saml/saml2/profile/impl/BearerConfirmationRule.cpp

   1 /*
   2  *  Copyright 2009 Internet2
   3  *
   4  * Licensed under the Apache License, Version 2.0 (the "License");
   5  * you may not use this file except in compliance with the License.
   6  * You may obtain a copy of the License at
   7  *
   8  *     http://www.apache.org/licenses/LICENSE-2.0
   9  *
  10  * Unless required by applicable law or agreed to in writing, software
  11  * distributed under the License is distributed on an "AS IS" BASIS,
  12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  13  * See the License for the specific language governing permissions and
  14  * limitations under the License.
  15  */
  16
  17 /**
  18  * BearerConfirmationRule.cpp
  19  *
  20  * SAML 2.0 Bearer SubjectConfirmation SecurityPolicyRule
  21  */
  22
  23 #include "internal.h"
  24 #include "exceptions.h"
  25 #include "binding/SecurityPolicyRule.h"
  26 #include "saml2/core/Assertions.h"
  27 #include "saml2/profile/SAML2AssertionPolicy.h"
  28
  29 #include <xercesc/util/XMLUniDefs.hpp>
  30 #include <xmltooling/logging.h>
  31 #include <xmltooling/XMLToolingConfig.h>
  32 #include <xmltooling/io/HTTPRequest.h>
  33
  34 using namespace opensaml::saml2;
  35 using namespace xmltooling;
  36 using namespace std;
  37
  38 namespace opensaml {
  39     namespace saml2 {
  40
  41         class SAML_DLLLOCAL BearerConfirmationRule : public opensaml::SecurityPolicyRule
  42         {
  43         public:
  44             BearerConfirmationRule(const DOMElement* e);
  45
  46             virtual ~BearerConfirmationRule() {
  47             }
  48             const char* getType() const {
  49                 return BEARER_POLICY_RULE;
  50             }
  51             bool evaluate(const XMLObject& message, const GenericRequest* request, opensaml::SecurityPolicy& policy) const;
  52
  53         private:
  54             bool m_validity, m_recipient, m_correlation, m_fatal;
  55         };
  56
  57         opensaml::SecurityPolicyRule* SAML_DLLLOCAL BearerConfirmationRuleFactory(const DOMElement* const & e)
  58         {
  59             return new BearerConfirmationRule(e);
  60         }
  61
  62         static const XMLCh checkValidity[] =    UNICODE_LITERAL_13(c,h,e,c,k,V,a,l,i,d,i,t,y);
  63         static const XMLCh checkRecipient[] =   UNICODE_LITERAL_14(c,h,e,c,k,R,e,c,i,p,i,e,n,t);
  64         static const XMLCh checkCorrelation[] = UNICODE_LITERAL_16(c,h,e,c,k,C,o,r,r,e,l,a,t,i,o,n);
  65         static const XMLCh missingFatal[] =     UNICODE_LITERAL_12(m,i,s,s,i,n,g,F,a,t,a,l);
  66     };
  67 };
  68
  69 BearerConfirmationRule::BearerConfirmationRule(const DOMElement* e) : m_validity(true), m_recipient(true), m_correlation(true), m_fatal(true)
  70 {
  71     const XMLCh* flag = e ? e->getAttributeNS(NULL, checkValidity) : NULL;
  72     m_validity = (!flag || (*flag != chLatin_f && *flag != chDigit_0));
  73     flag = e ? e->getAttributeNS(NULL, checkRecipient) : NULL;
  74     m_recipient = (!flag || (*flag != chLatin_f && *flag != chDigit_0));
  75     flag = e ? e->getAttributeNS(NULL, checkCorrelation) : NULL;
  76     m_correlation = (!flag || (*flag != chLatin_f && *flag != chDigit_0));
  77     flag = e ? e->getAttributeNS(NULL, missingFatal) : NULL;
  78     m_fatal = (!flag || (*flag != chLatin_f && *flag != chDigit_0));
  79 }
  80
  81 bool BearerConfirmationRule::evaluate(const XMLObject& message, const GenericRequest* request, opensaml::SecurityPolicy& policy) const
  82 {
  83     const Assertion* a=dynamic_cast<const Assertion*>(&message);
  84     if (!a)
  85         return false;
  86
  87     logging::Category& log = logging::Category::getInstance(SAML_LOGCAT".SecurityPolicyRule.BearerConfirmation");
  88
  89     const char* msg="assertion is missing bearer SubjectConfirmation";
  90     const Subject* subject = a->getSubject();
  91     if (subject) {
  92         const vector<SubjectConfirmation*>& confs = subject->getSubjectConfirmations();
  93         for (vector<SubjectConfirmation*>::const_iterator sc = confs.begin(); sc!=confs.end(); ++sc) {
  94             if (XMLString::equals((*sc)->getMethod(), SubjectConfirmation::BEARER)) {
  95
  96                 const SubjectConfirmationDataType* data = dynamic_cast<const SubjectConfirmationDataType*>((*sc)->getSubjectConfirmationData());
  97
  98                 if (m_recipient) {
  99                     const HTTPRequest* httpRequest = dynamic_cast<const HTTPRequest*>(request);
 100                     if (httpRequest && httpRequest->getRequestURL()) {
 101                         string dest = httpRequest->getRequestURL();
 102                         auto_ptr_XMLCh destination(dest.substr(0,dest.find('?')).c_str());
 103                         if (!XMLString::equals(destination.get(), data ? data->getRecipient() : NULL)) {
 104                             msg = "bearer confirmation failed with recipient mismatch";
 105                             continue;
 106                         }
 107                     }
 108                 }
 109
 110                 if (m_correlation && policy.getCorrelationID() && *(policy.getCorrelationID())) {
 111                     if (!XMLString::equals(policy.getCorrelationID(), data ? data->getInResponseTo() : NULL)) {
 112                         msg = "bearer confirmation failed with request correlation mismatch";
 113                         continue;
 114                     }
 115                 }
 116
 117                 if (m_validity) {
 118                     if (!data || !data->getNotOnOrAfter()) {
 119                         msg = "bearer SubjectConfirmationData missing NotOnOrAfter attribute";
 120                         continue;
 121                     }
 122                     else if (data->getNotOnOrAfterEpoch() <= policy.getTime() - XMLToolingConfig::getConfig().clock_skew_secs) {
 123                         msg = "bearer confirmation has expired";
 124                         continue;
 125                     }
 126
 127                     if (data && data->getNotBefore() && policy.getTime() + XMLToolingConfig::getConfig().clock_skew_secs < data->getNotBeforeEpoch()) {
 128                         msg = "bearer confirmation not yet valid";
 129                         continue;
 130                     }
 131                 }
 132
 133                 SAML2AssertionPolicy* saml2policy = dynamic_cast<SAML2AssertionPolicy*>(&policy);
 134                 if (saml2policy)
 135                     saml2policy->setSubjectConfirmation(*sc);
 136                 log.debug("assertion satisfied bearer confirmation requirements");
 137                 return true;
 138             }
 139         }
 140     }
 141
 142     log.error(msg ? msg : "no error message");
 143     if (m_fatal)
 144         throw SecurityPolicyException("Unable to locate satisfiable bearer SubjectConfirmation in assertion.");
 145     return false;
 146 }