vendor/symfony/security-http/Firewall/SwitchUserListener.php line 42

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\Security\Http\Firewall;
  14. use Psr\Log\LoggerInterface;
  15. use Symfony\Component\EventDispatcher\LegacyEventDispatcherProxy;
  16. use Symfony\Component\HttpFoundation\RedirectResponse;
  17. use Symfony\Component\HttpFoundation\Request;
  18. use Symfony\Component\HttpKernel\Event\RequestEvent;
  19. use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;
  20. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  21. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  22. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  23. use Symfony\Component\Security\Core\Exception\AccessDeniedException;
  24. use Symfony\Component\Security\Core\Exception\AuthenticationCredentialsNotFoundException;
  25. use Symfony\Component\Security\Core\Exception\AuthenticationException;
  26. use Symfony\Component\Security\Core\Role\SwitchUserRole;
  27. use Symfony\Component\Security\Core\User\UserCheckerInterface;
  28. use Symfony\Component\Security\Core\User\UserInterface;
  29. use Symfony\Component\Security\Core\User\UserProviderInterface;
  30. use Symfony\Component\Security\Http\Event\SwitchUserEvent;
  31. use Symfony\Component\Security\Http\SecurityEvents;
  32. use Symfony\Contracts\EventDispatcher\EventDispatcherInterface;
  34. /**
  35.  * SwitchUserListener allows a user to impersonate another one temporarily
  36.  * (like the Unix su command).
  37.  *
  38.  * @author Fabien Potencier <fabien@symfony.com>
  39.  *
  40.  * @final since Symfony 4.3
  41.  */
  42. class SwitchUserListener extends AbstractListener implements ListenerInterface
  43. {
  44.     use LegacyListenerTrait;
  46.     const EXIT_VALUE '_exit';
  48.     private $tokenStorage;
  49.     private $provider;
  50.     private $userChecker;
  51.     private $providerKey;
  52.     private $accessDecisionManager;
  53.     private $usernameParameter;
  54.     private $role;
  55.     private $logger;
  56.     private $dispatcher;
  57.     private $stateless;
  59.     public function __construct(TokenStorageInterface $tokenStorageUserProviderInterface $providerUserCheckerInterface $userCheckerstring $providerKeyAccessDecisionManagerInterface $accessDecisionManagerLoggerInterface $logger nullstring $usernameParameter '_switch_user'string $role 'ROLE_ALLOWED_TO_SWITCH'EventDispatcherInterface $dispatcher nullbool $stateless false)
  60.     {
  61.         if (empty($providerKey)) {
  62.             throw new \InvalidArgumentException('$providerKey must not be empty.');
  63.         }
  65.         $this->tokenStorage $tokenStorage;
  66.         $this->provider $provider;
  67.         $this->userChecker $userChecker;
  68.         $this->providerKey $providerKey;
  69.         $this->accessDecisionManager $accessDecisionManager;
  70.         $this->usernameParameter $usernameParameter;
  71.         $this->role $role;
  72.         $this->logger $logger;
  74.         if (null !== $dispatcher && class_exists(LegacyEventDispatcherProxy::class)) {
  75.             $this->dispatcher LegacyEventDispatcherProxy::decorate($dispatcher);
  76.         } else {
  77.             $this->dispatcher $dispatcher;
  78.         }
  80.         $this->stateless $stateless;
  81.     }
  83.     /**
  84.      * {@inheritdoc}
  85.      */
  86.     public function supports(Request $request): ?bool
  87.     {
  88.         // usernames can be falsy
  89.         $username $request->get($this->usernameParameter);
  91.         if (null === $username || '' === $username) {
  92.             $username $request->headers->get($this->usernameParameter);
  93.         }
  95.         // if it's still "empty", nothing to do.
  96.         if (null === $username || '' === $username) {
  97.             return false;
  98.         }
  100.         $request->attributes->set('_switch_user_username'$username);
  102.         return true;
  103.     }
  105.     /**
  106.      * Handles the switch to another user.
  107.      *
  108.      * @throws \LogicException if switching to a user failed
  109.      */
  110.     public function authenticate(RequestEvent $event)
  111.     {
  112.         $request $event->getRequest();
  114.         $username $request->attributes->get('_switch_user_username');
  115.         $request->attributes->remove('_switch_user_username');
  117.         if (null === $this->tokenStorage->getToken()) {
  118.             throw new AuthenticationCredentialsNotFoundException('Could not find original Token object.');
  119.         }
  121.         if (self::EXIT_VALUE === $username) {
  122.             $this->tokenStorage->setToken($this->attemptExitUser($request));
  123.         } else {
  124.             try {
  125.                 $this->tokenStorage->setToken($this->attemptSwitchUser($request$username));
  126.             } catch (AuthenticationException $e) {
  127.                 // Generate 403 in any conditions to prevent user enumeration vulnerabilities
  128.                 throw new AccessDeniedException('Switch User failed: '.$e->getMessage(), $e);
  129.             }
  130.         }
  132.         if (!$this->stateless) {
  133.             $request->query->remove($this->usernameParameter);
  134.             $request->server->set('QUERY_STRING'http_build_query($request->query->all(), '''&'));
  135.             $response = new RedirectResponse($request->getUri(), 302);
  137.             $event->setResponse($response);
  138.         }
  139.     }
  141.     /**
  142.      * Attempts to switch to another user and returns the new token if successfully switched.
  143.      *
  144.      * @throws \LogicException
  145.      * @throws AccessDeniedException
  146.      */
  147.     private function attemptSwitchUser(Request $requeststring $username): ?TokenInterface
  148.     {
  149.         $token $this->tokenStorage->getToken();
  150.         $originalToken $this->getOriginalToken($token);
  152.         if (null !== $originalToken) {
  153.             if ($token->getUsername() === $username) {
  154.                 return $token;
  155.             }
  157.             // User already switched, exit before seamlessly switching to another user
  158.             $token $this->attemptExitUser($request);
  159.         }
  161.         $currentUsername $token->getUsername();
  162.         $nonExistentUsername '_'.md5(random_bytes(8).$username);
  164.         // To protect against user enumeration via timing measurements
  165.         // we always load both successfully and unsuccessfully
  166.         try {
  167.             $user $this->provider->loadUserByUsername($username);
  169.             try {
  170.                 $this->provider->loadUserByUsername($nonExistentUsername);
  171.             } catch (\Exception $e) {
  172.             }
  173.         } catch (AuthenticationException $e) {
  174.             $this->provider->loadUserByUsername($currentUsername);
  176.             throw $e;
  177.         }
  179.         if (false === $this->accessDecisionManager->decide($token, [$this->role], $user)) {
  180.             $exception = new AccessDeniedException();
  181.             $exception->setAttributes($this->role);
  183.             throw $exception;
  184.         }
  186.         if (null !== $this->logger) {
  187.             $this->logger->info('Attempting to switch to user.', ['username' => $username]);
  188.         }
  190.         $this->userChecker->checkPostAuth($user);
  192.         $roles $user->getRoles();
  193.         $roles[] = new SwitchUserRole('ROLE_PREVIOUS_ADMIN'$tokenfalse);
  195.         $token = new SwitchUserToken($user$user->getPassword(), $this->providerKey$roles$token);
  197.         if (null !== $this->dispatcher) {
  198.             $switchEvent = new SwitchUserEvent($request$token->getUser(), $token);
  199.             $this->dispatcher->dispatch($switchEventSecurityEvents::SWITCH_USER);
  200.             // use the token from the event in case any listeners have replaced it.
  201.             $token $switchEvent->getToken();
  202.         }
  204.         return $token;
  205.     }
  207.     /**
  208.      * Attempts to exit from an already switched user and returns the original token.
  209.      *
  210.      * @throws AuthenticationCredentialsNotFoundException
  211.      */
  212.     private function attemptExitUser(Request $request): TokenInterface
  213.     {
  214.         if (null === ($currentToken $this->tokenStorage->getToken()) || null === $original $this->getOriginalToken($currentToken)) {
  215.             throw new AuthenticationCredentialsNotFoundException('Could not find original Token object.');
  216.         }
  218.         if (null !== $this->dispatcher && $original->getUser() instanceof UserInterface) {
  219.             $user $this->provider->refreshUser($original->getUser());
  220.             $switchEvent = new SwitchUserEvent($request$user$original);
  221.             $this->dispatcher->dispatch($switchEventSecurityEvents::SWITCH_USER);
  222.             $original $switchEvent->getToken();
  223.         }
  225.         return $original;
  226.     }
  228.     private function getOriginalToken(TokenInterface $token): ?TokenInterface
  229.     {
  230.         if ($token instanceof SwitchUserToken) {
  231.             return $token->getOriginalToken();
  232.         }
  234.         foreach ($token->getRoles(false) as $role) {
  235.             if ($role instanceof SwitchUserRole) {
  236.                 return $role->getSource();
  237.             }
  238.         }
  240.         return null;
  241.     }
  242. }