projects / shibboleth / cpp-sp.git / blob
? search:


6a8051ad738b77605e097d47aca13676a16781d4
[shibboleth/cpp-sp.git] / fastcgi / shibauthorizer.cpp
1 /*\r
2  *  Copyright 2001-2007 Internet2\r
3  *\r
4  * Licensed under the Apache License, Version 2.0 (the "License");\r
5  * you may not use this file except in compliance with the License.\r
6  * You may obtain a copy of the License at\r
7  *\r
8  *     http://www.apache.org/licenses/LICENSE-2.0\r
9  *\r
10  * Unless required by applicable law or agreed to in writing, software\r
11  * distributed under the License is distributed on an "AS IS" BASIS,\r
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.\r
13  * See the License for the specific language governing permissions and\r
14  * limitations under the License.\r
15  */\r
16 \r
17 /* shibauthorizer.cpp - Shibboleth FastCGI Authorizer\r
18 \r
19    Andre Cruz\r
20 */\r
21 \r
22 #define SHIBSP_LITE\r
23 #include "config_win32.h"\r
24 \r
25 #define _CRT_NONSTDC_NO_DEPRECATE 1\r
26 #define _CRT_SECURE_NO_DEPRECATE 1\r
27 #define _SCL_SECURE_NO_WARNINGS 1\r
28 \r
29 #include <shibsp/AbstractSPRequest.h>\r
30 #include <shibsp/SPConfig.h>\r
31 #include <shibsp/ServiceProvider.h>\r
32 #include <xmltooling/unicode.h>\r
33 #include <xmltooling/XMLToolingConfig.h>\r
34 #include <xmltooling/util/NDC.h>\r
35 #include <xmltooling/util/XMLConstants.h>\r
36 #include <xmltooling/util/XMLHelper.h>\r
37 #include <xercesc/util/XMLUniDefs.hpp>\r
38 \r
39 #include <stdexcept>\r
40 #include <stdlib.h>\r
41 #ifdef HAVE_UNISTD_H\r
42 # include <unistd.h>\r
43 # include <sys/mman.h>\r
44 #endif\r
45 #include <fcgio.h>\r
46 \r
47 using namespace shibsp;\r
48 using namespace xmltooling;\r
49 using namespace xercesc;\r
50 using namespace std;\r
51 \r
52 static const XMLCh path[] =     UNICODE_LITERAL_4(p,a,t,h);\r
53 static const XMLCh validate[] = UNICODE_LITERAL_8(v,a,l,i,d,a,t,e);\r
54 \r
55 typedef enum {\r
56     SHIB_RETURN_OK,\r
57     SHIB_RETURN_KO,\r
58     SHIB_RETURN_DONE\r
59 } shib_return_t;\r
60 \r
61 class ShibTargetFCGIAuth : public AbstractSPRequest\r
62 {\r
63     FCGX_Request* m_req;\r
64     int m_port;\r
65     string m_scheme,m_hostname;\r
66     multimap<string,string> m_response_headers;\r
67 public:\r
68     map<string,string> m_request_headers;\r
69 \r
70     ShibTargetFCGIAuth(FCGX_Request* req, const char* scheme=NULL, const char* hostname=NULL, int port=0)\r
71             : AbstractSPRequest(SHIBSP_LOGCAT".FastCGI"), m_req(req) {\r
72         const char* server_name_str = hostname;\r
73         if (!server_name_str || !*server_name_str)\r
74             server_name_str = FCGX_GetParam("SERVER_NAME", req->envp);\r
75         m_hostname = server_name_str;\r
76 \r
77         m_port = port;\r
78         if (!m_port) {\r
79             char* server_port_str = FCGX_GetParam("SERVER_PORT", req->envp);\r
80             m_port = strtol(server_port_str, &server_port_str, 10);\r
81             if (*server_port_str) {\r
82                 cerr << "can't parse SERVER_PORT (" << FCGX_GetParam("SERVER_PORT", req->envp) << ")" << endl;\r
83                 throw runtime_error("Unable to determine server port.");\r
84             }\r
85         }\r
86 \r
87         const char* server_scheme_str = scheme;\r
88         if (!server_scheme_str || !*server_scheme_str)\r
89             server_scheme_str = (m_port == 443 || m_port == 8443) ? "https" : "http";\r
90         m_scheme = server_scheme_str;\r
91 \r
92         setRequestURI(FCGX_GetParam("REQUEST_URI", m_req->envp));\r
93     }\r
94 \r
95     ~ShibTargetFCGIAuth() { }\r
96 \r
97     const char* getScheme() const {\r
98         return m_scheme.c_str();\r
99     }\r
100     const char* getHostname() const {\r
101         return m_hostname.c_str();\r
102     }\r
103     int getPort() const {\r
104         return m_port;\r
105     }\r
106     const char* getMethod() const {\r
107         return FCGX_GetParam("REQUEST_METHOD", m_req->envp);\r
108     }\r
109     string getContentType() const {\r
110         const char* s = FCGX_GetParam("CONTENT_TYPE", m_req->envp);\r
111         return s ? s : "";\r
112     }\r
113     long getContentLength() const {\r
114         const char* s = FCGX_GetParam("CONTENT_LENGTH", m_req->envp);\r
115         return s ? atol(s) : 0;\r
116     }\r
117     string getRemoteAddr() const {\r
118         string ret = AbstractSPRequest::getRemoteAddr();\r
119         if (!ret.empty())\r
120             return ret;\r
121         const char* s = FCGX_GetParam("REMOTE_ADDR", m_req->envp);\r
122         return s ? s : "";\r
123     }\r
124     void log(SPLogLevel level, const string& msg) const {\r
125         AbstractSPRequest::log(level,msg);\r
126         if (level >= SPError)\r
127             cerr << "shib: " << msg;\r
128     }\r
129     void clearHeader(const char* rawname, const char* cginame) {\r
130         // No need, since we use environment variables.\r
131     }\r
132     void setHeader(const char* name, const char* value) {\r
133         if (value)\r
134             m_request_headers[name] = value;\r
135         else\r
136             m_request_headers.erase(name);\r
137     }\r
138     string getHeader(const char* name) const {\r
139         // Look in the local map first.\r
140         map<string,string>::const_iterator i = m_request_headers.find(name);\r
141         if (i != m_request_headers.end())\r
142             return i->second;\r
143         // Nothing set locally and this isn't a "secure" call, so check the request.\r
144         string hdr("HTTP_");\r
145         for (; *name; ++name) {\r
146             if (*name=='-')\r
147                 hdr += '_';\r
148             else\r
149                 hdr += toupper(*name);\r
150         }\r
151         char* s = FCGX_GetParam(hdr.c_str(), m_req->envp);\r
152         return s ? s : "";\r
153     }\r
154     string getSecureHeader(const char* name) const {\r
155         // Look in the local map only.\r
156         map<string,string>::const_iterator i = m_request_headers.find(name);\r
157         if (i != m_request_headers.end())\r
158             return i->second;\r
159         return "";\r
160     }\r
161     void setRemoteUser(const char* user) {\r
162         if (user)\r
163             m_request_headers["REMOTE_USER"] = user;\r
164         else\r
165             m_request_headers.erase("REMOTE_USER");\r
166     }\r
167     string getRemoteUser() const {\r
168         map<string,string>::const_iterator i = m_request_headers.find("REMOTE_USER");\r
169         if (i != m_request_headers.end())\r
170             return i->second;\r
171         else {\r
172             char* remote_user = FCGX_GetParam("REMOTE_USER", m_req->envp);\r
173             if (remote_user)\r
174                 return remote_user;\r
175         }\r
176         return "";\r
177     }\r
178     void setResponseHeader(const char* name, const char* value) {\r
179         // Set for later.\r
180         if (value)\r
181             m_response_headers.insert(make_pair(name,value));\r
182         else\r
183             m_response_headers.erase(name);\r
184     }\r
185     const char* getQueryString() const {\r
186         return FCGX_GetParam("QUERY_STRING", m_req->envp);\r
187     }\r
188     const char* getRequestBody() const {\r
189         throw runtime_error("getRequestBody not implemented by FastCGI authorizer.");\r
190     }\r
191 \r
192     long sendResponse(istream& in, long status) {\r
193         string hdr = string("Connection: close\r\n");\r
194         for (multimap<string,string>::const_iterator i=m_response_headers.begin(); i!=m_response_headers.end(); ++i)\r
195             hdr += i->first + ": " + i->second + "\r\n";\r
196 \r
197         // We can't return 200 OK here or else the filter is bypassed\r
198         // so custom Shib errors will get turned into a generic page.\r
199         const char* codestr="Status: 500 Server Error";\r
200         switch (status) {\r
201             case XMLTOOLING_HTTP_STATUS_UNAUTHORIZED:   codestr="Status: 401 Authorization Required"; break;\r
202             case XMLTOOLING_HTTP_STATUS_FORBIDDEN:      codestr="Status: 403 Forbidden"; break;\r
203             case XMLTOOLING_HTTP_STATUS_NOTFOUND:       codestr="Status: 404 Not Found"; break;\r
204         }\r
205         cout << codestr << "\r\n" << hdr << "\r\n";\r
206         char buf[1024];\r
207         while (in) {\r
208             in.read(buf,1024);\r
209             cout.write(buf, in.gcount());\r
210         }\r
211         return SHIB_RETURN_DONE;\r
212     }\r
213 \r
214     long sendRedirect(const char* url) {\r
215         string hdr=string("Status: 302 Please Wait\r\nLocation: ") + url + "\r\n"\r
216           "Content-Type: text/html\r\n"\r
217           "Content-Length: 40\r\n"\r
218           "Expires: 01-Jan-1997 12:00:00 GMT\r\n"\r
219           "Cache-Control: private,no-store,no-cache\r\n";\r
220         for (multimap<string,string>::const_iterator i=m_response_headers.begin(); i!=m_response_headers.end(); ++i)\r
221             hdr += i->first + ": " + i->second + "\r\n";\r
222         hdr += "\r\n";\r
223 \r
224         cout << hdr << "<HTML><BODY>Redirecting...</BODY></HTML>";\r
225         return SHIB_RETURN_DONE;\r
226     }\r
227 \r
228     long returnDecline() {\r
229         return SHIB_RETURN_KO;\r
230     }\r
231 \r
232     long returnOK() {\r
233         return SHIB_RETURN_OK;\r
234     }\r
235 \r
236     const vector<string>& getClientCertificates() const {\r
237         static vector<string> g_NoCerts;\r
238         return g_NoCerts;\r
239     }\r
240 };\r
241 \r
242 static void print_ok(const map<string,string>& headers)\r
243 {\r
244     cout << "Status: 200 OK" << "\r\n";\r
245     for (map<string,string>::const_iterator iter = headers.begin(); iter != headers.end(); iter++) {\r
246         cout << "Variable-" << iter->first << ": " << iter->second << "\r\n";\r
247     }\r
248     cout << "\r\n";\r
249 }\r
250 \r
251 static void print_error(const char* msg)\r
252 {\r
253     cout << "Status: 500 Server Error" << "\r\n\r\n" << msg;\r
254 }\r
255 \r
256 int main(void)\r
257 {\r
258     SPConfig* g_Config=&SPConfig::getConfig();\r
259     g_Config->setFeatures(\r
260         SPConfig::Listener |\r
261         SPConfig::Caching |\r
262         SPConfig::RequestMapping |\r
263         SPConfig::InProcess |\r
264         SPConfig::Logging |\r
265         SPConfig::Handlers\r
266         );\r
267     if (!g_Config->init()) {\r
268         cerr << "failed to initialize Shibboleth libraries" << endl;\r
269         exit(1);\r
270     }\r
271 \r
272     try {\r
273         if (!g_Config->instantiate(NULL, true))\r
274             throw runtime_error("unknown error");\r
275     }\r
276     catch (exception& ex) {\r
277         g_Config->term();\r
278         cerr << "exception while initializing Shibboleth configuration: " << ex.what() << endl;\r
279         exit(1);\r
280     }\r
281 \r
282     string g_ServerScheme;\r
283     string g_ServerName;\r
284     int g_ServerPort=0;\r
285 \r
286     // Load "authoritative" URL fields.\r
287     char* var = getenv("SHIBSP_SERVER_NAME");\r
288     if (var)\r
289         g_ServerName = var;\r
290     var = getenv("SHIBSP_SERVER_SCHEME");\r
291     if (var)\r
292         g_ServerScheme = var;\r
293     var = getenv("SHIBSP_SERVER_PORT");\r
294     if (var)\r
295         g_ServerPort = atoi(var);\r
296 \r
297     streambuf* cout_streambuf = cout.rdbuf();\r
298     streambuf* cerr_streambuf = cerr.rdbuf();\r
299 \r
300     FCGX_Request request;\r
301 \r
302     FCGX_Init();\r
303     FCGX_InitRequest(&request, 0, 0);\r
304 \r
305     cout << "Shibboleth initialization complete. Starting request loop." << endl;\r
306     while (FCGX_Accept_r(&request) == 0)\r
307     {\r
308         // Note that the default bufsize (0) will cause the use of iostream\r
309         // methods that require positioning (such as peek(), seek(),\r
310         // unget() and putback()) to fail (in favour of more efficient IO).\r
311         fcgi_streambuf cout_fcgi_streambuf(request.out);\r
312         fcgi_streambuf cerr_fcgi_streambuf(request.err);\r
313 \r
314         cout.rdbuf(&cout_fcgi_streambuf);\r
315         cerr.rdbuf(&cerr_fcgi_streambuf);\r
316 \r
317         try {\r
318             xmltooling::NDC ndc("FastCGI shibauthorizer");\r
319             ShibTargetFCGIAuth sta(&request, g_ServerScheme.c_str(), g_ServerName.c_str(), g_ServerPort);\r
320 \r
321             pair<bool,long> res = sta.getServiceProvider().doAuthentication(sta);\r
322             if (res.first) {\r
323                 sta.log(SPRequest::SPDebug, "shib: doAuthentication handled the request");\r
324                 switch(res.second) {\r
325                     case SHIB_RETURN_OK:\r
326                         print_ok(sta.m_request_headers);\r
327                         continue;\r
328 \r
329                     case SHIB_RETURN_KO:\r
330                         print_ok(sta.m_request_headers);\r
331                         continue;\r
332 \r
333                     case SHIB_RETURN_DONE:\r
334                         continue;\r
335 \r
336                     default:\r
337                         cerr << "shib: doAuthentication returned an unexpected result: " << res.second << endl;\r
338                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
339                         continue;\r
340                 }\r
341             }\r
342 \r
343             res = sta.getServiceProvider().doExport(sta);\r
344             if (res.first) {\r
345                 sta.log(SPRequest::SPDebug, "shib: doExport handled request");\r
346                 switch(res.second) {\r
347                     case SHIB_RETURN_OK:\r
348                         print_ok(sta.m_request_headers);\r
349                         continue;\r
350 \r
351                     case SHIB_RETURN_KO:\r
352                         print_ok(sta.m_request_headers);\r
353                         continue;\r
354 \r
355                     case SHIB_RETURN_DONE:\r
356                         continue;\r
357 \r
358                     default:\r
359                         cerr << "shib: doExport returned an unexpected result: " << res.second << endl;\r
360                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
361                         continue;\r
362                 }\r
363             }\r
364 \r
365             res = sta.getServiceProvider().doAuthorization(sta);\r
366             if (res.first) {\r
367                 sta.log(SPRequest::SPDebug, "shib: doAuthorization handled request");\r
368                 switch(res.second) {\r
369                     case SHIB_RETURN_OK:\r
370                         print_ok(sta.m_request_headers);\r
371                         continue;\r
372 \r
373                     case SHIB_RETURN_KO:\r
374                         print_ok(sta.m_request_headers);\r
375                         continue;\r
376 \r
377                     case SHIB_RETURN_DONE:\r
378                         continue;\r
379 \r
380                     default:\r
381                         cerr << "shib: doAuthorization returned an unexpected result: " << res.second << endl;\r
382                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
383                         continue;\r
384                 }\r
385             }\r
386 \r
387             print_ok(sta.m_request_headers);\r
388 \r
389         }\r
390         catch (exception& e) {\r
391             cerr << "shib: FastCGI authorizer caught an exception: " << e.what() << endl;\r
392             print_error("<html><body>FastCGI Shibboleth authorizer caught an exception, check log for details.</body></html>");\r
393         }\r
394 \r
395         // If the output streambufs had non-zero bufsizes and\r
396         // were constructed outside of the accept loop (i.e.\r
397         // their destructor won't be called here), they would\r
398         // have to be flushed here.\r
399     }\r
400     cout << "Request loop ended." << endl;\r
401 \r
402     cout.rdbuf(cout_streambuf);\r
403     cerr.rdbuf(cerr_streambuf);\r
404 \r
405     if (g_Config)\r
406         g_Config->term();\r
407 \r
408     return 0;\r
409 }\r
Unnamed repository; edit this file 'description' to name the repository.