projects / shibboleth / sp.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Path resolution for error templates.
[shibboleth/sp.git] / fastcgi / shibauthorizer.cpp
1 /*\r
2  *  Copyright 2001-2007 Internet2\r
3  * \r
4  * Licensed under the Apache License, Version 2.0 (the "License");\r
5  * you may not use this file except in compliance with the License.\r
6  * You may obtain a copy of the License at\r
7  *\r
8  *     http://www.apache.org/licenses/LICENSE-2.0\r
9  *\r
10  * Unless required by applicable law or agreed to in writing, software\r
11  * distributed under the License is distributed on an "AS IS" BASIS,\r
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.\r
13  * See the License for the specific language governing permissions and\r
14  * limitations under the License.\r
15  */\r
16 \r
17 /* shibauthorizer.cpp - Shibboleth FastCGI Authorizer\r
18 \r
19    Andre Cruz\r
20 */\r
21 \r
22 #define SHIBSP_LITE\r
23 #include "config_win32.h"\r
24 \r
25 #define _CRT_NONSTDC_NO_DEPRECATE 1\r
26 #define _CRT_SECURE_NO_DEPRECATE 1\r
27 #define _SCL_SECURE_NO_WARNINGS 1\r
28 \r
29 #include <shibsp/AbstractSPRequest.h>\r
30 #include <shibsp/SPConfig.h>\r
31 #include <shibsp/ServiceProvider.h>\r
32 #include <xmltooling/unicode.h>\r
33 #include <xmltooling/XMLToolingConfig.h>\r
34 #include <xmltooling/util/NDC.h>\r
35 #include <xmltooling/util/XMLConstants.h>\r
36 #include <xmltooling/util/XMLHelper.h>\r
37 #include <xercesc/util/XMLUniDefs.hpp>\r
38 \r
39 #include <stdexcept>\r
40 #include <stdlib.h>\r
41 #ifdef HAVE_UNISTD_H\r
42 # include <unistd.h>\r
43 # include <sys/mman.h>\r
44 #endif\r
45 #include <fcgio.h>\r
46 \r
47 using namespace shibsp;\r
48 using namespace xmltooling;\r
49 using namespace xercesc;\r
50 using namespace std;\r
51 \r
52 static const XMLCh path[] =     UNICODE_LITERAL_4(p,a,t,h);\r
53 static const XMLCh validate[] = UNICODE_LITERAL_8(v,a,l,i,d,a,t,e);\r
54 \r
55 typedef enum {\r
56     SHIB_RETURN_OK,\r
57     SHIB_RETURN_KO,\r
58     SHIB_RETURN_DONE\r
59 } shib_return_t;\r
60 \r
61 class ShibTargetFCGIAuth : public AbstractSPRequest\r
62 {\r
63     FCGX_Request* m_req;\r
64     int m_port;\r
65     string m_scheme,m_hostname;\r
66     multimap<string,string> m_response_headers;\r
67 public:\r
68     map<string,string> m_request_headers;\r
69 \r
70     ShibTargetFCGIAuth(FCGX_Request* req, const char* scheme=NULL, const char* hostname=NULL, int port=0)\r
71             : AbstractSPRequest(SHIBSP_LOGCAT".FastCGI"), m_req(req) {\r
72         const char* server_name_str = hostname;\r
73         if (!server_name_str || !*server_name_str)\r
74             server_name_str = FCGX_GetParam("SERVER_NAME", req->envp);\r
75         m_hostname = server_name_str;\r
76 \r
77         m_port = port;\r
78         if (!m_port) {\r
79             char* server_port_str = FCGX_GetParam("SERVER_PORT", req->envp);\r
80             m_port = strtol(server_port_str, &server_port_str, 10);\r
81             if (*server_port_str) {\r
82                 cerr << "can't parse SERVER_PORT (" << FCGX_GetParam("SERVER_PORT", req->envp) << ")" << endl;\r
83                 throw runtime_error("Unable to determine server port.");\r
84             }\r
85         }\r
86 \r
87         const char* server_scheme_str = scheme;\r
88         if (!server_scheme_str || !*server_scheme_str)\r
89             server_scheme_str = (m_port == 443 || m_port == 8443) ? "https" : "http";\r
90         m_scheme = server_scheme_str;\r
91 \r
92         setRequestURI(FCGX_GetParam("REQUEST_URI", m_req->envp));\r
93     }\r
94 \r
95     ~ShibTargetFCGIAuth() { }\r
96 \r
97     const char* getScheme() const {\r
98         return m_scheme.c_str();\r
99     }\r
100     const char* getHostname() const {\r
101         return m_hostname.c_str();\r
102     }\r
103     int getPort() const {\r
104         return m_port;\r
105     }\r
106     const char* getMethod() const {\r
107         return FCGX_GetParam("REQUEST_METHOD", m_req->envp);\r
108     }\r
109     string getContentType() const {\r
110         const char* s = FCGX_GetParam("CONTENT_TYPE", m_req->envp);\r
111         return s ? s : "";\r
112     }\r
113     long getContentLength() const {\r
114         const char* s = FCGX_GetParam("CONTENT_LENGTH", m_req->envp);\r
115         return s ? atol(s) : 0;\r
116     }\r
117     string getRemoteAddr() const {\r
118         const char* s = FCGX_GetParam("REMOTE_ADDR", m_req->envp);\r
119         return s ? s : "";\r
120     }\r
121     void log(SPLogLevel level, const string& msg) const {\r
122         AbstractSPRequest::log(level,msg);\r
123         if (level >= SPError)\r
124             cerr << "shib: " << msg;\r
125     }\r
126     void clearHeader(const char* rawname, const char* cginame) {\r
127         // no need, since request headers turn into actual environment variables\r
128     }\r
129     void setHeader(const char* name, const char* value) {\r
130         if (value)\r
131             m_request_headers[name] = value;\r
132         else\r
133             m_request_headers.erase(name);\r
134     }\r
135     virtual string getHeader(const char* name) const {\r
136         map<string,string>::const_iterator i = m_request_headers.find(name);\r
137         if (i != m_request_headers.end())\r
138             return i->second;\r
139         else\r
140             return "";\r
141     }\r
142     void setRemoteUser(const char* user) {\r
143         if (user)\r
144             m_request_headers["REMOTE_USER"] = user;\r
145         else\r
146             m_request_headers.erase("REMOTE_USER");\r
147     }\r
148     string getRemoteUser() const {\r
149         map<string,string>::const_iterator i = m_request_headers.find("REMOTE_USER");\r
150         if (i != m_request_headers.end())\r
151             return i->second;\r
152         else {\r
153             char* remote_user = FCGX_GetParam("REMOTE_USER", m_req->envp);\r
154             if (remote_user)\r
155                 return remote_user;\r
156         }\r
157         return "";\r
158     }\r
159     void setResponseHeader(const char* name, const char* value) {\r
160         // Set for later.\r
161         if (value)\r
162             m_response_headers.insert(make_pair(name,value));\r
163         else\r
164             m_response_headers.erase(name);\r
165     }\r
166     const char* getQueryString() const {\r
167         return FCGX_GetParam("QUERY_STRING", m_req->envp);\r
168     }\r
169     const char* getRequestBody() const {\r
170         throw runtime_error("getRequestBody not implemented by FastCGI authorizer.");\r
171     }\r
172  \r
173     long sendResponse(istream& in, long status) {\r
174         string hdr = string("Connection: close\r\n");\r
175         for (multimap<string,string>::const_iterator i=m_response_headers.begin(); i!=m_response_headers.end(); ++i)\r
176             hdr += i->first + ": " + i->second + "\r\n";\r
177 \r
178         // We can't return 200 OK here or else the filter is bypassed\r
179         // so custom Shib errors will get turned into a generic page.\r
180         const char* codestr="Status: 500 Server Error";\r
181         switch (status) {\r
182             case XMLTOOLING_HTTP_STATUS_UNAUTHORIZED:   codestr="Status: 401 Authorization Required"; break;\r
183             case XMLTOOLING_HTTP_STATUS_FORBIDDEN:      codestr="Status: 403 Forbidden"; break;\r
184             case XMLTOOLING_HTTP_STATUS_NOTFOUND:       codestr="Status: 404 Not Found"; break;\r
185         }\r
186         cout << codestr << "\r\n" << hdr << "\r\n";\r
187         char buf[1024];\r
188         while (in) {\r
189             in.read(buf,1024);\r
190             cout.write(buf, in.gcount());\r
191         }\r
192         return SHIB_RETURN_DONE;\r
193     }\r
194 \r
195     long sendRedirect(const char* url) {\r
196         string hdr=string("Status: 302 Please Wait\r\nLocation: ") + url + "\r\n"\r
197           "Content-Type: text/html\r\n"\r
198           "Content-Length: 40\r\n"\r
199           "Expires: 01-Jan-1997 12:00:00 GMT\r\n"\r
200           "Cache-Control: private,no-store,no-cache\r\n";\r
201         for (multimap<string,string>::const_iterator i=m_response_headers.begin(); i!=m_response_headers.end(); ++i)\r
202             hdr += i->first + ": " + i->second + "\r\n";\r
203         hdr += "\r\n";\r
204 \r
205         cout << hdr << "<HTML><BODY>Redirecting...</BODY></HTML>";\r
206         return SHIB_RETURN_DONE;\r
207     }\r
208 \r
209     long returnDecline() { \r
210         return SHIB_RETURN_KO;\r
211     }\r
212 \r
213     long returnOK() {\r
214         return SHIB_RETURN_OK;\r
215     }\r
216 \r
217     const vector<string>& getClientCertificates() const {\r
218         static vector<string> g_NoCerts;\r
219         return g_NoCerts;\r
220     }\r
221 };\r
222 \r
223 static void print_ok(const map<string,string>& headers)\r
224 {\r
225     cout << "Status: 200 OK" << "\r\n";\r
226     for (map<string,string>::const_iterator iter = headers.begin(); iter != headers.end(); iter++) {\r
227         cout << "Variable-" << iter->first << ": " << iter->second << "\r\n";\r
228     }\r
229     cout << "\r\n";\r
230 }\r
231 \r
232 static void print_error(const char* msg)\r
233 {\r
234     cout << "Status: 500 Server Error" << "\r\n\r\n" << msg;\r
235 }\r
236 \r
237 int main(void)\r
238 {\r
239     SPConfig* g_Config=&SPConfig::getConfig();\r
240     g_Config->setFeatures(\r
241         SPConfig::Listener |\r
242         SPConfig::Caching |\r
243         SPConfig::RequestMapping |\r
244         SPConfig::InProcess |\r
245         SPConfig::Logging |\r
246         SPConfig::Handlers\r
247         );\r
248     if (!g_Config->init()) {\r
249         cerr << "failed to initialize Shibboleth libraries" << endl;\r
250         exit(1);\r
251     }\r
252 \r
253     const char* config=getenv("SHIBSP_CONFIG");\r
254     if (!config)\r
255         config=SHIBSP_CONFIG;\r
256 \r
257     try {\r
258         DOMDocument* dummydoc=XMLToolingConfig::getConfig().getParser().newDocument();\r
259         XercesJanitor<DOMDocument> docjanitor(dummydoc);\r
260         DOMElement* dummy = dummydoc->createElementNS(NULL,path);\r
261         auto_ptr_XMLCh src(config);\r
262         dummy->setAttributeNS(NULL,path,src.get());\r
263         dummy->setAttributeNS(NULL,validate,xmlconstants::XML_ONE);\r
264 \r
265         g_Config->setServiceProvider(g_Config->ServiceProviderManager.newPlugin(XML_SERVICE_PROVIDER,dummy));\r
266         g_Config->getServiceProvider()->init();\r
267     }\r
268     catch (exception& ex) {\r
269         g_Config->term();\r
270         cerr << "exception while initializing Shibboleth configuration: " << ex.what() << endl;\r
271         exit(1);\r
272     }\r
273 \r
274     string g_ServerScheme;\r
275     string g_ServerName;\r
276     int g_ServerPort=0;\r
277 \r
278     // Load "authoritative" URL fields.\r
279     char* var = getenv("SHIBSP_SERVER_NAME");\r
280     if (var)\r
281         g_ServerName = var;\r
282     var = getenv("SHIBSP_SERVER_SCHEME");\r
283     if (var)\r
284         g_ServerScheme = var;\r
285     var = getenv("SHIBSP_SERVER_PORT");\r
286     if (var)\r
287         g_ServerPort = atoi(var);\r
288 \r
289     streambuf* cout_streambuf = cout.rdbuf();\r
290     streambuf* cerr_streambuf = cerr.rdbuf();\r
291 \r
292     FCGX_Request request;\r
293 \r
294     FCGX_Init();\r
295     FCGX_InitRequest(&request, 0, 0);\r
296     \r
297     cout << "Shibboleth initialization complete. Starting request loop." << endl;\r
298     while (FCGX_Accept_r(&request) == 0)\r
299     {\r
300         // Note that the default bufsize (0) will cause the use of iostream\r
301         // methods that require positioning (such as peek(), seek(),\r
302         // unget() and putback()) to fail (in favour of more efficient IO).\r
303         fcgi_streambuf cout_fcgi_streambuf(request.out);\r
304         fcgi_streambuf cerr_fcgi_streambuf(request.err);\r
305 \r
306         cout.rdbuf(&cout_fcgi_streambuf);\r
307         cerr.rdbuf(&cerr_fcgi_streambuf);\r
308 \r
309         try {\r
310             xmltooling::NDC ndc("FastCGI shibauthorizer");\r
311             ShibTargetFCGIAuth sta(&request, g_ServerScheme.c_str(), g_ServerName.c_str(), g_ServerPort);\r
312           \r
313             pair<bool,long> res = sta.getServiceProvider().doAuthentication(sta);\r
314             if (res.first) {\r
315 #ifdef _DEBUG\r
316                 cerr << "shib: doAuthentication handled the request" << endl;\r
317 #endif\r
318                 switch(res.second) {\r
319                     case SHIB_RETURN_OK:\r
320                         print_ok(sta.m_request_headers);\r
321                         continue;\r
322               \r
323                     case SHIB_RETURN_KO:\r
324                         print_ok(sta.m_request_headers);\r
325                         continue;\r
326 \r
327                     case SHIB_RETURN_DONE:\r
328                         continue;\r
329               \r
330                     default:\r
331                         cerr << "shib: doAuthentication returned an unexpected result: " << res.second << endl;\r
332                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
333                         continue;\r
334                 }\r
335             }\r
336           \r
337             res = sta.getServiceProvider().doExport(sta);\r
338             if (res.first) {\r
339 #ifdef _DEBUG\r
340                 cerr << "shib: doExport handled request" << endl;\r
341 #endif\r
342                 switch(res.second) {\r
343                     case SHIB_RETURN_OK:\r
344                         print_ok(sta.m_request_headers);\r
345                         continue;\r
346               \r
347                     case SHIB_RETURN_KO:\r
348                         print_ok(sta.m_request_headers);\r
349                         continue;\r
350 \r
351                     case SHIB_RETURN_DONE:\r
352                         continue;\r
353               \r
354                     default:\r
355                         cerr << "shib: doExport returned an unexpected result: " << res.second << endl;\r
356                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
357                         continue;\r
358                 }\r
359             }\r
360 \r
361             res = sta.getServiceProvider().doAuthorization(sta);\r
362             if (res.first) {\r
363 #ifdef _DEBUG\r
364                 cerr << "shib: doAuthorization handled request" << endl;\r
365 #endif\r
366                 switch(res.second) {\r
367                     case SHIB_RETURN_OK:\r
368                         print_ok(sta.m_request_headers);\r
369                         continue;\r
370               \r
371                     case SHIB_RETURN_KO:\r
372                         print_ok(sta.m_request_headers);\r
373                         continue;\r
374 \r
375                     case SHIB_RETURN_DONE:\r
376                         continue;\r
377               \r
378                     default:\r
379                         cerr << "shib: doAuthorization returned an unexpected result: " << res.second << endl;\r
380                         print_error("<html><body>FastCGI Shibboleth authorizer returned an unexpected result.</body></html>");\r
381                         continue;\r
382                 }\r
383             }\r
384 \r
385             print_ok(sta.m_request_headers);\r
386           \r
387         }\r
388         catch (exception& e) {\r
389             cerr << "shib: FastCGI authorizer caught an exception: " << e.what() << endl;\r
390             print_error("<html><body>FastCGI Shibboleth authorizer caught an exception, check log for details.</body></html>");\r
391         }\r
392 \r
393         // If the output streambufs had non-zero bufsizes and\r
394         // were constructed outside of the accept loop (i.e.\r
395         // their destructor won't be called here), they would\r
396         // have to be flushed here.\r
397     }\r
398     cout << "Request loop ended." << endl;\r
399 \r
400     cout.rdbuf(cout_streambuf);\r
401     cerr.rdbuf(cerr_streambuf);\r
402 \r
403     if (g_Config)\r
404         g_Config->term();\r
405  \r
406     return 0;\r
407 }\r
Shibboleth SP