130.         if (static::TFARedirectNeeded($user)) {
  131.             $this->flashBag->add('warning''user.2fa_needed.flash');
  132.         }
  134.         $event->setResponse($this->httpUtils->createRedirectResponse($request, static::REDIRECT_TARGET));
  135.     }
  137.     /**
  138.      * Check if a redirect because of a missing 2FA method is needed.
  139.      * That is the case if the group of the user enforces 2FA, but the user has neither Google Authenticator nor an
  140.      * U2F key setup.
  141.      *
  142.      * @param User $user the user for which should be checked if it needs to be redirected
  143.      *
  144.      * @return bool true if the user needs to be redirected
  145.      */
  146.     public static function TFARedirectNeeded(User $user): bool
  147.     {
  148.         $tfa_enabled $user->isU2FAuthEnabled() || $user->isGoogleAuthenticatorEnabled();
  150.         return null !== $user->getGroup() && $user->getGroup()->isEnforce2FA() && !$tfa_enabled;
  151.     }
  153.     public static function getSubscribedEvents(): array
  154.     {
  155.         return [
  156.             KernelEvents::REQUEST => 'redirectToSettingsIfNeeded',
  157.         ];
  158.     }
  159. }