git.cweiske.de / indieauth-openid.git / blob
? search:


de410c1af7484d92b705266a8c0f610930d54ae2
[indieauth-openid.git] / www / index.php
1 <?php
2 /**
3  * IndieAuth to OpenID proxy.
4  * Proxies IndieAuth authorization requests to one's OpenID server
5  *
6  * PHP version 5
7  *
8  * @package indieauth-openid
9  * @author  Christian Weiske <cweiske@cweiske.de>
10  * @license http://www.gnu.org/licenses/agpl.html GNU AGPL v3
11  * @link    http://indiewebcamp.com/login-brainstorming
12  * @link    http://indiewebcamp.com/authorization-endpoint
13  * @link    http://indiewebcamp.com/auth-brainstorming
14  * @link    https://indieauth.com/developers
15  */
16 if (($_SERVER['REQUEST_METHOD'] == 'GET' || $_SERVER['REQUEST_METHOD'] == 'HEAD')
17     && count($_GET) == 0
18 ) {
19     include 'about.php';
20     exit();
21 }
22
23 require_once 'Net/URL2.php';
24 require_once 'OpenID.php';
25 require_once 'OpenID/RelyingParty.php';
26 require_once 'OpenID/Message.php';
27 require_once 'OpenID/Exception.php';
28
29 function loadDb()
30 {
31     $db = new PDO('sqlite:' . __DIR__ . '/../data/tokens.sq3');
32     $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
33     $db->exec("CREATE TABLE IF NOT EXISTS authtokens(
34 code TEXT,
35 me TEXT,
36 redirect_uri TEXT,
37 client_id TEXT,
38 state TEXT,
39 created DATE
40 )");
41     //clean old tokens
42     $stmt = $db->prepare('DELETE FROM authtokens WHERE created < :created');
43     $stmt->execute(array(':created' => date('c', time() - 60)));
44
45     return $db;
46 }
47
48 function create_token($me, $redirect_uri, $client_id, $state)
49 {
50     $code = base64_encode(openssl_random_pseudo_bytes(32));
51     $db = loadDb();
52     $db->prepare(
53         'INSERT INTO authtokens (code, me, redirect_uri, client_id, state, created)'
54         . ' VALUES(:code, :me, :redirect_uri, :client_id, :state, :created)'
55     )->execute(
56         array(
57             ':code' => $code,
58             ':me' => $me,
59             ':redirect_uri' => $redirect_uri,
60             ':client_id' => $client_id,
61             ':state' => (string) $state,
62             ':created' => date('c')
63         )
64     );
65     return $code;
66 }
67
68 function validate_token($code, $redirect_uri, $client_id, $state)
69 {
70     $db = loadDb();
71     $stmt = $db->prepare(
72         'SELECT me FROM authtokens WHERE'
73         . ' code = :code'
74         . ' AND redirect_uri = :redirect_uri'
75         . ' AND client_id = :client_id'
76         . ' AND state = :state'
77         . ' AND created >= :created'
78     );
79     $stmt->execute(
80         array(
81             ':code'         => $code,
82             ':redirect_uri' => $redirect_uri,
83             ':client_id'    => $client_id,
84             ':state'        => (string) $state,
85             ':created'      => date('c', time() - 60)
86         )
87     );
88     $row = $stmt->fetch(PDO::FETCH_ASSOC);
89
90     $stmt = $db->prepare('DELETE FROM authtokens WHERE code = :code');
91     $stmt->execute(array(':code' => $code));
92
93     if ($row === false) {
94         return false;
95     }
96     return $row['me'];
97 }
98
99 function error($msg)
100 {
101     header('HTTP/1.0 400 Bad Request');
102     header('Content-type: text/plain; charset=utf-8');
103     echo $msg . "\n";
104     exit(1);
105 }
106
107 function verifyUrlParameter($givenParams, $paramName)
108 {
109     if (!isset($givenParams[$paramName])) {
110         error('"' . $paramName . '" parameter missing');
111     }
112     $url = parse_url($givenParams[$paramName]);
113     if (!isset($url['scheme'])) {
114         error('Invalid URL in "' . $paramName . '" parameter: scheme missing');
115     }
116     if (!isset($url['host'])) {
117         error('Invalid URL in "' . $paramName . '" parameter: host missing');
118     }
119
120     return $givenParams[$paramName];
121 }
122
123 function getBaseUrl()
124 {
125     if (!isset($_SERVER['REQUEST_SCHEME'])) {
126         $_SERVER['REQUEST_SCHEME'] = 'http';
127     }
128     $file = preg_replace('/[?#].*$/', '', $_SERVER['REQUEST_URI']);
129     return $_SERVER['REQUEST_SCHEME'] . '://'
130         . $_SERVER['HTTP_HOST']
131         . $file;
132 }
133
134 header('IndieAuth: authorization_endpoint');
135 session_start();
136 $returnTo = getBaseUrl();
137 $realm    = getBaseUrl();
138
139 if (isset($_GET['openid_mode']) && $_GET['openid_mode'] != '') {
140     //verify openid response
141     if (!count($_POST)) {
142         list(, $queryString) = explode('?', $_SERVER['REQUEST_URI']);
143     } else {
144         $queryString = file_get_contents('php://input');
145     }
146
147     $message = new \OpenID_Message($queryString, \OpenID_Message::FORMAT_HTTP);
148     $id      = $message->get('openid.claimed_id');
149     if (OpenID::normalizeIdentifier($id) != OpenID::normalizeIdentifier($_SESSION['me'])) {
150         error(
151             sprintf(
152                 'Given identity URL "%s" and claimed OpenID "%s" do not match',
153                 $_SESSION['me'], $id
154             )
155         );
156     }
157     try {
158         $o = new \OpenID_RelyingParty($returnTo, $realm, $_SESSION['me']);
159         $result = $o->verify(new \Net_URL2($returnTo . '?' . $queryString), $message);
160
161         if ($result->success()) {
162             $token = create_token(
163                 $_SESSION['me'], $_SESSION['redirect_uri'],
164                 $_SESSION['client_id'], $_SESSION['state']
165             );
166             //redirect to indieauth
167             $url = new Net_URL2($_SESSION['redirect_uri']);
168             $url->setQueryVariable('code', $token);
169             $url->setQueryVariable('me', $_SESSION['me']);
170             $url->setQueryVariable('state', $_SESSION['state']);
171             header('Location: ' . $url->getURL());
172             exit();
173         } else {
174             error('Error verifying OpenID login: ' . $result->getAssertionMethod());
175         }
176     } catch (OpenID_Exception $e) {
177         error('Error verifying OpenID login: ' . $e->getMessage());
178     }
179 }
180
181 if ($_SERVER['REQUEST_METHOD'] == 'GET') {
182     $me           = verifyUrlParameter($_GET, 'me');
183     $redirect_uri = verifyUrlParameter($_GET, 'redirect_uri');
184     $client_id    = verifyUrlParameter($_GET, 'client_id');
185     $state        = null;
186     if (isset($_GET['state'])) {
187         $state = $_GET['state'];
188     }
189     $response_type = 'id';
190     if (isset($_GET['response_type'])) {
191         $response_type = $_GET['response_type'];
192     }
193     if ($response_type != 'id') {
194         error('unsupported response_type: ' . $response_type);
195     }
196
197     $_SESSION['me']           = $me;
198     $_SESSION['redirect_uri'] = $redirect_uri;
199     $_SESSION['client_id']    = $client_id;
200     $_SESSION['state']        = $state;
201
202     try {
203         $o = new \OpenID_RelyingParty($returnTo, $realm, $me);
204         $authRequest = $o->prepare();
205         $url = $authRequest->getAuthorizeURL();
206         header("Location: $url");
207         exit(0);
208     } catch (OpenID_Exception $e) {
209         error('OpenID error: ' . $e->getMessage());
210     }
211 } else if ($_SERVER['REQUEST_METHOD'] == 'POST') {
212     $redirect_uri = verifyUrlParameter($_POST, 'redirect_uri');
213     $client_id    = verifyUrlParameter($_POST, 'client_id');
214     $state        = null;
215     if (isset($_POST['state'])) {
216         $state = $_POST['state'];
217     }
218     if (!isset($_POST['code'])) {
219         error('"code" parameter missing');
220     }
221     $token = $_POST['code'];
222
223     $me = validate_token($token, $redirect_uri, $client_id, $state);
224     if ($me === false) {
225         header('HTTP/1.0 400 Bad Request');
226         echo "Validating token failed\n";
227         exit(1);
228     }
229     header('Content-type: application/x-www-form-urlencoded');
230     echo 'me=' . urlencode($me);
231 }
232 ?>
Proxies IndieAuth authorization requests to one's OpenID server.