DataTransferPublicSession.ktAnnotations : param, Suppress, Service, JsonIgnore, Autowired
Classes : DataTransferPublicSession, TransferAreaData, CheckAccessResult
Fonctions (9) : checkLogin, login, checkDataBaseEntry, register, unregister, logout, isOwnerOfFile, registerFileAsOwner, getSessionMap
Propriétés (28) : id, accessToken, password, userInfo, ownedFiles, dataTransferArea, failedAccessMessage, dataTransferAreaDao, data, area, errorMessage, loginProtection, clientIpAddress, offset, seconds, numberOfFailedAttempts, loginResultStatus, dbo, errorMessage, map, map, id, data, map, data...
Importations : 12 paquets
Paquet : org.projectforge.plugins.datatransfer.restPublic
package org.projectforge.plugins.datatransfer.restPublic
import com.fasterxml.jackson.annotation.JsonIgnore
import mu.KotlinLogging
import org.projectforge.business.login.LoginProtection
import org.projectforge.business.login.LoginResultStatus
import org.projectforge.framework.ToStringUtil
import org.projectforge.framework.i18n.translate
import org.projectforge.plugins.datatransfer.DataTransferAreaDO
import org.projectforge.plugins.datatransfer.DataTransferAreaDao
import org.projectforge.rest.config.RestUtils
import org.springframework.beans.factory.annotation.Autowired
import org.springframework.stereotype.Service
import jakarta.servlet.http.HttpServletRequest
private val log = KotlinLogging.logger {}
/**
* Une gestion de session minimale pour éviter les reconnexions fastidieuses pour les utilisateurs externes de l'outil de transfert de données.
*/
@Service
class DataTransferPublicSession {
internal class TransferAreaData(
var id: Long,
var accessToken: String,
@JsonIgnore var password: String?,
var userInfo: String?,
var ownedFiles: MutableList<String> = mutableListOf()
)
internal class CheckAccessResult(
val dataTransferArea: DataTransferAreaDO? = null,
val failedAccessMessage: String? = null
)
@Autowired
private lateinit var dataTransferAreaDao: DataTransferAreaDao
/**
* Vérifie si l'utilisateur a une entrée valide (accessToken/password) dans sa session.
* @param areaId Recherche la zone par identifiant dans la session de l'utilisateur.
* @param accessToken Recherche la zone par accessToken dans la session de l'utilisateur.
*/
internal fun checkLogin(
request: HttpServletRequest,
areaId: Long? = null,
accessToken: String? = null
): Pair<DataTransferAreaDO, TransferAreaData>? {
check(areaId != null || !accessToken.isNullOrBlank())
val data = if (areaId != null) {
getSessionMap(request)?.get(areaId)
} else {
getSessionMap(request)?.entries?.find { it.value.accessToken == accessToken }?.value
} ?: return null
val area = dataTransferAreaDao.getAnonymousArea(data.accessToken) ?: return null
val errorMessage = checkDataBaseEntry(request, area, data.id, data.accessToken, data.password, data.userInfo)
if (errorMessage != null) {
unregister(request, data.id) // Désenregistrer, forcer une reconnexion.
return null
}
log.info {
"Informations utilisateur externe restaurées depuis la session : ${ToStringUtil.toJsonString(data)}, ip=${
RestUtils.getClientIp(
request
)
}"
}
return Pair(area, data)
}
/**
* Tente de connecter l'utilisateur. Utilise LoginProtection. Ne vérifie pas si l'utilisateur est déjà connecté.
* L'identifiant de session sera modifié (fixation de session), mais toute zone précédemment connectée sera placée dans la nouvelle session.
*/
internal fun login(
request: HttpServletRequest,
accessToken: String?,
password: String?,
userInfo: String?
): CheckAccessResult {
if (accessToken == null || password == null) {
return CheckAccessResult(failedAccessMessage = LoginResultStatus.FAILED.localizedMessage)
}
val loginProtection = LoginProtection.instance()
val clientIpAddress = RestUtils.getClientIp(request)
val offset = loginProtection.getFailedLoginTimeOffsetIfExists(accessToken, clientIpAddress)
if (offset > 0) {
// Le décalage horaire existe toujours. Ignorer la tentative de connexion.
val seconds = (offset / 1000).toString()
log.warn("Le compte pour '${accessToken}', ip=$clientIpAddress, userInfo='$userInfo' est verrouillé pour $seconds secondes en raison de tentatives de connexion échouées. Veuillez réessayer plus tard.")
val numberOfFailedAttempts = loginProtection.getNumberOfFailedLoginAttempts(accessToken, clientIpAddress)
val loginResultStatus = LoginResultStatus.LOGIN_TIME_OFFSET
loginResultStatus.setMsgParams(
seconds,
numberOfFailedAttempts.toString()
)
return CheckAccessResult(failedAccessMessage = loginResultStatus.localizedMessage)
}
val dbo = dataTransferAreaDao.getAnonymousArea(accessToken)
if (dbo == null) {
log.warn { "Zone de transfert de données avec externalAccessToken '$accessToken' introuvable. Demandé par ip=$clientIpAddress, userInfo='$userInfo'." }
loginProtection.incrementFailedLoginTimeOffset(accessToken, clientIpAddress)
return CheckAccessResult(failedAccessMessage = LoginResultStatus.FAILED.localizedMessage)
}
val errorMessage = checkDataBaseEntry(request, dbo, dbo.id!!, accessToken, password, userInfo)
if (errorMessage != null) {
loginProtection.incrementFailedLoginTimeOffset(accessToken, clientIpAddress)
return CheckAccessResult(failedAccessMessage = errorMessage)
}
// Connexion réussie :
loginProtection.clearLoginTimeOffset(accessToken, null, clientIpAddress)
log.info { "Zone de transfert de données avec externalAccessToken '$accessToken' : connexion réussie par ip=$clientIpAddress, userInfo='$userInfo'." }
// Fixation de session : Changer JSESSIONID après la connexion (pour des raisons de sécurité / attaque XSS sur la page de connexion)
request.getSession(false)?.let { session ->
if (!session.isNew) {
val map = getSessionMap(request)
// ... (tronqué, total 259 lignes)
868d6abb7 2025 -> 2026 63081666f En-têtes des fichiers source : 2024 -> 2025. 4c04cfd65 CHANGEMENT-MAJEUR ! Migration des identifiants entier vers identifiants Long (y compris les clés étrangères, etc.) 77bade6df javax.* -> jakarta.* b6092df09 Copyright 2023 -> 2024