vendor\thenetworg\oauth2-azure\src\Provider\Azure.php line 47

Open in your IDE?
  1. <?php
  3. namespace TheNetworg\OAuth2\Client\Provider;
  5. use Firebase\JWT\JWT;
  6. use Firebase\JWT\JWK;
  7. use Firebase\JWT\Key;
  8. use League\OAuth2\Client\Grant\AbstractGrant;
  9. use League\OAuth2\Client\Provider\AbstractProvider;
  10. use League\OAuth2\Client\Provider\Exception\IdentityProviderException;
  11. use League\OAuth2\Client\Provider\ResourceOwnerInterface;
  12. use League\OAuth2\Client\Token\AccessTokenInterface;
  13. use League\OAuth2\Client\Tool\BearerAuthorizationTrait;
  14. use Psr\Http\Message\ResponseInterface;
  15. use TheNetworg\OAuth2\Client\Grant\JwtBearer;
  16. use TheNetworg\OAuth2\Client\Token\AccessToken;
  18. class Azure extends AbstractProvider
  19. {
  20.     const ENDPOINT_VERSION_1_0 '1.0';
  21.     const ENDPOINT_VERSION_2_0 '2.0';
  22.     const ENDPOINT_VERSIONS = [self::ENDPOINT_VERSION_1_0self::ENDPOINT_VERSION_2_0];
  24.     use BearerAuthorizationTrait;
  26.     public $urlLogin 'https://login.microsoftonline.com/';
  28.     /** @var array|null */
  29.     protected $openIdConfiguration;
  31.     public $scope = [];
  33.     public $scopeSeparator ' ';
  35.     public $tenant 'common';
  37.     public $defaultEndPointVersion self::ENDPOINT_VERSION_1_0;
  39.     public $urlAPI 'https://graph.windows.net/';
  41.     public $resource '';
  43.     public $API_VERSION '1.6';
  45.     public $authWithResource true;
  47.     public function __construct(array $options = [], array $collaborators = [])
  48.     {
  49.         parent::__construct($options$collaborators);
  50.         if (isset($options['scopes'])) {
  51.             $this->scope array_merge($options['scopes'], $this->scope);
  52.         }
  53.         if (isset($options['defaultEndPointVersion']) &&
  54.             in_array($options['defaultEndPointVersion'], self::ENDPOINT_VERSIONStrue)) {
  55.             $this->defaultEndPointVersion $options['defaultEndPointVersion'];
  56.         }
  57.         $this->grantFactory->setGrant('jwt_bearer', new JwtBearer());
  58.     }
  60.     /**
  61.      * @param string $tenant
  62.      * @param string $version
  63.      */
  64.     protected function getOpenIdConfiguration($tenant$version) {
  65.         if (!is_array($this->openIdConfiguration)) {
  66.             $this->openIdConfiguration = [];
  67.         }
  68.         if (!array_key_exists($tenant$this->openIdConfiguration)) {
  69.             $this->openIdConfiguration[$tenant] = [];
  70.         }
  71.         if (!array_key_exists($version$this->openIdConfiguration[$tenant])) {
  72.             $versionInfix $this->getVersionUriInfix($version);
  73.               $openIdConfigurationUri $this->urlLogin $tenant $versionInfix '/.well-known/openid-configuration?appid=' $this->clientId;
  74.             
  75.             $factory $this->getRequestFactory();
  76.             $request $factory->getRequestWithOptions(
  77.                 'get',
  78.                 $openIdConfigurationUri,
  79.                 []
  80.             );
  81.             $response $this->getParsedResponse($request);
  82.             $this->openIdConfiguration[$tenant][$version] = $response;
  83.         }
  85.         return $this->openIdConfiguration[$tenant][$version];
  86.     }
  88.     /**
  89.      * @inheritdoc
  90.      */
  91.     public function getBaseAuthorizationUrl(): string
  92.     {
  93.         $openIdConfiguration $this->getOpenIdConfiguration($this->tenant$this->defaultEndPointVersion);
  94.         return $openIdConfiguration['authorization_endpoint'];
  95.     }
  97.     /**
  98.      * @inheritdoc
  99.      */
  100.     public function getBaseAccessTokenUrl(array $params): string
  101.     {
  102.         $openIdConfiguration $this->getOpenIdConfiguration($this->tenant$this->defaultEndPointVersion);
  103.         return $openIdConfiguration['token_endpoint'];
  104.     }
  106.     /**
  107.      * @inheritdoc
  108.      */
  109.     public function getAccessToken($grant, array $options = []): AccessTokenInterface
  110.     {
  111.         if ($this->defaultEndPointVersion != self::ENDPOINT_VERSION_2_0) {
  112.             // Version 2.0 does not support the resources parameter
  113.             // https://docs.microsoft.com/en-us/azure/active-directory/develop/v2-oauth2-auth-code-flow
  114.             // while version 1.0 does recommend it
  115.             // https://docs.microsoft.com/en-us/azure/active-directory/develop/v1-protocols-oauth-code
  116.             if ($this->authWithResource) {
  117.                 $options['resource'] = $this->resource $this->resource $this->urlAPI;
  118.             }
  119.         }
  120.         return parent::getAccessToken($grant$options);
  121.     }
  123.     /**
  124.      * @inheritdoc
  125.      */
  126.     public function getResourceOwner(\League\OAuth2\Client\Token\AccessToken $token): ResourceOwnerInterface
  127.     {
  128.         $data $token->getIdTokenClaims();
  129.         return $this->createResourceOwner($data$token);
  130.     }
  132.     /**
  133.      * @inheritdoc
  134.      */
  135.     public function getResourceOwnerDetailsUrl(\League\OAuth2\Client\Token\AccessToken $token): string
  136.     {
  137.         return ''// shouldn't that return such a URL?
  138.     }
  140.     public function getObjects($tenant$ref, &$accessToken$headers = [])
  141.     {
  142.         $objects = [];
  144.         $response null;
  145.         do {
  146.             if (false === filter_var($refFILTER_VALIDATE_URL)) {
  147.                 $ref $tenant '/' $ref;
  148.             }
  150.             $response $this->request('get'$ref$accessToken, ['headers' => $headers]);
  151.             $values   $response;
  152.             if (isset($response['value'])) {
  153.                 $values $response['value'];
  154.             }
  155.             foreach ($values as $value) {
  156.                 $objects[] = $value;
  157.             }
  158.             if (isset($response['odata.nextLink'])) {
  159.                 $ref $response['odata.nextLink'];
  160.             } elseif (isset($response['@odata.nextLink'])) {
  161.                 $ref $response['@odata.nextLink'];
  162.             } else {
  163.                 $ref null;
  164.             }
  165.         } while (null != $ref);
  167.         return $objects;
  168.     }
  170.     /**
  171.      * @param $accessToken AccessToken|null
  172.      * @return string
  173.      */
  174.     public function getRootMicrosoftGraphUri($accessToken)
  175.     {
  176.         if (is_null($accessToken)) {
  177.             $tenant $this->tenant;
  178.             $version $this->defaultEndPointVersion;
  179.         } else {
  180.             $idTokenClaims $accessToken->getIdTokenClaims();
  181.             $tenant array_key_exists('tid'$idTokenClaims) ? $idTokenClaims['tid'] : $this->tenant;
  182.             $version array_key_exists('ver'$idTokenClaims) ? $idTokenClaims['ver'] : $this->defaultEndPointVersion;
  183.         }
  184.         $openIdConfiguration $this->getOpenIdConfiguration($tenant$version);
  185.         return 'https://' $openIdConfiguration['msgraph_host'];
  186.     }
  188.     public function get($ref, &$accessToken$headers = [], $doNotWrap false)
  189.     {
  190.         $response $this->request('get'$ref$accessToken, ['headers' => $headers]);
  192.         return $doNotWrap $response $this->wrapResponse($response);
  193.     }
  195.     public function post($ref$body, &$accessToken$headers = [])
  196.     {
  197.         $response $this->request('post'$ref$accessToken, ['body' => $body'headers' => $headers]);
  199.         return $this->wrapResponse($response);
  200.     }
  202.     public function put($ref$body, &$accessToken$headers = [])
  203.     {
  204.         $response $this->request('put'$ref$accessToken, ['body' => $body'headers' => $headers]);
  206.         return $this->wrapResponse($response);
  207.     }
  209.     public function delete($ref, &$accessToken$headers = [])
  210.     {
  211.         $response $this->request('delete'$ref$accessToken, ['headers' => $headers]);
  213.         return $this->wrapResponse($response);
  214.     }
  216.     public function patch($ref$body, &$accessToken$headers = [])
  217.     {
  218.         $response $this->request('patch'$ref$accessToken, ['body' => $body'headers' => $headers]);
  220.         return $this->wrapResponse($response);
  221.     }
  223.     public function request($method$ref, &$accessToken$options = [])
  224.     {
  225.         if ($accessToken->hasExpired()) {
  226.             $accessToken $this->getAccessToken('refresh_token', [
  227.                 'refresh_token' => $accessToken->getRefreshToken(),
  228.             ]);
  229.         }
  231.         $url null;
  232.         if (false !== filter_var($refFILTER_VALIDATE_URL)) {
  233.             $url $ref;
  234.         } else {
  235.             if (false !== strpos($this->urlAPI'graph.windows.net')) {
  236.                 $tenant 'common';
  237.                 if (property_exists($this'tenant')) {
  238.                     $tenant $this->tenant;
  239.                 }
  240.                 $ref "$tenant/$ref";
  242.                 $url $this->urlAPI $ref;
  244.                 $url .= (false === strrpos($url'?')) ? '?' '&';
  245.                 $url .= 'api-version=' $this->API_VERSION;
  246.             } else {
  247.                 $url $this->urlAPI $ref;
  248.             }
  249.         }
  251.         if (isset($options['body']) && ('array' == gettype($options['body']) || 'object' == gettype($options['body']))) {
  252.             $options['body'] = json_encode($options['body']);
  253.         }
  254.         if (!isset($options['headers']['Content-Type']) && isset($options['body'])) {
  255.             $options['headers']['Content-Type'] = 'application/json';
  256.         }
  258.         $request  $this->getAuthenticatedRequest($method$url$accessToken$options);
  259.         $response $this->getParsedResponse($request);
  261.         return $response;
  262.     }
  264.     public function getClientId()
  265.     {
  266.         return $this->clientId;
  267.     }
  269.     /**
  270.      * Obtain URL for logging out the user.
  271.      *
  272.      * @param $post_logout_redirect_uri string The URL which the user should be redirected to after logout
  273.      *
  274.      * @return string
  275.      */
  276.     public function getLogoutUrl($post_logout_redirect_uri "")
  277.     {
  278.         $openIdConfiguration $this->getOpenIdConfiguration($this->tenant$this->defaultEndPointVersion);
  279.         $logoutUri $openIdConfiguration['end_session_endpoint'];
  281.         if (!empty($post_logout_redirect_uri)) {
  282.             $logoutUri .= '?post_logout_redirect_uri=' rawurlencode($post_logout_redirect_uri);
  283.         }
  285.         return $logoutUri;
  286.     }
  288.     /**
  289.      * Validate the access token you received in your application.
  290.      *
  291.      * @param $accessToken string The access token you received in the authorization header.
  292.      *
  293.      * @return array
  294.      */
  295.     public function validateAccessToken($accessToken)
  296.     {
  297.         $keys        $this->getJwtVerificationKeys();
  298.         $tokenClaims = (array)JWT::decode($accessToken$keys, ['RS256']);
  300.         $this->validateTokenClaims($tokenClaims);
  302.         return $tokenClaims;
  303.     }
  305.     /**
  306.      * Validate the access token claims from an access token you received in your application.
  307.      *
  308.      * @param $tokenClaims array The token claims from an access token you received in the authorization header.
  309.      *
  310.      * @return void
  311.      */
  312.     public function validateTokenClaims($tokenClaims) {
  313.         if ($this->getClientId() != $tokenClaims['aud']) {
  314.             throw new \RuntimeException('The client_id / audience is invalid!');
  315.         }
  316.         if ($tokenClaims['nbf'] > time() || $tokenClaims['exp'] < time()) {
  317.             // Additional validation is being performed in firebase/JWT itself
  318.             throw new \RuntimeException('The id_token is invalid!');
  319.         }
  321.         if ('common' == $this->tenant) {
  322.             $this->tenant $tokenClaims['tid'];
  323.         }
  325.         $version array_key_exists('ver'$tokenClaims) ? $tokenClaims['ver'] : $this->defaultEndPointVersion;
  326.         $tenant $this->getTenantDetails($this->tenant$version);
  327.         if ($tokenClaims['iss'] != $tenant['issuer']) {
  328.             throw new \RuntimeException('Invalid token issuer (tokenClaims[iss]' $tokenClaims['iss'] . ', tenant[issuer] ' $tenant['issuer'] . ')!');
  329.         }
  330.     }
  332.     /**
  333.      * Get JWT verification keys from Azure Active Directory.
  334.      *
  335.      * @return array
  336.      */
  337.     public function getJwtVerificationKeys()
  338.     {
  339.         $openIdConfiguration $this->getOpenIdConfiguration($this->tenant$this->defaultEndPointVersion);
  340.         $keysUri $openIdConfiguration['jwks_uri'];
  342.         $factory $this->getRequestFactory();
  343.         $request $factory->getRequestWithOptions('get'$keysUri, []);
  345.         $response $this->getParsedResponse($request);
  347.         $keys = [];
  348.         foreach ($response['keys'] as $i => $keyinfo) {
  349.             if (isset($keyinfo['x5c']) && is_array($keyinfo['x5c'])) {
  350.                 foreach ($keyinfo['x5c'] as $encodedkey) {
  351.                     $cert =
  352.                         '-----BEGIN CERTIFICATE-----' PHP_EOL
  353.                         chunk_split($encodedkey64,  PHP_EOL)
  354.                         . '-----END CERTIFICATE-----' PHP_EOL;
  356.                     $cert_object openssl_x509_read($cert);
  358.                     if ($cert_object === false) {
  359.                         throw new \RuntimeException('An attempt to read ' $encodedkey ' as a certificate failed.');
  360.                     }
  362.                     $pkey_object openssl_pkey_get_public($cert_object);
  364.                     if ($pkey_object === false) {
  365.                         throw new \RuntimeException('An attempt to read a public key from a ' $encodedkey ' certificate failed.');
  366.                     }
  368.                     $pkey_array openssl_pkey_get_details($pkey_object);
  370.                     if ($pkey_array === false) {
  371.                         throw new \RuntimeException('An attempt to get a public key as an array from a ' $encodedkey ' certificate failed.');
  372.                     }
  374.                     $publicKey $pkey_array ['key'];
  376.                     $keys[$keyinfo['kid']] = new Key($publicKey'RS256');
  377.                 }
  378.             } else if (isset($keyinfo['n']) && isset($keyinfo['e'])) {
  379.                 $pkey_object JWK::parseKey($keyinfo);
  381.                 if ($pkey_object === false) {
  382.                     throw new \RuntimeException('An attempt to read a public key from a ' $keyinfo['n'] . ' certificate failed.');
  383.                 }
  385.                 $pkey_array openssl_pkey_get_details($pkey_object);
  387.                 if ($pkey_array === false) {
  388.                     throw new \RuntimeException('An attempt to get a public key as an array from a ' $keyinfo['n'] . ' certificate failed.');
  389.                 }
  391.                 $publicKey $pkey_array ['key'];
  393.                $keys[$keyinfo['kid']] = new Key($publicKey'RS256');;
  394.             }
  395.         }
  397.         return $keys;
  398.     }
  400.     protected function getVersionUriInfix($version)
  401.     {
  402.         return
  403.             ($version == self::ENDPOINT_VERSION_2_0)
  404.                 ? '/v' self::ENDPOINT_VERSION_2_0
  405.                 '';
  406.     }
  408.     /**
  409.      * Get the specified tenant's details.
  410.      *
  411.      * @param string $tenant
  412.      * @param string|null $version
  413.      *
  414.      * @return array
  415.      * @throws IdentityProviderException
  416.      */
  417.     public function getTenantDetails($tenant$version)
  418.     {
  419.         return $this->getOpenIdConfiguration($this->tenant$this->defaultEndPointVersion);
  420.     }
  422.     /**
  423.      * @inheritdoc
  424.      */
  425.     protected function checkResponse(ResponseInterface $response$data): void
  426.     {
  427.         if (isset($data['odata.error']) || isset($data['error'])) {
  428.             if (isset($data['odata.error']['message']['value'])) {
  429.                 $message $data['odata.error']['message']['value'];
  430.             } elseif (isset($data['error']['message'])) {
  431.                 $message $data['error']['message'];
  432.             } elseif (isset($data['error']) && !is_array($data['error'])) {
  433.                 $message $data['error'];
  434.             } else {
  435.                 $message $response->getReasonPhrase();
  436.             }
  438.             if (isset($data['error_description']) && !is_array($data['error_description'])) {
  439.                 $message .= PHP_EOL $data['error_description'];
  440.             }
  442.             throw new IdentityProviderException(
  443.                 $message,
  444.                 $response->getStatusCode(),
  445.                 $response->getBody()
  446.             );
  447.         }
  448.     }
  450.     /**
  451.      * @inheritdoc
  452.      */
  453.     protected function getDefaultScopes(): array
  454.     {
  455.         return $this->scope;
  456.     }
  458.     /**
  459.      * @inheritdoc
  460.      */
  461.     protected function getScopeSeparator(): string
  462.     {
  463.         return $this->scopeSeparator;
  464.     }
  466.     /**
  467.      * @inheritdoc
  468.      */
  469.     protected function createAccessToken(array $responseAbstractGrant $grant): AccessToken
  470.     {
  471.         return new AccessToken($response$this);
  472.     }
  474.     /**
  475.      * @inheritdoc
  476.      */
  477.     protected function createResourceOwner(array $response\League\OAuth2\Client\Token\AccessToken $token): AzureResourceOwner
  478.     {
  479.         return new AzureResourceOwner($response);
  480.     }
  482.     private function wrapResponse($response)
  483.     {
  484.         if (empty($response)) {
  485.             return;
  486.         } elseif (isset($response['value'])) {
  487.             return $response['value'];
  488.         }
  490.         return $response;
  491.     }
  492. }