vendor/symfony/security-http/Firewall/SwitchUserListener.php line 41

  1. <?php
  2. /*
  3.  * This file is part of the Symfony package.
  4.  *
  5.  * (c) Fabien Potencier <fabien@symfony.com>
  6.  *
  7.  * For the full copyright and license information, please view the LICENSE
  8.  * file that was distributed with this source code.
  9.  */
  10. namespace Symfony\Component\Security\Http\Firewall;
  11. use Psr\Log\LoggerInterface;
  12. use Symfony\Component\HttpFoundation\RedirectResponse;
  13. use Symfony\Component\HttpFoundation\Request;
  14. use Symfony\Component\HttpKernel\Event\RequestEvent;
  15. use Symfony\Component\Routing\Generator\UrlGeneratorInterface;
  16. use Symfony\Component\Security\Core\Authentication\Token\Storage\TokenStorageInterface;
  17. use Symfony\Component\Security\Core\Authentication\Token\SwitchUserToken;
  18. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  19. use Symfony\Component\Security\Core\Authorization\AccessDecisionManagerInterface;
  20. use Symfony\Component\Security\Core\Exception\AccessDeniedException;
  21. use Symfony\Component\Security\Core\Exception\AuthenticationCredentialsNotFoundException;
  22. use Symfony\Component\Security\Core\Exception\AuthenticationException;
  23. use Symfony\Component\Security\Core\User\UserCheckerInterface;
  24. use Symfony\Component\Security\Core\User\UserInterface;
  25. use Symfony\Component\Security\Core\User\UserProviderInterface;
  26. use Symfony\Component\Security\Http\Event\SwitchUserEvent;
  27. use Symfony\Component\Security\Http\SecurityEvents;
  28. use Symfony\Contracts\EventDispatcher\EventDispatcherInterface;
  29. /**
  30.  * SwitchUserListener allows a user to impersonate another one temporarily
  31.  * (like the Unix su command).
  32.  *
  33.  * @author Fabien Potencier <fabien@symfony.com>
  34.  *
  35.  * @final
  36.  */
  37. class SwitchUserListener extends AbstractListener
  38. {
  39.     public const EXIT_VALUE '_exit';
  40.     private TokenStorageInterface $tokenStorage;
  41.     private UserProviderInterface $provider;
  42.     private UserCheckerInterface $userChecker;
  43.     private string $firewallName;
  44.     private AccessDecisionManagerInterface $accessDecisionManager;
  45.     private string $usernameParameter;
  46.     private string $role;
  47.     private ?LoggerInterface $logger;
  48.     private ?EventDispatcherInterface $dispatcher;
  49.     private bool $stateless;
  50.     private ?UrlGeneratorInterface $urlGenerator;
  51.     private ?string $targetRoute;
  52.     public function __construct(TokenStorageInterface $tokenStorageUserProviderInterface $providerUserCheckerInterface $userCheckerstring $firewallNameAccessDecisionManagerInterface $accessDecisionManagerLoggerInterface $logger nullstring $usernameParameter '_switch_user'string $role 'ROLE_ALLOWED_TO_SWITCH'EventDispatcherInterface $dispatcher nullbool $stateless falseUrlGeneratorInterface $urlGenerator nullstring $targetRoute null)
  53.     {
  54.         if ('' === $firewallName) {
  55.             throw new \InvalidArgumentException('$firewallName must not be empty.');
  56.         }
  57.         $this->tokenStorage $tokenStorage;
  58.         $this->provider $provider;
  59.         $this->userChecker $userChecker;
  60.         $this->firewallName $firewallName;
  61.         $this->accessDecisionManager $accessDecisionManager;
  62.         $this->usernameParameter $usernameParameter;
  63.         $this->role $role;
  64.         $this->logger $logger;
  65.         $this->dispatcher $dispatcher;
  66.         $this->stateless $stateless;
  67.         $this->urlGenerator $urlGenerator;
  68.         $this->targetRoute $targetRoute;
  69.     }
  70.     public function supports(Request $request): ?bool
  71.     {
  72.         // usernames can be falsy
  73.         $username $request->get($this->usernameParameter);
  74.         if (null === $username || '' === $username) {
  75.             $username $request->headers->get($this->usernameParameter);
  76.         }
  77.         // if it's still "empty", nothing to do.
  78.         if (null === $username || '' === $username) {
  79.             return false;
  80.         }
  81.         $request->attributes->set('_switch_user_username'$username);
  82.         return true;
  83.     }
  84.     /**
  85.      * Handles the switch to another user.
  86.      *
  87.      * @throws \LogicException if switching to a user failed
  88.      */
  89.     public function authenticate(RequestEvent $event)
  90.     {
  91.         $request $event->getRequest();
  92.         $username $request->attributes->get('_switch_user_username');
  93.         $request->attributes->remove('_switch_user_username');
  94.         if (null === $this->tokenStorage->getToken()) {
  95.             throw new AuthenticationCredentialsNotFoundException('Could not find original Token object.');
  96.         }
  97.         if (self::EXIT_VALUE === $username) {
  98.             $this->tokenStorage->setToken($this->attemptExitUser($request));
  99.         } else {
  100.             try {
  101.                 $this->tokenStorage->setToken($this->attemptSwitchUser($request$username));
  102.             } catch (AuthenticationException $e) {
  103.                 // Generate 403 in any conditions to prevent user enumeration vulnerabilities
  104.                 throw new AccessDeniedException('Switch User failed: '.$e->getMessage(), $e);
  105.             }
  106.         }
  107.         if (!$this->stateless) {
  108.             $request->query->remove($this->usernameParameter);
  109.             $request->server->set('QUERY_STRING'http_build_query($request->query->all(), '''&'));
  110.             $response = new RedirectResponse($this->urlGenerator && $this->targetRoute $this->urlGenerator->generate($this->targetRoute) : $request->getUri(), 302);
  111.             $event->setResponse($response);
  112.         }
  113.     }
  114.     /**
  115.      * Attempts to switch to another user and returns the new token if successfully switched.
  116.      *
  117.      * @throws \LogicException
  118.      * @throws AccessDeniedException
  119.      */
  120.     private function attemptSwitchUser(Request $requeststring $username): ?TokenInterface
  121.     {
  122.         $token $this->tokenStorage->getToken();
  123.         $originalToken $this->getOriginalToken($token);
  124.         if (null !== $originalToken) {
  125.             if ($token->getUserIdentifier() === $username) {
  126.                 return $token;
  127.             }
  128.             // User already switched, exit before seamlessly switching to another user
  129.             $token $this->attemptExitUser($request);
  130.         }
  131.         $currentUsername $token->getUserIdentifier();
  132.         $nonExistentUsername '_'.md5(random_bytes(8).$username);
  133.         // To protect against user enumeration via timing measurements
  134.         // we always load both successfully and unsuccessfully
  135.         try {
  136.             $user $this->provider->loadUserByIdentifier($username);
  137.             try {
  138.                 $this->provider->loadUserByIdentifier($nonExistentUsername);
  139.             } catch (\Exception) {
  140.             }
  141.         } catch (AuthenticationException $e) {
  142.             $this->provider->loadUserByIdentifier($currentUsername);
  143.             throw $e;
  144.         }
  145.         if (false === $this->accessDecisionManager->decide($token, [$this->role], $user)) {
  146.             $exception = new AccessDeniedException();
  147.             $exception->setAttributes($this->role);
  148.             throw $exception;
  149.         }
  150.         $this->logger?->info('Attempting to switch to user.', ['username' => $username]);
  151.         $this->userChecker->checkPostAuth($user);
  152.         $roles $user->getRoles();
  153.         $roles[] = 'ROLE_PREVIOUS_ADMIN';
  154.         $originatedFromUri str_replace('/&''/?'preg_replace('#[&?]'.$this->usernameParameter.'=[^&]*#'''$request->getRequestUri()));
  155.         $token = new SwitchUserToken($user$this->firewallName$roles$token$originatedFromUri);
  156.         if (null !== $this->dispatcher) {
  157.             $switchEvent = new SwitchUserEvent($request$token->getUser(), $token);
  158.             $this->dispatcher->dispatch($switchEventSecurityEvents::SWITCH_USER);
  159.             // use the token from the event in case any listeners have replaced it.
  160.             $token $switchEvent->getToken();
  161.         }
  162.         return $token;
  163.     }
  164.     /**
  165.      * Attempts to exit from an already switched user and returns the original token.
  166.      *
  167.      * @throws AuthenticationCredentialsNotFoundException
  168.      */
  169.     private function attemptExitUser(Request $request): TokenInterface
  170.     {
  171.         if (null === ($currentToken $this->tokenStorage->getToken()) || null === $original $this->getOriginalToken($currentToken)) {
  172.             throw new AuthenticationCredentialsNotFoundException('Could not find original Token object.');
  173.         }
  174.         if (null !== $this->dispatcher && $original->getUser() instanceof UserInterface) {
  175.             $user $this->provider->refreshUser($original->getUser());
  176.             $original->setUser($user);
  177.             $switchEvent = new SwitchUserEvent($request$user$original);
  178.             $this->dispatcher->dispatch($switchEventSecurityEvents::SWITCH_USER);
  179.             $original $switchEvent->getToken();
  180.         }
  181.         return $original;
  182.     }
  183.     private function getOriginalToken(TokenInterface $token): ?TokenInterface
  184.     {
  185.         if ($token instanceof SwitchUserToken) {
  186.             return $token->getOriginalToken();
  187.         }
  188.         return null;
  189.     }
  190. }