vendor/symfony/security-http/Firewall/SwitchUserListener.php line 42

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\Security\Http\Firewall;
  14. use Psr\Log\LoggerInterface;
  15. use Symfony\Component\EventDispatcher\LegacyEventDispatcherProxy;
  16. use Symfony\Component\HttpFoundation\RedirectResponse;
  17. use Symfony\Component\HttpFoundation\Request;
  18. use Symfony\Component\HttpKernel\Event\RequestEvent;
  19. use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;
  20. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  21. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  22. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  23. use Symfony\Component\Security\Core\Exception\AccessDeniedException;
  24. use Symfony\Component\Security\Core\Exception\AuthenticationCredentialsNotFoundException;
  25. use Symfony\Component\Security\Core\Exception\AuthenticationException;
  26. use Symfony\Component\Security\Core\Role\SwitchUserRole;
  27. use Symfony\Component\Security\Core\User\UserCheckerInterface;
  28. use Symfony\Component\Security\Core\User\UserInterface;
  29. use Symfony\Component\Security\Core\User\UserProviderInterface;
  30. use Symfony\Component\Security\Http\Event\SwitchUserEvent;
  31. use Symfony\Component\Security\Http\SecurityEvents;
  32. use Symfony\Contracts\EventDispatcher\EventDispatcherInterface;
  34. /**
  35.  * SwitchUserListener allows a user to impersonate another one temporarily
  36.  * (like the Unix su command).
  37.  *
  38.  * @author Fabien Potencier <fabien@symfony.com>
  39.  *
  40.  * @final since Symfony 4.3
  41.  */
  42. class SwitchUserListener extends AbstractListener implements ListenerInterface
  43. {
  44.     use LegacyListenerTrait;
  46.     const EXIT_VALUE '_exit';
  48.     private $tokenStorage;
  49.     private $provider;
  50.     private $userChecker;
  51.     private $providerKey;
  52.     private $accessDecisionManager;
  53.     private $usernameParameter;
  54.     private $role;
  55.     private $logger;
  56.     private $dispatcher;
  57.     private $stateless;
  59.     public function __construct(TokenStorageInterface $tokenStorageUserProviderInterface $providerUserCheckerInterface $userCheckerstring $providerKeyAccessDecisionManagerInterface $accessDecisionManagerLoggerInterface $logger nullstring $usernameParameter '_switch_user'string $role 'ROLE_ALLOWED_TO_SWITCH'EventDispatcherInterface $dispatcher nullbool $stateless false)
  60.     {
  61.         if (empty($providerKey)) {
  62.             throw new \InvalidArgumentException('$providerKey must not be empty.');
  63.         }
  65.         $this->tokenStorage $tokenStorage;
  66.         $this->provider $provider;
  67.         $this->userChecker $userChecker;
  68.         $this->providerKey $providerKey;
  69.         $this->accessDecisionManager $accessDecisionManager;
  70.         $this->usernameParameter $usernameParameter;
  71.         $this->role $role;
  72.         $this->logger $logger;
  73.         $this->dispatcher LegacyEventDispatcherProxy::decorate($dispatcher);
  74.         $this->stateless $stateless;
  75.     }
  77.     /**
  78.      * {@inheritdoc}
  79.      */
  80.     public function supports(Request $request): ?bool
  81.     {
  82.         // usernames can be falsy
  83.         $username $request->get($this->usernameParameter);
  85.         if (null === $username || '' === $username) {
  86.             $username $request->headers->get($this->usernameParameter);
  87.         }
  89.         // if it's still "empty", nothing to do.
  90.         if (null === $username || '' === $username) {
  91.             return false;
  92.         }
  94.         $request->attributes->set('_switch_user_username'$username);
  96.         return true;
  97.     }
  99.     /**
  100.      * Handles the switch to another user.
  101.      *
  102.      * @throws \LogicException if switching to a user failed
  103.      */
  104.     public function authenticate(RequestEvent $event)
  105.     {
  106.         $request $event->getRequest();
  108.         $username $request->attributes->get('_switch_user_username');
  109.         $request->attributes->remove('_switch_user_username');
  111.         if (null === $this->tokenStorage->getToken()) {
  112.             throw new AuthenticationCredentialsNotFoundException('Could not find original Token object.');
  113.         }
  115.         if (self::EXIT_VALUE === $username) {
  116.             $this->tokenStorage->setToken($this->attemptExitUser($request));
  117.         } else {
  118.             try {
  119.                 $this->tokenStorage->setToken($this->attemptSwitchUser($request$username));
  120.             } catch (AuthenticationException $e) {
  121.                 // Generate 403 in any conditions to prevent user enumeration vulnerabilities
  122.                 throw new AccessDeniedException('Switch User failed: '.$e->getMessage(), $e);
  123.             }
  124.         }
  126.         if (!$this->stateless) {
  127.             $request->query->remove($this->usernameParameter);
  128.             $request->server->set('QUERY_STRING'http_build_query($request->query->all(), '''&'));
  129.             $response = new RedirectResponse($request->getUri(), 302);
  131.             $event->setResponse($response);
  132.         }
  133.     }
  135.     /**
  136.      * Attempts to switch to another user and returns the new token if successfully switched.
  137.      *
  138.      * @throws \LogicException
  139.      * @throws AccessDeniedException
  140.      */
  141.     private function attemptSwitchUser(Request $requeststring $username): ?TokenInterface
  142.     {
  143.         $token $this->tokenStorage->getToken();
  144.         $originalToken $this->getOriginalToken($token);
  146.         if (null !== $originalToken) {
  147.             if ($token->getUsername() === $username) {
  148.                 return $token;
  149.             }
  151.             throw new \LogicException(sprintf('You are already switched to "%s" user.'$token->getUsername()));
  152.         }
  154.         $currentUsername $token->getUsername();
  155.         $nonExistentUsername '_'.md5(random_bytes(8).$username);
  157.         // To protect against user enumeration via timing measurements
  158.         // we always load both successfully and unsuccessfully
  159.         try {
  160.             $user $this->provider->loadUserByUsername($username);
  162.             try {
  163.                 $this->provider->loadUserByUsername($nonExistentUsername);
  164.             } catch (AuthenticationException $e) {
  165.             }
  166.         } catch (AuthenticationException $e) {
  167.             $this->provider->loadUserByUsername($currentUsername);
  169.             throw $e;
  170.         }
  172.         if (false === $this->accessDecisionManager->decide($token, [$this->role], $user)) {
  173.             $exception = new AccessDeniedException();
  174.             $exception->setAttributes($this->role);
  176.             throw $exception;
  177.         }
  179.         if (null !== $this->logger) {
  180.             $this->logger->info('Attempting to switch to user.', ['username' => $username]);
  181.         }
  183.         $this->userChecker->checkPostAuth($user);
  185.         $roles $user->getRoles();
  186.         $roles[] = new SwitchUserRole('ROLE_PREVIOUS_ADMIN'$this->tokenStorage->getToken(), false);
  188.         $token = new SwitchUserToken($user$user->getPassword(), $this->providerKey$roles$token);
  190.         if (null !== $this->dispatcher) {
  191.             $switchEvent = new SwitchUserEvent($request$token->getUser(), $token);
  192.             $this->dispatcher->dispatch($switchEventSecurityEvents::SWITCH_USER);
  193.             // use the token from the event in case any listeners have replaced it.
  194.             $token $switchEvent->getToken();
  195.         }
  197.         return $token;
  198.     }
  200.     /**
  201.      * Attempts to exit from an already switched user and returns the original token.
  202.      *
  203.      * @throws AuthenticationCredentialsNotFoundException
  204.      */
  205.     private function attemptExitUser(Request $request): TokenInterface
  206.     {
  207.         if (null === ($currentToken $this->tokenStorage->getToken()) || null === $original $this->getOriginalToken($currentToken)) {
  208.             throw new AuthenticationCredentialsNotFoundException('Could not find original Token object.');
  209.         }
  211.         if (null !== $this->dispatcher && $original->getUser() instanceof UserInterface) {
  212.             $user $this->provider->refreshUser($original->getUser());
  213.             $switchEvent = new SwitchUserEvent($request$user$original);
  214.             $this->dispatcher->dispatch($switchEventSecurityEvents::SWITCH_USER);
  215.             $original $switchEvent->getToken();
  216.         }
  218.         return $original;
  219.     }
  221.     private function getOriginalToken(TokenInterface $token): ?TokenInterface
  222.     {
  223.         if ($token instanceof SwitchUserToken) {
  224.             return $token->getOriginalToken();
  225.         }
  227.         foreach ($token->getRoles(false) as $role) {
  228.             if ($role instanceof SwitchUserRole) {
  229.                 return $role->getSource();
  230.             }
  231.         }
  233.         return null;
  234.     }
  235. }