source.dussan.org Git - sonarqube.git/blob

   1 /*
   2  * SonarQube
   3  * Copyright (C) 2009-2021 SonarSource SA
   4  * mailto:info AT sonarsource DOT com
   5  *
   6  * This program is free software; you can redistribute it and/or
   7  * modify it under the terms of the GNU Lesser General Public
   8  * License as published by the Free Software Foundation; either
   9  * version 3 of the License, or (at your option) any later version.
  10  *
  11  * This program is distributed in the hope that it will be useful,
  12  * but WITHOUT ANY WARRANTY; without even the implied warranty of
  13  * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
  14  * Lesser General Public License for more details.
  15  *
  16  * You should have received a copy of the GNU Lesser General Public License
  17  * along with this program; if not, write to the Free Software Foundation,
  18  * Inc., 51 Franklin Street, Fifth Floor, Boston, MA  02110-1301, USA.
  19  */
  20 package org.sonar.server.authentication;
  21
  22 import com.google.common.base.Strings;
  23 import com.google.common.reflect.TypeToken;
  24 import com.google.gson.Gson;
  25 import com.google.gson.GsonBuilder;
  26 import java.io.UnsupportedEncodingException;
  27 import java.lang.reflect.Type;
  28 import java.util.HashMap;
  29 import java.util.Map;
  30 import java.util.Optional;
  31 import java.util.regex.Pattern;
  32 import javax.annotation.Nullable;
  33 import javax.servlet.http.HttpServletRequest;
  34 import javax.servlet.http.HttpServletResponse;
  35
  36 import static java.net.URLDecoder.decode;
  37 import static java.nio.charset.StandardCharsets.UTF_8;
  38 import static java.util.Optional.empty;
  39 import static org.sonar.server.authentication.AuthenticationRedirection.encodeMessage;
  40 import static org.sonar.server.authentication.Cookies.findCookie;
  41 import static org.sonar.server.authentication.Cookies.newCookieBuilder;
  42
  43 public class OAuth2AuthenticationParametersImpl implements OAuth2AuthenticationParameters {
  44
  45   private static final String AUTHENTICATION_COOKIE_NAME = "AUTH-PARAMS";
  46   private static final int FIVE_MINUTES_IN_SECONDS = 5 * 60;
  47   private static final Pattern VALID_RETURN_TO = Pattern.compile("^/\\w.*");
  48
  49   /**
  50    * The HTTP parameter that contains the path where the user should be redirect to.
  51    * Please note that the web context is included.
  52    */
  53   private static final String RETURN_TO_PARAMETER = "return_to";
  54
  55   /**
  56    * This parameter is used to allow the update of login
  57    */
  58   private static final String ALLOW_LOGIN_UPDATE_PARAMETER = "allowUpdateLogin";
  59
  60   private static final Type JSON_MAP_TYPE = new TypeToken<HashMap<String, String>>() {
  61   }.getType();
  62
  63   @Override
  64   public void init(HttpServletRequest request, HttpServletResponse response) {
  65     String returnTo = request.getParameter(RETURN_TO_PARAMETER);
  66     Map<String, String> parameters = new HashMap<>();
  67     Optional<String> sanitizeRedirectUrl = sanitizeRedirectUrl(returnTo);
  68     sanitizeRedirectUrl.ifPresent(s -> parameters.put(RETURN_TO_PARAMETER, s));
  69     if (parameters.isEmpty()) {
  70       return;
  71     }
  72     response.addCookie(newCookieBuilder(request)
  73       .setName(AUTHENTICATION_COOKIE_NAME)
  74       .setValue(toJson(parameters))
  75       .setHttpOnly(true)
  76       .setExpiry(FIVE_MINUTES_IN_SECONDS)
  77       .build());
  78   }
  79
  80   @Override
  81   public Optional<String> getReturnTo(HttpServletRequest request) {
  82     return getParameter(request, RETURN_TO_PARAMETER)
  83       .flatMap(OAuth2AuthenticationParametersImpl::sanitizeRedirectUrl);
  84   }
  85
  86   private static Optional<String> getParameter(HttpServletRequest request, String parameterKey) {
  87     Optional<javax.servlet.http.Cookie> cookie = findCookie(AUTHENTICATION_COOKIE_NAME, request);
  88     if (!cookie.isPresent()) {
  89       return empty();
  90     }
  91
  92     Map<String, String> parameters = fromJson(cookie.get().getValue());
  93     if (parameters.isEmpty()) {
  94       return empty();
  95     }
  96     return Optional.ofNullable(parameters.get(parameterKey));
  97   }
  98
  99   @Override
 100   public void delete(HttpServletRequest request, HttpServletResponse response) {
 101     response.addCookie(newCookieBuilder(request)
 102       .setName(AUTHENTICATION_COOKIE_NAME)
 103       .setValue(null)
 104       .setHttpOnly(true)
 105       .setExpiry(0)
 106       .build());
 107   }
 108
 109   private static String toJson(Map<String, String> map) {
 110     Gson gson = new GsonBuilder().create();
 111     return encodeMessage(gson.toJson(map));
 112   }
 113
 114   private static Map<String, String> fromJson(String json) {
 115     Gson gson = new GsonBuilder().create();
 116     try {
 117       return gson.fromJson(decode(json, UTF_8.name()), JSON_MAP_TYPE);
 118     } catch (UnsupportedEncodingException e) {
 119       throw new IllegalStateException(e);
 120     }
 121   }
 122
 123   /**
 124    * This sanitization has been inspired by 'IsUrlLocalToHost()' method in
 125    * https://docs.microsoft.com/en-us/aspnet/mvc/overview/security/preventing-open-redirection-attacks
 126    */
 127   private static Optional<String> sanitizeRedirectUrl(@Nullable String url) {
 128     if (Strings.isNullOrEmpty(url)) {
 129       return empty();
 130     }
 131
 132     String sanitizedUrl = url.trim();
 133     boolean isValidUrl = VALID_RETURN_TO.matcher(sanitizedUrl).matches();
 134     if (!isValidUrl) {
 135       return empty();
 136     }
 137
 138     return Optional.of(sanitizedUrl);
 139   }
 140 }