www/index.php

   1 <?php
   2 /**
   3  *
   4  * @link http://indiewebcamp.com/login-brainstorming
   5  * @link https://indieauth.com/developers
   6  */
   7 //require_once __DIR__ . '/../src/init.php';
   8 require_once 'OpenID/RelyingParty.php';
   9 require_once 'OpenID/Message.php';
  10 require_once 'OpenID/Exception.php';
  11 require_once 'Net/URL2.php';
  12
  13 function loadDb()
  14 {
  15     $db = new PDO('sqlite:' . __DIR__ . '/../data/tokens.sq3');
  16     $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  17     $db->exec("CREATE TABLE IF NOT EXISTS authtokens(
  18 code TEXT,
  19 me TEXT,
  20 redirect_uri TEXT,
  21 client_id TEXT,
  22 state TEXT,
  23 created DATE
  24 )");
  25     //clean old tokens
  26     $stmt = $db->prepare('DELETE FROM authtokens WHERE created < :created');
  27     $stmt->execute(array(':created' => date('c', time() - 60)));
  28
  29     return $db;
  30 }
  31
  32 function create_token($me, $redirect_uri, $client_id, $state)
  33 {
  34     $code = base64_encode(openssl_random_pseudo_bytes(32));
  35     $db = loadDb();
  36     $db->prepare(
  37         'INSERT INTO authtokens (code, me, redirect_uri, client_id, state, created)'
  38         . ' VALUES(:code, :me, :redirect_uri, :client_id, :state, :created)'
  39     )->execute(
  40         array(
  41             ':code' => $code,
  42             ':me' => $me,
  43             ':redirect_uri' => $redirect_uri,
  44             ':client_id' => $client_id,
  45             ':state' => (string) $state,
  46             ':created' => date('c')
  47         )
  48     );
  49     return $code;
  50 }
  51
  52 function validate_token($code, $redirect_uri, $client_id, $state)
  53 {
  54     $db = loadDb();
  55     $stmt = $db->prepare(
  56         'SELECT me FROM authtokens WHERE'
  57         . ' code = :code'
  58         . ' AND redirect_uri = :redirect_uri'
  59         . ' AND client_id = :client_id'
  60         . ' AND state = :state'
  61         . ' AND created >= :created'
  62     );
  63     $stmt->execute(
  64         array(
  65             ':code'         => $code,
  66             ':redirect_uri' => $redirect_uri,
  67             ':client_id'    => $client_id,
  68             ':state'        => (string) $state,
  69             ':created'      => date('c', time() - 60)
  70         )
  71     );
  72     $row = $stmt->fetch(PDO::FETCH_ASSOC);
  73
  74     $stmt = $db->prepare('DELETE FROM authtokens WHERE code = :code');
  75     $stmt->execute(array(':code' => $code));
  76
  77     if ($row === false) {
  78         return false;
  79     }
  80     return $row['me'];
  81 }
  82
  83 function error($msg)
  84 {
  85     header('HTTP/1.0 400 Bad Request');
  86     echo $msg . "\n";
  87     exit(1);
  88 }
  89
  90 function verifyUrlParameter($givenParams, $paramName)
  91 {
  92     if (!isset($givenParams[$paramName])) {
  93         error('"' . $paramName . '" parameter missing');
  94     }
  95     $url = parse_url($givenParams[$paramName]);
  96     if (!isset($url['scheme'])) {
  97         error('Invalid URL in "' . $paramName . '" parameter: scheme missing');
  98     }
  99     if (!isset($url['host'])) {
 100         error('Invalid URL in "' . $paramName . '" parameter: host missing');
 101     }
 102
 103     return $givenParams[$paramName];
 104 }
 105
 106 function getBaseUrl()
 107 {
 108     if (!isset($_SERVER['REQUEST_SCHEME'])) {
 109         $_SERVER['REQUEST_SCHEME'] = 'http';
 110     }
 111     $file = preg_replace('/#.*$/', '', $_SERVER['REQUEST_URI']);
 112     if ($file == '') {
 113         $file = ' /';
 114     } else if (substr($file, -1) != '/') {
 115         $file = dirname($file);
 116     }
 117     return $_SERVER['REQUEST_SCHEME'] . '://'
 118         . $_SERVER['HTTP_HOST']
 119         . $file;
 120 }
 121
 122 session_start();
 123 $returnTo = getBaseUrl();
 124 $realm    = getBaseUrl();
 125
 126 if (isset($_GET['openid_mode']) && $_GET['openid_mode'] != '') {
 127     //verify openid response
 128     if (!count($_POST)) {
 129         list(, $queryString) = explode('?', $_SERVER['REQUEST_URI']);
 130     } else {
 131         $queryString = file_get_contents('php://input');
 132     }
 133
 134     $message = new \OpenID_Message($queryString, \OpenID_Message::FORMAT_HTTP);
 135     $id      = $message->get('openid.claimed_id');
 136     try {
 137         $o = new \OpenID_RelyingParty($returnTo, $realm, $_SESSION['me']);
 138         $result = $o->verify(new \Net_URL2($returnTo . '?' . $queryString), $message);
 139
 140         if ($result->success()) {
 141             $token = create_token(
 142                 $_SESSION['me'], $_SESSION['redirect_uri'],
 143                 $_SESSION['client_id'], $_SESSION['state']
 144             );
 145             //redirect to indieauth
 146             $url = new Net_URL2($_SESSION['redirect_uri']);
 147             $url->setQueryVariable('code', $token);
 148             $url->setQueryVariable('me', $_SESSION['me']);
 149             $url->setQueryVariable('state', $_SESSION['state']);
 150             header('Location: ' . $url->getURL());
 151             exit();
 152         } else {
 153             error('Error logging in: ' . $result->getAssertionMethod());
 154         }
 155     } catch (OpenID_Exception $e) {
 156         error('Error logging in: ' . $e->getMessage());
 157     }
 158 }
 159
 160 if ($_SERVER['REQUEST_METHOD'] == 'GET') {
 161     $me           = verifyUrlParameter($_GET, 'me');
 162     $redirect_uri = verifyUrlParameter($_GET, 'redirect_uri');
 163     $client_id    = verifyUrlParameter($_GET, 'client_id');
 164     $state        = null;
 165     if (isset($_GET['state'])) {
 166         $state = $_GET['state'];
 167     }
 168     //FIXME: support "response_type"?
 169
 170     $_SESSION['me']           = $me;
 171     $_SESSION['redirect_uri'] = $redirect_uri;
 172     $_SESSION['client_id']    = $client_id;
 173     $_SESSION['state']        = $state;
 174
 175     try {
 176         $o = new \OpenID_RelyingParty($returnTo, $realm, $me);
 177         $authRequest = $o->prepare();
 178         $url = $authRequest->getAuthorizeURL();
 179         header("Location: $url");
 180         exit(0);
 181     } catch (OpenID_Exception $e) {
 182         error('OpenID error: ' . $e->getMessage());
 183     }
 184 } else if ($_SERVER['REQUEST_METHOD'] == 'POST') {
 185     $redirect_uri = verifyUrlParameter($_POST, 'redirect_uri');
 186     $client_id    = verifyUrlParameter($_POST, 'client_id');
 187     $state        = null;
 188     if (isset($_GET['state'])) {
 189         $state = $_GET['state'];
 190     }
 191     if (!isset($_POST['code'])) {
 192         error('"code" parameter missing');
 193     }
 194     $token = $_POST['code'];
 195
 196     $me = validate_token($token, $redirect_uri, $client_id, $state);
 197     if ($me === false) {
 198         header('HTTP/1.0 400 Bad Request');
 199         echo "Validating token failed\n";
 200         exit(1);
 201     }
 202     header('Content-type: application/x-www-form-urlencoded');
 203     echo 'me=' . urlencode($me);
 204 }
 205 ?>