common/tr_constraint.c

   1 /*
   2  * Copyright (c) 2012-2014, JANET(UK)
   3  * All rights reserved.
   4  *
   5  * Redistribution and use in source and binary forms, with or without
   6  * modification, are permitted provided that the following conditions
   7  * are met:
   8  *
   9  * 1. Redistributions of source code must retain the above copyright
  10  *    notice, this list of conditions and the following disclaimer.
  11  *
  12  * 2. Redistributions in binary form must reproduce the above copyright
  13  *    notice, this list of conditions and the following disclaimer in the
  14  *    documentation and/or other materials provided with the distribution.
  15  *
  16  * 3. Neither the name of JANET(UK) nor the names of its contributors
  17  *    may be used to endorse or promote products derived from this software
  18  *    without specific prior written permission.
  19  *
  20  * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS
  21  * "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT
  22  * LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS
  23  * FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE
  24  * COPYRIGHT HOLDER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT,
  25  * INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
  26  * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR
  27  * SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
  28  * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
  29  * STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
  30  * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
  31  * OF THE POSSIBILITY OF SUCH DAMAGE.
  32  *
  33  */
  34 #include <jansson.h>
  35 #include "jansson_iterators.h"
  36 #include <assert.h>
  37 #include <talloc.h>
  38
  39 #include <tr_filter.h>
  40 #include <tr_debug.h>
  41
  42 #include <trust_router/tr_constraint.h>
  43 #include <tid_internal.h>
  44
  45 /* Returns TRUE (1) if the the string (str) matchs the wildcard string (wc_str), FALSE (0) if not.
  46  */
  47 int tr_prefix_wildcard_match (const char *str, const char *wc_str) {
  48   const char *wc_post = wc_str;
  49   size_t len = 0;
  50   size_t wc_len = 0;
  51
  52   if ((!str) || (!wc_str))
  53     return 0;
  54
  55   len = strlen(str);
  56   if (0 == (wc_len = strlen(wc_str)))
  57     return 0;
  58
  59   /* TBD -- skip leading white space? */
  60   if ('*' == wc_str[0]) {
  61     wc_post = &(wc_str[1]);
  62     wc_len--;
  63   }else if (len != wc_len)
  64     return 0;
  65
  66
  67   if (wc_len > len)
  68     return 0;
  69
  70   if (0 == strcmp(&(str[len-wc_len]), wc_post)) {
  71     return 1;
  72   }
  73   else
  74     return 0;
  75   }
  76
  77 TR_CONSTRAINT_SET *tr_constraint_set_from_fline (TR_FLINE *fline)
  78 {
  79   json_t *cset = NULL;
  80
  81   if (!fline)
  82     return NULL;
  83
  84   if (fline->realm_cons)
  85     tr_constraint_add_to_set((TR_CONSTRAINT_SET **)&cset, fline->realm_cons);
  86   if (fline->domain_cons)
  87     tr_constraint_add_to_set((TR_CONSTRAINT_SET **)&cset, fline->domain_cons);
  88
  89   return (TR_CONSTRAINT_SET *) cset;
  90 }
  91
  92 /* A constraint set is represented in json as an array of constraint
  93  * objects.  So, a constraint set (cset) that consists of one realm
  94  * constraint and one domain constraint might look like:
  95  *
  96  *      {cset: [{domain: [a.com, b.co.uk]},
  97  *              {realm: [c.net, d.org]}]}
  98  */
  99
 100 void tr_constraint_add_to_set (TR_CONSTRAINT_SET **cset, TR_CONSTRAINT *cons)
 101 {
 102   json_t *jcons = NULL;
 103   json_t *jmatches = NULL;
 104   int i = 0;
 105
 106   if ((!cset) || (!cons))
 107     return;
 108
 109   /* If we don't already have a json object, create one */
 110   if (!(*cset))
 111     *cset = (TR_CONSTRAINT_SET *) json_array();
 112
 113   /* Create a json object representing cons */
 114   jmatches = json_array();
 115   jcons = json_object();
 116
 117   for (i = 0; ((i < TR_MAX_CONST_MATCHES) && (NULL != cons->matches[i])); i++) {
 118     json_array_append_new(jmatches, json_string(cons->matches[i]->buf));
 119   }
 120
 121   json_object_set_new(jcons, cons->type->buf, jmatches);
 122
 123   /* Add the created object to the cset object */
 124   json_array_append_new((json_t *) *cset, jcons);
 125 }
 126
 127  int tr_constraint_set_validate(TR_CONSTRAINT_SET *cset)
 128 {
 129   json_t *json = (json_t *) cset;
 130   size_t i;
 131   json_t *set_member;
 132   if (!json_is_array(json)){
 133     tr_debug("Constraint_set is not an array");
 134     return 0;
 135   }
 136   json_array_foreach(json, i, set_member) {
 137     json_t *value;
 138     const char *key;
 139     if (!json_is_object(set_member)) {
 140       tr_debug("Constraint member at %zu is not an object\n", i);
 141       return 0;
 142     }
 143     json_object_foreach( set_member, key, value) {
 144       size_t inner_index;
 145       json_t *inner_value;
 146       if (!json_is_array(value)) {
 147         tr_debug("Constraint type %s at index %zu in constraint set is not an array\n", key,
 148                  i);
 149         return 0;
 150       }
 151       json_array_foreach(value, inner_index, inner_value) {
 152         if (!json_is_string(inner_value)) {
 153           tr_debug("Constraint type %s at index %zu in constraint set has non-string element %zu\n",
 154                    key, i, inner_index);
 155           return 0;
 156         }
 157       }
 158         }
 159   }
 160   return 1;
 161 }
 162
 163
 164 TR_CONSTRAINT_SET *tr_constraint_set_filter( TID_REQ *request,
 165                                              TR_CONSTRAINT_SET *orig,
 166                                              const char *constraint_type)
 167 {
 168   json_t *orig_cset = (json_t*) orig;
 169   json_t  *new_cs = NULL;
 170   size_t index;
 171   json_t *set_member;
 172   if (!tr_constraint_set_validate( (TR_CONSTRAINT_SET *) orig_cset)) {
 173     tr_debug ("tr_constraint_set_filter: not a valid constraint set\n");
 174     return NULL;
 175   }
 176   assert (new_cs = json_array());
 177   json_array_foreach(orig_cset, index, set_member) {
 178     if (json_object_get( set_member, constraint_type))
 179       json_array_append(new_cs, set_member);
 180   }
 181   return (TR_CONSTRAINT_SET *) new_cs;
 182 }
 183
 184 /**
 185  * Within a given constraint object merge any overlapping domain or
 186  * realm constraints.  For example ['*','*.net'] can be simplified to
 187  * ['*']
 188  */
 189 static void merge_constraints(json_t *constraint, const char *key)
 190 {
 191   json_t *value_1, *value_2, *constraint_array;
 192   size_t index_1, index_2;
 193   /*
 194    * Go through the loop pairwise linear, removing elements where one
 195    * element is a subset of the other.  Always shrik the array from
 196    * the end so that index_1 never becomes invalid (swapping if
 197    * needed).
 198    */
 199   constraint_array = json_object_get(constraint, key);
 200   if (NULL == constraint_array)
 201       return;
 202   json_array_foreach( constraint_array, index_1, value_1)
 203     json_array_foreach( constraint_array, index_2, value_2) {
 204     if (index_2 <= index_1)
 205       continue;
 206     if ( tr_prefix_wildcard_match( json_string_value(value_2),
 207                                    json_string_value(value_1))) {
 208       json_array_remove(constraint_array, index_2);
 209       index_2--;
 210     }else if (tr_prefix_wildcard_match( json_string_value(value_1),
 211                                         json_string_value(value_2))) {
 212       json_array_set(constraint_array, index_1, value_2);
 213       json_array_remove(constraint_array, index_2);
 214       index_2--;
 215     }
 216   }
 217 }
 218
 219 /**
 220  * Returns an array of constraint strings that is the intersection of
 221  * all constraints in the constraint_set of type #type
 222  */
 223 static json_t *constraint_intersect_internal( TR_CONSTRAINT_SET *constraints,
 224                                               const char *constraint_type)
 225 {
 226   json_t *constraint, *result = NULL;
 227   size_t i;
 228   json_array_foreach( (json_t *) constraints, i, constraint) {
 229     merge_constraints( constraint, constraint_type);
 230     if (NULL == result) {
 231       result = json_object_get(constraint, constraint_type);
 232       if (NULL != result)
 233         result = json_copy(result);
 234     }    else {
 235       json_t *intersect, *value_1, *value_2;
 236       size_t index_1, index_2;
 237       intersect = json_object_get(constraint, constraint_type);
 238       /*If an element of the constraint set doesn't have a particular
 239        * constraint type, we ignore that element of the constraint set.
 240        * However, if no element of the constraint set has a particular
 241        *     constraint type we return empty (no access) rather than universal
 242        * access.*/
 243       if (!intersect)
 244         continue;
 245     result_loop:
 246       json_array_foreach(result, index_1, value_1) {
 247         json_array_foreach(intersect, index_2, value_2) {
 248           if (tr_prefix_wildcard_match( json_string_value(value_1),
 249                                         json_string_value(value_2)))
 250             goto result_acceptable;
 251           else if (tr_prefix_wildcard_match(json_string_value( value_2),
 252                                             json_string_value(value_1))) {
 253             json_array_set(result, index_1, value_2);
 254             goto result_acceptable;
 255         }
 256         }
 257         json_array_remove(result, index_1);
 258         if (index_1 == 0)
 259           goto result_loop;
 260         index_1--;
 261       result_acceptable: continue;
 262       }
 263     }
 264   }
 265   return result;
 266 }
 267
 268 /**
 269  * Return the intersection of domain and realm constraints.
 270  * Return is live until #request is freed.
 271  */
 272 TR_CONSTRAINT_SET *tr_constraint_set_intersect( TID_REQ *request,
 273                                                 TR_CONSTRAINT_SET *input)
 274 {
 275   json_t *domain=NULL, *realm=NULL;
 276   json_t *result = NULL, *result_array = NULL;
 277   if (tr_constraint_set_validate(input)) {
 278     domain = constraint_intersect_internal(input, "domain");
 279     realm = constraint_intersect_internal(input, "realm");
 280   }
 281   assert(result = json_object());
 282   if (domain)
 283     json_object_set_new(result, "domain", domain);
 284   if (realm)
 285     json_object_set_new(result, "realm", realm);
 286   assert(result_array = json_array());
 287   json_array_append_new(result_array, result);
 288   tid_req_cleanup_json( request, result_array);
 289   return (TR_CONSTRAINT_SET *) result_array;
 290 }
 291
 292
 293 int tr_constraint_set_get_match_strings(
 294                                         TID_REQ *request,
 295                                         TR_CONSTRAINT_SET *constraints,
 296                                         const char *constraint_type,
 297                                         tr_const_string **output,
 298                                         size_t *output_len)
 299 {
 300   json_t *cset = (json_t *) constraints;
 301   json_t *member, *matches, *value;;
 302   size_t index, array_size;
 303   assert (output && output_len);
 304   *output = NULL;
 305   *output_len = 0;
 306   if (json_array_size(cset) != 1) {
 307     tr_debug("Constraint set for get_match_strings has more than one member\n");
 308     return -1;
 309   }
 310   member = json_array_get(cset, 0);
 311   matches = json_object_get(member, constraint_type);
 312   if (!matches)
 313     return -1;
 314   array_size = json_array_size(matches);
 315   if (array_size == 0)
 316     return -1;
 317   *output = talloc_array_ptrtype(request, *output, array_size);
 318   json_array_foreach( matches, index, value)
 319     (*output)[index] = json_string_value(value);
 320   *output_len = array_size;
 321   return 0;
 322 }