projects / shibboleth / sp.git / blob
? search:


db51ad1d1dc417e32ae1ce69ec21bc5b5f829428
[shibboleth/sp.git] / fastcgi / shibauthorizer.cpp
1 /*\r
2  *  Copyright 2001-2007 Internet2\r
3  *\r
4  * Licensed under the Apache License, Version 2.0 (the "License");\r
5  * you may not use this file except in compliance with the License.\r
6  * You may obtain a copy of the License at\r
7  *\r
8  *     http://www.apache.org/licenses/LICENSE-2.0\r
9  *\r
10  * Unless required by applicable law or agreed to in writing, software\r
11  * distributed under the License is distributed on an "AS IS" BASIS,\r
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.\r
13  * See the License for the specific language governing permissions and\r
14  * limitations under the License.\r
15  */\r
16 \r
17 /* shibauthorizer.cpp - Shibboleth FastCGI Authorizer\r
18 \r
19    Andre Cruz\r
20 */\r
21 \r
22 #define SHIBSP_LITE\r
23 #include "config_win32.h"\r
24 \r
25 #define _CRT_NONSTDC_NO_DEPRECATE 1\r
26 #define _CRT_SECURE_NO_DEPRECATE 1\r
27 #define _SCL_SECURE_NO_WARNINGS 1\r
28 \r
29 #include <shibsp/AbstractSPRequest.h>\r
30 #include <shibsp/SPConfig.h>\r
31 #include <shibsp/ServiceProvider.h>\r
32 #include <xmltooling/unicode.h>\r
33 #include <xmltooling/XMLToolingConfig.h>\r
34 #include <xmltooling/util/NDC.h>\r
35 #include <xmltooling/util/XMLConstants.h>\r
36 #include <xmltooling/util/XMLHelper.h>\r
37 #include <xercesc/util/XMLUniDefs.hpp>\r
38 \r
39 #include <stdexcept>\r
40 #include <stdlib.h>\r
41 #ifdef HAVE_UNISTD_H\r
42 # include <unistd.h>\r
43 # include <sys/mman.h>\r
44 #endif\r
45 #include <fcgio.h>\r
46 \r
47 using namespace shibsp;\r
48 using namespace xmltooling;\r
49 using namespace xercesc;\r
50 using namespace std;\r
51 \r
52 static const XMLCh path[] =     UNICODE_LITERAL_4(p,a,t,h);\r
53 static const XMLCh validate[] = UNICODE_LITERAL_8(v,a,l,i,d,a,t,e);\r
54 \r
55 typedef enum {\r
56     SHIB_RETURN_OK,\r
57     SHIB_RETURN_KO,\r
58     SHIB_RETURN_DONE\r
59 } shib_return_t;\r
60 \r
61 class ShibTargetFCGIAuth : public AbstractSPRequest\r
62 {\r
63     FCGX_Request* m_req;\r
64     int m_port;\r
65     string m_scheme,m_hostname;\r
66     multimap<string,string> m_response_headers;\r
67 public:\r
68     map<string,string> m_request_headers;\r
69 \r
70     ShibTargetFCGIAuth(FCGX_Request* req, const char* scheme=NULL, const char* hostname=NULL, int port=0)\r
71             : AbstractSPRequest(SHIBSP_LOGCAT".FastCGI"), m_req(req) {\r
72         const char* server_name_str = hostname;\r
73         if (!server_name_str || !*server_name_str)\r
74             server_name_str = FCGX_GetParam("SERVER_NAME", req->envp);\r
75         m_hostname = server_name_str;\r
76 \r
77         m_port = port;\r
78         if (!m_port) {\r
79             char* server_port_str = FCGX_GetParam("SERVER_PORT", req->envp);\r
80             m_port = strtol(server_port_str, &server_port_str, 10);\r
81             if (*server_port_str) {\r
82                 cerr << "can't parse SERVER_PORT (" << FCGX_GetParam("SERVER_PORT", req->envp) << ")" << endl;\r
83                 throw runtime_error("Unable to determine server port.");\r
84             }\r
85         }\r
86 \r
87         const char* server_scheme_str = scheme;\r
88         if (!server_scheme_str || !*server_scheme_str)\r
89             server_scheme_str = (m_port == 443 || m_port == 8443) ? "https" : "http";\r
90         m_scheme = server_scheme_str;\r
91 \r
92         setRequestURI(FCGX_GetParam("REQUEST_URI", m_req->envp));\r
93     }\r
94 \r
95     ~ShibTargetFCGIAuth() { }\r
96 \r
97     const char* getScheme() const {\r
98         return m_scheme.c_str();\r
99     }\r
100     const char* getHostname() const {\r
101         return m_hostname.c_str();\r
102     }\r
103     int getPort() const {\r
104         return m_port;\r
105     }\r
106     const char* getMethod() const {\r
107         return FCGX_GetParam("REQUEST_METHOD", m_req->envp);\r
108     }\r
109     string getContentType() const {\r
110         const char* s = FCGX_GetParam("CONTENT_TYPE", m_req->envp);\r
111         return s ? s : "";\r
112     }\r
113     long getContentLength() const {\r
114         const char* s = FCGX_GetParam("CONTENT_LENGTH", m_req->envp);\r
115         return s ? atol(s) : 0;\r
116     }\r
117     string getRemoteAddr() const {\r
118         const char* s = FCGX_GetParam("REMOTE_ADDR", m_req->envp);\r
119         return s ? s : "";\r
120     }\r
121     void log(SPLogLevel level, const string& msg) const {\r
122         AbstractSPRequest::log(level,msg);\r
123         if (level >= SPError)\r
124             cerr << "shib: " << msg;\r
125     }\r
126     void clearHeader(const char* rawname, const char* cginame) {\r
127         // no need, since request headers turn into actual environment variables\r
128     }\r
129     void setHeader(const char* name, const char* value) {\r
130         if (value)\r
131             m_request_headers[name] = value;\r
132         else\r
133             m_request_headers.erase(name);\r
134     }\r
135     virtual string getHeader(const char* name) const {\r
136         // Look in the local map first.\r
137         map<string,string>::const_iterator i = m_request_headers.find(name);\r
138         if (i != m_request_headers.end())\r
139             return i->second;\r
140         // Nothing set locally, so try the request.\r
141         string hdr("HTTP_");\r
142         for (; *name; ++name) {\r
143             if (*name=='-')\r
144                 hdr += '_';\r
145             else\r
146                 hdr += toupper(*name);\r
147         }\r
148         char* s = FCGX_GetParam(hdr.c_str(), m_req->envp);\r
149         return s ? s : "";\r
150     }\r
151     void setRemoteUser(const char* user) {\r
152         if (user)\r
153             m_request_headers["REMOTE_USER"] = user;\r
154         else\r
155             m_request_headers.erase("REMOTE_USER");\r
156     }\r
157     string getRemoteUser() const {\r
158         map<string,string>::const_iterator i = m_request_headers.find("REMOTE_USER");\r
159         if (i != m_request_headers.end())\r
160             return i->second;\r
161         else {\r
162             char* remote_user = FCGX_GetParam("REMOTE_USER", m_req->envp);\r
163             if (remote_user)\r
164                 return remote_user;\r
165         }\r
166         return "";\r
167     }\r
168     void setResponseHeader(const char* name, const char* value) {\r
169         // Set for later.\r
170         if (value)\r
171             m_response_headers.insert(make_pair(name,value));\r
172         else\r
173             m_response_headers.erase(name);\r
174     }\r
175     const char* getQueryString() const {\r
176         return FCGX_GetParam("QUERY_STRING", m_req->envp);\r
177     }\r
178     const char* getRequestBody() const {\r
179         throw runtime_error("getRequestBody not implemented by FastCGI authorizer.");\r
180     }\r
181 \r
182     long sendResponse(istream& in, long status) {\r
183         string hdr = string("Connection: close\r\n");\r
184         for (multimap<string,string>::const_iterator i=m_response_headers.begin(); i!=m_response_headers.end(); ++i)\r
185             hdr += i->first + ": " + i->second + "\r\n";\r
186 \r
187         // We can't return 200 OK here or else the filter is bypassed\r
188         // so custom Shib errors will get turned into a generic page.\r
189         const char* codestr="Status: 500 Server Error";\r
190         switch (status) {\r
191             case XMLTOOLING_HTTP_STATUS_UNAUTHORIZED:   codestr="Status: 401 Authorization Required"; break;\r
192             case XMLTOOLING_HTTP_STATUS_FORBIDDEN:      codestr="Status: 403 Forbidden"; break;\r
193             case XMLTOOLING_HTTP_STATUS_NOTFOUND:       codestr="Status: 404 Not Found"; break;\r
194         }\r
195         cout << codestr << "\r\n" << hdr << "\r\n";\r
196         char buf[1024];\r
197         while (in) {\r
198             in.read(buf,1024);\r
199             cout.write(buf, in.gcount());\r
200         }\r
201         return SHIB_RETURN_DONE;\r
202     }\r
203 \r
204     long sendRedirect(const char* url) {\r
205         string hdr=string("Status: 302 Please Wait\r\nLocation: ") + url + "\r\n"\r
206           "Content-Type: text/html\r\n"\r
207           "Content-Length: 40\r\n"\r
208           "Expires: 01-Jan-1997 12:00:00 GMT\r\n"\r
209           "Cache-Control: private,no-store,no-cache\r\n";\r
210         for (multimap<string,string>::const_iterator i=m_response_headers.begin(); i!=m_response_headers.end(); ++i)\r
211             hdr += i->first + ": " + i->second + "\r\n";\r
212         hdr += "\r\n";\r
213 \r
214         cout << hdr << "<HTML><BODY>Redirecting...</BODY></HTML>";\r
215         return SHIB_RETURN_DONE;\r
216     }\r
217 \r
218     long returnDecline() {\r
219         return SHIB_RETURN_KO;\r
220     }\r
221 \r
222     long returnOK() {\r
223         return SHIB_RETURN_OK;\r
224     }\r
225 \r
226     const vector<string>& getClientCertificates() const {\r
227         static vector<string> g_NoCerts;\r
228         return g_NoCerts;\r
229     }\r
230 };\r
231 \r
232 static void print_ok(const map<string,string>& headers)\r
233 {\r
234     cout << "Status: 200 OK" << "\r\n";\r
235     for (map<string,string>::const_iterator iter = headers.begin(); iter != headers.end(); iter++) {\r
236         cout << "Variable-" << iter->first << ": " << iter->second << "\r\n";\r
237     }\r
238     cout << "\r\n";\r
239 }\r
240 \r
241 static void print_error(const char* msg)\r
242 {\r
243     cout << "Status: 500 Server Error" << "\r\n\r\n" << msg;\r
244 }\r
245 \r
246 int main(void)\r
247 {\r
248     SPConfig* g_Config=&SPConfig::getConfig();\r
249     g_Config->setFeatures(\r
250         SPConfig::Listener |\r
251         SPConfig::Caching |\r
252         SPConfig::RequestMapping |\r
253         SPConfig::InProcess |\r
254         SPConfig::Logging |\r
255         SPConfig::Handlers\r
256         );\r
257     if (!g_Config->init()) {\r
258         cerr << "failed to initialize Shibboleth libraries" << endl;\r
259         exit(1);\r
260     }\r
261 \r
262     try {\r
263         if (!g_Config->instantiate(NULL, true))\r
264             throw exception("unknown error");\r
265     }\r
266     catch (exception& ex) {\r
267         g_Config->term();\r
268         cerr << "exception while initializing Shibboleth configuration: " << ex.what() << endl;\r
269         exit(1);\r
270     }\r
271 \r
272     string g_ServerScheme;\r
273     string g_ServerName;\r
274     int g_ServerPort=0;\r
275 \r
276     // Load "authoritative" URL fields.\r
277     char* var = getenv("SHIBSP_SERVER_NAME");\r
278     if (var)\r
279         g_ServerName = var;\r
280     var = getenv("SHIBSP_SERVER_SCHEME");\r
281     if (var)\r
282         g_ServerScheme = var;\r
283     var = getenv("SHIBSP_SERVER_PORT");\r
284     if (var)\r
285         g_ServerPort = atoi(var);\r
286 \r
287     streambuf* cout_streambuf = cout.rdbuf();\r
288     streambuf* cerr_streambuf = cerr.rdbuf();\r
289 \r
290     FCGX_Request request;\r
291 \r
292     FCGX_Init();\r
293     FCGX_InitRequest(&request, 0, 0);\r
294 \r
295     cout << "Shibboleth initialization complete. Starting request loop." << endl;\r
296     while (FCGX_Accept_r(&request) == 0)\r
297     {\r
298         // Note that the default bufsize (0) will cause the use of iostream\r
299         // methods that require positioning (such as peek(), seek(),\r
300         // unget() and putback()) to fail (in favour of more efficient IO).\r
301         fcgi_streambuf cout_fcgi_streambuf(request.out);\r
302         fcgi_streambuf cerr_fcgi_streambuf(request.err);\r
303 \r
304         cout.rdbuf(&cout_fcgi_streambuf);\r
305         cerr.rdbuf(&cerr_fcgi_streambuf);\r
306 \r
307         try {\r
308             xmltooling::NDC ndc("FastCGI shibauthorizer");\r
309             ShibTargetFCGIAuth sta(&request, g_ServerScheme.c_str(), g_ServerName.c_str(), g_ServerPort);\r
310 \r
311             pair<bool,long> res = sta.getServiceProvider().doAuthentication(sta);\r
312             if (res.first) {\r
313 #ifdef _DEBUG\r
314                 cerr << "shib: doAuthentication handled the request" << endl;\r
315 #endif\r
316                 switch(res.second) {\r
317                     case SHIB_RETURN_OK:\r
318                         print_ok(sta.m_request_headers);\r
319                         continue;\r
320 \r
321                     case SHIB_RETURN_KO:\r
322                         print_ok(sta.m_request_headers);\r
323                         continue;\r
324 \r
325                     case SHIB_RETURN_DONE:\r
326                         continue;\r
327 \r
328                     default:\r
329                         cerr << "shib: doAuthentication returned an unexpected result: " << res.second << endl;\r
330                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
331                         continue;\r
332                 }\r
333             }\r
334 \r
335             res = sta.getServiceProvider().doExport(sta);\r
336             if (res.first) {\r
337 #ifdef _DEBUG\r
338                 cerr << "shib: doExport handled request" << endl;\r
339 #endif\r
340                 switch(res.second) {\r
341                     case SHIB_RETURN_OK:\r
342                         print_ok(sta.m_request_headers);\r
343                         continue;\r
344 \r
345                     case SHIB_RETURN_KO:\r
346                         print_ok(sta.m_request_headers);\r
347                         continue;\r
348 \r
349                     case SHIB_RETURN_DONE:\r
350                         continue;\r
351 \r
352                     default:\r
353                         cerr << "shib: doExport returned an unexpected result: " << res.second << endl;\r
354                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
355                         continue;\r
356                 }\r
357             }\r
358 \r
359             res = sta.getServiceProvider().doAuthorization(sta);\r
360             if (res.first) {\r
361 #ifdef _DEBUG\r
362                 cerr << "shib: doAuthorization handled request" << endl;\r
363 #endif\r
364                 switch(res.second) {\r
365                     case SHIB_RETURN_OK:\r
366                         print_ok(sta.m_request_headers);\r
367                         continue;\r
368 \r
369                     case SHIB_RETURN_KO:\r
370                         print_ok(sta.m_request_headers);\r
371                         continue;\r
372 \r
373                     case SHIB_RETURN_DONE:\r
374                         continue;\r
375 \r
376                     default:\r
377                         cerr << "shib: doAuthorization returned an unexpected result: " << res.second << endl;\r
378                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
379                         continue;\r
380                 }\r
381             }\r
382 \r
383             print_ok(sta.m_request_headers);\r
384 \r
385         }\r
386         catch (exception& e) {\r
387             cerr << "shib: FastCGI authorizer caught an exception: " << e.what() << endl;\r
388             print_error("<html><body>FastCGI Shibboleth authorizer caught an exception, check log for details.</body></html>");\r
389         }\r
390 \r
391         // If the output streambufs had non-zero bufsizes and\r
392         // were constructed outside of the accept loop (i.e.\r
393         // their destructor won't be called here), they would\r
394         // have to be flushed here.\r
395     }\r
396     cout << "Request loop ended." << endl;\r
397 \r
398     cout.rdbuf(cout_streambuf);\r
399     cerr.rdbuf(cerr_streambuf);\r
400 \r
401     if (g_Config)\r
402         g_Config->term();\r
403 \r
404     return 0;\r
405 }\r
Shibboleth SP