vendor/pimcore/pimcore/bundles/AdminBundle/Controller/Admin/LoginController.php line 55

Open in your IDE?
  1. <?php
  3. /**
  4.  * Pimcore
  5.  *
  6.  * This source file is available under two different licenses:
  7.  * - GNU General Public License version 3 (GPLv3)
  8.  * - Pimcore Commercial License (PCL)
  9.  * Full copyright and license information is available in
  10.  * LICENSE.md which is distributed with this source code.
  11.  *
  12.  *  @copyright  Copyright (c) Pimcore GmbH (http://www.pimcore.org)
  13.  *  @license    http://www.pimcore.org/license     GPLv3 and PCL
  14.  */
  16. namespace Pimcore\Bundle\AdminBundle\Controller\Admin;
  18. use Pimcore\Bundle\AdminBundle\Controller\AdminAbstractController;
  19. use Pimcore\Bundle\AdminBundle\Controller\BruteforceProtectedControllerInterface;
  20. use Pimcore\Bundle\AdminBundle\Security\Authenticator\AdminLoginAuthenticator;
  21. use Pimcore\Bundle\AdminBundle\Security\BruteforceProtectionHandler;
  22. use Pimcore\Bundle\AdminBundle\Security\CsrfProtectionHandler;
  23. use Pimcore\Config;
  24. use Pimcore\Controller\KernelControllerEventInterface;
  25. use Pimcore\Controller\KernelResponseEventInterface;
  26. use Pimcore\Event\Admin\Login\LoginRedirectEvent;
  27. use Pimcore\Event\Admin\Login\LostPasswordEvent;
  28. use Pimcore\Event\AdminEvents;
  29. use Pimcore\Extension\Bundle\PimcoreBundleManager;
  30. use Pimcore\Http\ResponseHelper;
  31. use Pimcore\Logger;
  32. use Pimcore\Model\User;
  33. use Pimcore\Security\SecurityHelper;
  34. use Pimcore\Tool;
  35. use Pimcore\Tool\Authentication;
  36. use Symfony\Component\HttpFoundation\RedirectResponse;
  37. use Symfony\Component\HttpFoundation\Request;
  38. use Symfony\Component\HttpFoundation\Response;
  39. use Symfony\Component\HttpKernel\Event\ControllerEvent;
  40. use Symfony\Component\HttpKernel\Event\ResponseEvent;
  41. use Symfony\Component\RateLimiter\RateLimiterFactory;
  42. use Symfony\Component\Routing\Annotation\Route;
  43. use Symfony\Component\Routing\Generator\UrlGeneratorInterface;
  44. use Symfony\Component\Routing\RouterInterface;
  45. use Symfony\Component\Security\Core\Exception\AuthenticationException;
  46. use Symfony\Component\Security\Core\Security;
  47. use Symfony\Component\Security\Core\User\UserInterface;
  48. use Symfony\Contracts\EventDispatcher\EventDispatcherInterface;
  49. use Symfony\Contracts\Translation\LocaleAwareInterface;
  50. use Symfony\Contracts\Translation\TranslatorInterface;
  52. /**
  53.  * @internal
  54.  */
  55. class LoginController extends AdminAbstractController implements BruteforceProtectedControllerInterfaceKernelControllerEventInterfaceKernelResponseEventInterface
  56. {
  57.     public function __construct(
  58.         protected ResponseHelper $responseHelper,
  59.         protected TranslatorInterface $translator,
  60.         protected PimcoreBundleManager $bundleManager,
  61.         protected EventDispatcherInterface $eventDispatcher,
  62.     ) {
  63.     }
  65.     /**
  66.      * @param ControllerEvent $event
  67.      */
  68.     public function onKernelControllerEvent(ControllerEvent $event)
  69.     {
  70.         // use browser language for login page if possible
  71.         $locale 'en';
  73.         $availableLocales Tool\Admin::getLanguages();
  74.         foreach ($event->getRequest()->getLanguages() as $userLocale) {
  75.             if (in_array($userLocale$availableLocales)) {
  76.                 $locale $userLocale;
  78.                 break;
  79.             }
  80.         }
  82.         if ($this->translator instanceof LocaleAwareInterface) {
  83.             $this->translator->setLocale($locale);
  84.         }
  85.     }
  87.     /**
  88.      * {@inheritdoc}
  89.      */
  90.     public function onKernelResponseEvent(ResponseEvent $event)
  91.     {
  92.         $response $event->getResponse();
  93.         $response->headers->set('X-Frame-Options''deny'true);
  94.         $this->responseHelper->disableCache($responsetrue);
  95.     }
  97.     /**
  98.      * @Route("/login", name="pimcore_admin_login")
  99.      * @Route("/login/", name="pimcore_admin_login_fallback")
  100.      */
  101.     public function loginAction(Request $requestCsrfProtectionHandler $csrfProtectionConfig $config)
  102.     {
  103.         $queryParams $request->query->all();
  104.         if ($request->get('_route') === 'pimcore_admin_login_fallback') {
  105.             return $this->redirectToRoute('pimcore_admin_login'$queryParamsResponse::HTTP_MOVED_PERMANENTLY);
  106.         }
  108.         $redirectUrl $this->dispatchLoginRedirect($queryParams);
  109.         if ($this->generateUrl('pimcore_admin_login'$queryParams) != $redirectUrl) {
  110.             return new RedirectResponse($redirectUrl);
  111.         }
  113.         $csrfProtection->regenerateCsrfToken();
  115.         $user $this->getAdminUser();
  116.         if ($user instanceof UserInterface) {
  117.             return $this->redirectToRoute('pimcore_admin_index');
  118.         }
  120.         $params $this->buildLoginPageViewParams($config);
  122.         $session_gc_maxlifetime ini_get('session.gc_maxlifetime');
  123.         if (empty($session_gc_maxlifetime)) {
  124.             $session_gc_maxlifetime 120;
  125.         }
  127.         $params['csrfTokenRefreshInterval'] = ((int)$session_gc_maxlifetime 60) * 1000;
  129.         if ($request->get('too_many_attempts')) {
  130.             $params['error'] = SecurityHelper::convertHtmlSpecialChars($request->get('too_many_attempts'));
  131.         }
  132.         if ($request->get('auth_failed')) {
  133.             $params['error'] = 'error_auth_failed';
  134.         }
  135.         if ($request->get('session_expired')) {
  136.             $params['error'] = 'error_session_expired';
  137.         }
  138.         if ($request->get('deeplink')) {
  139.             $params['deeplink'] = true;
  140.         }
  142.         $params['browserSupported'] = $this->detectBrowser();
  143.         $params['debug'] = \Pimcore::inDebugMode();
  145.         return $this->render('@PimcoreAdmin/Admin/Login/login.html.twig'$params);
  146.     }
  148.     /**
  149.      * @Route("/login/csrf-token", name="pimcore_admin_login_csrf_token")
  150.      */
  151.     public function csrfTokenAction(Request $requestCsrfProtectionHandler $csrfProtection)
  152.     {
  153.         if (!$this->getAdminUser()) {
  154.             $csrfProtection->regenerateCsrfToken();
  155.         }
  157.         return $this->json([
  158.            'csrfToken' => $csrfProtection->getCsrfToken(),
  159.         ]);
  160.     }
  162.     /**
  163.      * @Route("/logout", name="pimcore_admin_logout" , methods={"POST"})
  164.      */
  165.     public function logoutAction()
  166.     {
  167.         // this route will never be matched, but will be handled by the logout handler
  168.     }
  170.     /**
  171.      * Dummy route used to check authentication
  172.      *
  173.      * @Route("/login/login", name="pimcore_admin_login_check")
  174.      *
  175.      * @see AdminLoginAuthenticator for the security implementation
  176.      * @see AdminAuthenticator for the security implementation (Authenticator Based Security)
  177.      */
  178.     public function loginCheckAction()
  179.     {
  180.         // just in case the authenticator didn't redirect
  181.         return new RedirectResponse($this->generateUrl('pimcore_admin_login'));
  182.     }
  184.     /**
  185.      * @Route("/login/lostpassword", name="pimcore_admin_login_lostpassword")
  186.      */
  187.     public function lostpasswordAction(Request $request, ?BruteforceProtectionHandler $bruteforceProtectionHandlerCsrfProtectionHandler $csrfProtectionConfig $configRateLimiterFactory $resetPasswordLimiterRouterInterface $router)
  188.     {
  189.         $params $this->buildLoginPageViewParams($config);
  190.         $error null;
  192.         if ($request->getMethod() === 'POST' && $username $request->get('username')) {
  193.             $user User::getByName($username);
  194.             if (!$user instanceof User) {
  195.                 $error 'user_unknown';
  196.             }
  198.             // TODO Pimcore 11: remove this BC layer, only the RateLimiter would be valid
  199.             if ($bruteforceProtectionHandler) {
  200.                 try {
  201.                     $bruteforceProtectionHandler->checkProtection($username$request);
  202.                 } catch (\Exception $e) {
  203.                     $error 'user_reset_password_too_many_attempts';
  204.                 }
  205.             } else {
  206.                 $limiter $resetPasswordLimiter->create($request->getClientIp());
  208.                 if (false === $limiter->consume(1)->isAccepted()) {
  209.                     $error 'user_reset_password_too_many_attempts';
  210.                 }
  211.             }
  213.             if (!$error) {
  214.                 if (!$user->isActive()) {
  215.                     $error 'user_inactive';
  216.                 }
  217.                 if (!$user->getEmail()) {
  218.                     $error 'user_no_email_address';
  219.                 }
  220.                 if (!$user->getPassword()) {
  221.                     $error 'user_no_password';
  222.                 }
  223.             }
  225.             if (!$error) {
  226.                 $token Authentication::generateToken($user->getName());
  228.                 $domain $config['general']['domain'];
  229.                 if (!$domain) {
  230.                     throw new \Exception('No main domain set in system settings, unable to generate reset password link');
  231.                 }
  233.                 $context $router->getContext();
  234.                 $context->setHost($domain);
  236.                 $loginUrl $this->generateUrl('pimcore_admin_login_check', [
  237.                     'token' => $token,
  238.                     'reset' => 'true',
  239.                 ], UrlGeneratorInterface::ABSOLUTE_URL);
  241.                 try {
  242.                     $event = new LostPasswordEvent($user$loginUrl);
  243.                     $this->eventDispatcher->dispatch($eventAdminEvents::LOGIN_LOSTPASSWORD);
  245.                     // only send mail if it wasn't prevented in event
  246.                     if ($event->getSendMail()) {
  247.                         $mail Tool::getMail([$user->getEmail()], 'Pimcore lost password service');
  248.                         $mail->setIgnoreDebugMode(true);
  249.                         $mail->text("Login to pimcore and change your password using the following link. This temporary login link will expire in 24 hours: \r\n\r\n" $loginUrl);
  250.                         $mail->send();
  251.                     }
  253.                     // directly return event response
  254.                     if ($event->hasResponse()) {
  255.                         return $event->getResponse();
  256.                     }
  257.                 } catch (\Exception $e) {
  258.                     Logger::error('Error sending password recovery email: ' $e->getMessage());
  259.                     $error 'lost_password_email_error';
  260.                 }
  261.             }
  263.             if ($error) {
  264.                 Logger::error('Lost password service: ' $error);
  265.                 $bruteforceProtectionHandler?->addEntry($request->get('username'), $request);
  266.             }
  267.         }
  269.         $csrfProtection->regenerateCsrfToken();
  271.         if ($error) {
  272.             $params['reset_error'] = 'Please make sure you are entering a correct input.';
  273.             if ($error === 'user_reset_password_too_many_attempts') {
  274.                 $params['reset_error'] = 'Too many attempts. Please retry later.';
  275.             }
  276.         }
  278.         return $this->render('@PimcoreAdmin/Admin/Login/lostpassword.html.twig'$params);
  279.     }
  281.     /**
  282.      * @Route("/login/deeplink", name="pimcore_admin_login_deeplink")
  283.      */
  284.     public function deeplinkAction(Request $request)
  285.     {
  286.         // check for deeplink
  287.         $queryString $_SERVER['QUERY_STRING'];
  289.         if (preg_match('/(document|asset|object)_([0-9]+)_([a-z]+)/'$queryString$deeplink)) {
  290.             $deeplink $deeplink[0];
  291.             $perspective strip_tags($request->get('perspective'''));
  293.             if (strpos($queryString'token')) {
  294.                 $url $this->dispatchLoginRedirect([
  295.                     'deeplink' => $deeplink,
  296.                     'perspective' => $perspective,
  297.                 ]);
  298.                 $url .= '&' $queryString;
  300.                 return $this->redirect($url);
  301.             } elseif ($queryString) {
  302.                 $url $this->dispatchLoginRedirect([
  303.                     'deeplink' => 'true',
  304.                     'perspective' => $perspective,
  305.                 ]);
  307.                 return $this->render('@PimcoreAdmin/Admin/Login/deeplink.html.twig', [
  308.                     'tab' => $deeplink,
  309.                     'redirect' => $url,
  310.                 ]);
  311.             }
  312.         }
  313.     }
  315.     protected function buildLoginPageViewParams(Config $config): array
  316.     {
  317.         return [
  318.             'config' => $config,
  319.             'pluginCssPaths' => $this->bundleManager->getCssPaths(),
  320.         ];
  321.     }
  323.     /**
  324.      * @Route("/login/2fa", name="pimcore_admin_2fa")
  325.      */
  326.     public function twoFactorAuthenticationAction(Request $request, ?BruteforceProtectionHandler $bruteforceProtectionHandlerConfig $config)
  327.     {
  328.         $params $this->buildLoginPageViewParams($config);
  330.         if ($request->hasSession()) {
  331.             // we have to call the check here manually, because BruteforceProtectionListener uses the 'username' from the request
  332.             $bruteforceProtectionHandler?->checkProtection($this->getAdminUser()->getName(), $request);
  334.             $session $request->getSession();
  335.             $authException $session->get(Security::AUTHENTICATION_ERROR);
  336.             if ($authException instanceof AuthenticationException) {
  337.                 $session->remove(Security::AUTHENTICATION_ERROR);
  339.                 $params['error'] = $authException->getMessage();
  341.                 $bruteforceProtectionHandler?->addEntry($this->getAdminUser()->getName(), $request);
  342.             }
  343.         } else {
  344.             $params['error'] = 'No session available, it either timed out or cookies are not enabled.';
  345.         }
  347.         return $this->render('@PimcoreAdmin/Admin/Login/twoFactorAuthentication.html.twig'$params);
  348.     }
  350.     /**
  351.      * @Route("/login/2fa-verify", name="pimcore_admin_2fa-verify")
  352.      *
  353.      * @param Request $request
  354.      */
  355.     public function twoFactorAuthenticationVerifyAction(Request $request)
  356.     {
  357.     }
  359.     /**
  360.      * @return bool
  361.      */
  362.     public function detectBrowser()
  363.     {
  364.         $supported false;
  365.         $browser = new \Browser();
  366.         $browserVersion = (int)$browser->getVersion();
  368.         if ($browser->getBrowser() == \Browser::BROWSER_FIREFOX && $browserVersion >= 72) {
  369.             $supported true;
  370.         }
  371.         if ($browser->getBrowser() == \Browser::BROWSER_CHROME && $browserVersion >= 84) {
  372.             $supported true;
  373.         }
  374.         if ($browser->getBrowser() == \Browser::BROWSER_SAFARI && $browserVersion >= 13.1) {
  375.             $supported true;
  376.         }
  377.         if ($browser->getBrowser() == \Browser::BROWSER_EDGE && $browserVersion >= 90) {
  378.             $supported true;
  379.         }
  381.         return $supported;
  382.     }
  384.     private function dispatchLoginRedirect(array $routeParams = []): string
  385.     {
  386.         $event = new LoginRedirectEvent('pimcore_admin_login'$routeParams);
  387.         $this->eventDispatcher->dispatch($eventAdminEvents::LOGIN_REDIRECT);
  389.         return $this->generateUrl($event->getRouteName(), $event->getRouteParams());
  390.     }
  391. }