Source for file auth.php

Documentation is available at auth.php

  1. <?php
  2.  
  3. /**
  4.  * auth.php
  5.  *
  6.  * Contains functions used to do authentication.
  7.  * 
  8.  * Dependencies:
  9.  *  functions/global.php
  10.  *  functions/strings.php.
  11.  *
  12.  * @copyright 1999-2010 The SquirrelMail Project Team
  13.  * @license http://opensource.org/licenses/gpl-license.php GNU Public License
  14.  * @version $Id: auth.php 13894 2010-01-25 03:23:30Z pdontthink $
  15.  * @package squirrelmail
  16.  */
  17.  
  18.  
  19. /**
  20.  * Detect whether user is logged in
  21.  *
  22.  * Function is similar to is_logged_in() function. If user is logged in, function
  23.  * returns true. If user is not logged in or session is expired, function saves $_POST
  24.  * and PAGE_NAME in session and returns false. POST information is saved in
  25.  * 'session_expired_post' variable, PAGE_NAME is saved in 'session_expired_location'.
  26.  *
  27.  * This function optionally checks the referrer of this page request.  If the
  28.  * administrator wants to impose a check that the referrer of this page request
  29.  * is another page on the same domain (otherwise, the page request is likely
  30.  * the result of a XSS or phishing attack), then they need to specify the
  31.  * acceptable referrer domain in a variable named $check_referrer in
  32.  * config/config.php (or the configuration tool) for which the value is
  33.  * usually the same as the $domain setting (for example:
  34.  *    $check_referrer = 'example.com';
  35.  * However, in some cases (where proxy servers are in use, etc.), the
  36.  * acceptable referrer might be different.  If $check_referrer is set to
  37.  * "###DOMAIN###", then the current value of $domain is used (useful in
  38.  * situations where $domain might change at runtime (when using the Login
  39.  * Manager plugin to host multiple domains with one SquirrelMail installation,
  40.  * for example)):
  41.  *    $check_referrer = '###DOMAIN###';
  42.  * NOTE HOWEVER, that referrer checks are not foolproof - they can be spoofed
  43.  * by browsers, and some browsers intentionally don't send them, in which
  44.  * case SquirrelMail silently ignores referrer checks.
  45.  *
  46.  * Script that uses this function instead of is_logged_in() function, must handle user
  47.  * level messages.
  48.  * @return boolean 
  49.  * @since 1.5.1
  50.  */
  51. function sqauth_is_logged_in({
  52.  
  53.     global $check_referrer$domain;
  54.     if (!sqgetGlobalVar('HTTP_REFERER'$referrerSQ_SERVER)) $referrer '';
  55.     if ($check_referrer == '###DOMAIN###'$check_referrer $domain;
  56.     if (!empty($check_referrer)) {
  57.         $ssl_check_referrer 'https://' $check_referrer;
  58.         $plain_check_referrer 'http://' $check_referrer;
  59.     }
  60.     if (sqsession_is_registered('user_is_logged_in')
  61.      && (!$check_referrer || empty($referrer)
  62.       || ($check_referrer && !empty($referrer)
  63.        && (strpos(strtolower($referrer)strtolower($plain_check_referrer)) === 0
  64.         || strpos(strtolower($referrer)strtolower($ssl_check_referrer)) === 0)))) {
  65.         return true;
  66.     }
  67.  
  68.     //  First we store some information in the new session to prevent
  69.     //  information-loss.
  70.     $session_expired_post $_POST;
  71.     if (defined('PAGE_NAME'))
  72.         $session_expired_location PAGE_NAME;
  73.     else
  74.         $session_expired_location '';
  75.  
  76.     if (!sqsession_is_registered('session_expired_post')) {
  77.         sqsession_register($session_expired_post,'session_expired_post');
  78.     }
  79.     if (!sqsession_is_registered('session_expired_location')) {
  80.         sqsession_register($session_expired_location,'session_expired_location');
  81.     }
  82.  
  83.     session_write_close();
  84.  
  85.     return false;
  86. }
  87.  
  88. /**
  89.  * Reads and decodes stored user password information
  90.  *
  91.  * Direct access to password information is deprecated.
  92.  * @return string password in plain text
  93.  * @since 1.5.1
  94.  */
  95. function sqauth_read_password({
  96.     sqgetGlobalVar('key',         $key,       SQ_COOKIE);
  97.     sqgetGlobalVar('onetimepad',  $onetimepad,SQ_SESSION);
  98.  
  99.     return OneTimePadDecrypt($key$onetimepad);
  100. }
  101.  
  102. /**
  103.  * Saves or updates user password information
  104.  *
  105.  * This function is used to update the password information that
  106.  * SquirrelMail stores in the existing PHP session. It does NOT
  107.  * modify the password stored in the authentication system used
  108.  * by the IMAP server.
  109.  *
  110.  * This function must be called before any html output is started.
  111.  * Direct access to password information is deprecated. The saved
  112.  * password information is available only to the SquirrelMail script
  113.  * that is called/executed AFTER the current one. If your script
  114.  * needs access to the saved password after a sqauth_save_password()
  115.  * call, use the returned OTP encrypted key.
  116.  *
  117.  * @param string $pass password
  118.  *
  119.  * @return string Password encrypted with OTP. In case the script
  120.  *                 wants to access the password information before
  121.  *                 the end of its execution.
  122.  *
  123.  * @since 1.5.1
  124.  *
  125.  */
  126. function sqauth_save_password($pass{
  127.     sqgetGlobalVar('base_uri',    $base_uri,   SQ_SESSION);
  128.  
  129.     $onetimepad OneTimePadCreate(strlen($pass));
  130.     sqsession_register($onetimepad,'onetimepad');
  131.     $key OneTimePadEncrypt($pass$onetimepad);
  132.     sqsetcookie('key'$keyfalse$base_uri);
  133.     return $key;
  134. }
  135.  
  136. /**
  137.  * Given the challenge from the server, supply the response using cram-md5 (See
  138.  * RFC 2195 for details)
  139.  *
  140.  * @param string $username User ID
  141.  * @param string $password User password supplied by User
  142.  * @param string $challenge The challenge supplied by the server
  143.  * @return string The response to be sent to the IMAP server
  144.  * @since 1.4.0
  145.  */
  146. function cram_md5_response ($username,$password,$challenge{
  147.     $challenge=base64_decode($challenge);
  148.     $hash=bin2hex(hmac_md5($challenge,$password));
  149.     $response=base64_encode($username " " $hash"\r\n";
  150.     return $response;
  151. }
  152.  
  153. /**
  154.  * Return Digest-MD5 response.
  155.  * Given the challenge from the server, calculate and return the
  156.  * response-string for digest-md5 authentication.  (See RFC 2831 for more
  157.  * details)
  158.  *
  159.  * @param string $username User ID
  160.  * @param string $password User password supplied by User
  161.  * @param string $challenge The challenge supplied by the server
  162.  * @param string $service The service name, usually 'imap'; it is used to
  163.  *    define the digest-uri.
  164.  * @param string $host The host name, usually the server's FQDN; it is used to
  165.  *    define the digest-uri.
  166.  * @param string $authz Authorization ID (since 1.5.2)
  167.  * @return string The response to be sent to the IMAP server
  168.  * @since 1.4.0
  169.  */
  170. function digest_md5_response ($username,$password,$challenge,$service,$host,$authz=''{
  171.     $result=digest_md5_parse_challenge($challenge);
  172.     //FIXME we should check that $result contains the expected values that we use below
  173.  
  174.     // verify server supports qop=auth
  175.     // $qop = explode(",",$result['qop']);
  176.     //if (!in_array("auth",$qop)) {
  177.     // rfc2831: client MUST fail if no qop methods supported
  178.     // return false;
  179.     //}
  180.     $cnonce base64_encode(bin2hex(hmac_md5(microtime())));
  181.     $ncount "00000001";
  182.  
  183.     /* This can be auth (authentication only), auth-int (integrity protection), or
  184.        auth-conf (confidentiality protection).  Right now only auth is supported.
  185.        DO NOT CHANGE THIS VALUE */
  186.     $qop_value "auth";
  187.  
  188.     $digest_uri_value $service '/' $host;
  189.  
  190.     // build the $response_value
  191.     //FIXME This will probably break badly if a server sends more than one realm
  192.     $string_a1 utf8_encode($username).":";
  193.     $string_a1 .= utf8_encode($result['realm']).":";
  194.     $string_a1 .= utf8_encode($password);
  195.     $string_a1 hmac_md5($string_a1);
  196.     $A1 $string_a1 ":" $result['nonce'":" $cnonce;
  197.     if(!empty($authz)) {
  198.         $A1 .= ":" utf8_encode($authz);
  199.     }
  200.     $A1 bin2hex(hmac_md5($A1));
  201.     $A2 "AUTHENTICATE:$digest_uri_value";
  202.     // If qop is auth-int or auth-conf, A2 gets a little extra
  203.     if ($qop_value != 'auth'{
  204.         $A2 .= ':00000000000000000000000000000000';
  205.     }
  206.     $A2 bin2hex(hmac_md5($A2));
  207.  
  208.     $string_response $result['nonce'':' $ncount ':' $cnonce ':' $qop_value;
  209.     $response_value bin2hex(hmac_md5($A1.":".$string_response.":".$A2));
  210.  
  211.     $reply 'charset=utf-8,username="' $username '",realm="' $result["realm"'",';
  212.     $reply .= 'nonce="' $result['nonce''",nc=' $ncount ',cnonce="' $cnonce '",';
  213.     $reply .= "digest-uri=\"$digest_uri_value\",response=$response_value";
  214.     $reply .= ',qop=' $qop_value;
  215.     if(!empty($authz)) {
  216.         $reply .= ',authzid=' $authz;
  217.     }
  218.     $reply base64_encode($reply);
  219.     return $reply "\r\n";
  220.  
  221. }
  222.  
  223. /**
  224.  * Parse Digest-MD5 challenge.
  225.  * This function parses the challenge sent during DIGEST-MD5 authentication and
  226.  * returns an array. See the RFC for details on what's in the challenge string.
  227.  *
  228.  * @param string $challenge Digest-MD5 Challenge
  229.  * @return array Digest-MD5 challenge decoded data
  230.  * @since 1.4.0
  231.  */
  232. function digest_md5_parse_challenge($challenge{
  233.     $challenge=base64_decode($challenge);
  234.     $parsed array();
  235.     while (!empty($challenge)) {
  236.         if ($challenge{0== ','// First char is a comma, must not be 1st time through loop
  237.             $challenge=substr($challenge,1);
  238.         }
  239.         $key=explode('=',$challenge,2);
  240.         $challenge=$key[1];
  241.         $key=$key[0];
  242.         if ($challenge{0== '"'{
  243.             // We're in a quoted value
  244.             // Drop the first quote, since we don't care about it
  245.             $challenge=substr($challenge,1);
  246.             // Now explode() to the next quote, which is the end of our value
  247.             $val=explode('"',$challenge,2);
  248.             $challenge=$val[1]// The rest of the challenge, work on it in next iteration of loop
  249.             $value=explode(',',$val[0]);
  250.             // Now, for those quoted values that are only 1 piece..
  251.             if (sizeof($value== 1{
  252.                 $value=$value[0];  // Convert to non-array
  253.             }
  254.         else {
  255.             // We're in a "simple" value - explode to next comma
  256.             $val=explode(',',$challenge,2);
  257.             if (isset($val[1])) {
  258.                 $challenge=$val[1];
  259.             else {
  260.                 unset($challenge);
  261.             }
  262.             $value=$val[0];
  263.         }
  264.         $parsed["$key"]=$value;
  265.     // End of while loop
  266.     return $parsed;
  267. }
  268.  
  269. /**
  270.  * Creates a HMAC digest that can be used for auth purposes
  271.  * See RFCs 2104, 2617, 2831
  272.  * Uses mhash() extension if available
  273.  *
  274.  * @param string $data Data to apply hash function to.
  275.  * @param string $key Optional key, which, if supplied, will be used to
  276.  *  calculate data's HMAC.
  277.  * @return string HMAC Digest string
  278.  * @since 1.4.0
  279.  */
  280. function hmac_md5($data$key=''{
  281.     if (extension_loaded('mhash')) {
  282.         if ($key== ''{
  283.             $mhash=mhash(MHASH_MD5,$data);
  284.         else {
  285.             $mhash=mhash(MHASH_MD5,$data,$key);
  286.         }
  287.         return $mhash;
  288.     }
  289.     if (!$key{
  290.         return pack('H*',md5($data));
  291.     }
  292.     $key str_pad($key,64,chr(0x00));
  293.     if (strlen($key64{
  294.         $key pack("H*",md5($key));
  295.     }
  296.     $k_ipad =  $key str_repeat(chr(0x36)64;
  297.     $k_opad =  $key str_repeat(chr(0x5c)64;
  298.     /* Heh, let's get recursive. */
  299.     $hmac=hmac_md5($k_opad pack("H*",md5($k_ipad $data)) );
  300.     return $hmac;
  301. }
  302.  
  303. /**
  304.  * Fillin user and password based on SMTP auth settings.
  305.  *
  306.  * @param string $user Reference to SMTP username
  307.  * @param string $pass Reference to SMTP password (unencrypted)
  308.  * @since 1.4.11
  309.  */
  310. function get_smtp_user(&$user&$pass{
  311.     global $username$smtp_auth_mech,
  312.            $smtp_sitewide_user$smtp_sitewide_pass;
  313.  
  314.     if ($smtp_auth_mech == 'none'{
  315.         $user '';
  316.         $pass '';
  317.     elseif isset($smtp_sitewide_user&& isset($smtp_sitewide_pass&&
  318.                !empty($smtp_sitewide_user)) {
  319.         $user $smtp_sitewide_user;
  320.         $pass $smtp_sitewide_pass;
  321.     else {
  322.         $user $username;
  323.         $pass sqauth_read_password();
  324.     }
  325.  
  326.     // plugin authors note: override $user or $pass by
  327.     // directly changing the arguments array contents 
  328.     // in your plugin e.g., $args[0] = 'new_username';
  329.     //
  330.     $temp array(&$user&$pass);
  331.     do_hook('smtp_auth'$temp);
  332. }

Documentation generated on Mon, 06 Sep 2010 04:16:38 +0200 by phpDocumentor 1.4.3