Source for file yubikey.php

Documentation is available at yubikey.php

  1. <?php
  2. /**
  3.  * @package     Joomla.Plugin
  4.  * @subpackage  Twofactorauth.yubikey
  5.  *
  6.  * @copyright   Copyright (C) 2005 - 2013 Open Source Matters, Inc. All rights reserved.
  7.  * @license     GNU General Public License version 2 or later; see LICENSE.txt
  8.  */
  9.  
  10. defined('_JEXEC'or die;
  11.  
  12. /**
  13.  * Joomla! Two Factor Authentication using Yubikey Plugin
  14.  *
  15.  * @package     Joomla.Plugin
  16.  * @subpackage  Twofactorauth.yubikey
  17.  * @since       3.2
  18.  */
  19. class PlgTwofactorauthYubikey extends JPlugin
  20. {
  21.     /**
  22.      * Affects constructor behavior. If true, language files will be loaded automatically.
  23.      *
  24.      * @var    boolean 
  25.      * @since  3.2
  26.      */
  27.     protected $autoloadLanguage = true;
  28.  
  29.     /**
  30.      * Method name
  31.      *
  32.      * @var    string 
  33.      * @since  3.2
  34.      */
  35.     protected $methodName = 'yubikey';
  36.  
  37.     /**
  38.      * Constructor
  39.      *
  40.      * @param   object  &$subject  The object to observe
  41.      * @param   array   $config    An optional associative array of configuration settings.
  42.      *                              Recognized key values include 'name', 'group', 'params', 'language'
  43.      *                              (this list is not meant to be comprehensive).
  44.      *
  45.      * @since   3.2
  46.      */
  47.     public function __construct(&$subject$config array())
  48.     {
  49.         parent::__construct($subject$config);
  50.  
  51.         // Load the Joomla! RAD layer
  52.         if (!defined('FOF_INCLUDED'))
  53.         {
  54.             include_once JPATH_LIBRARIES '/fof/include.php';
  55.         }
  56.     }
  57.  
  58.     /**
  59.      * This method returns the identification object for this two factor
  60.      * authentication plugin.
  61.      *
  62.      * @return  stdClass  An object with public properties method and title
  63.      *
  64.      * @since   3.2
  65.      */
  66.     public function onUserTwofactorIdentify()
  67.     {
  68.         $section = (int) $this->params->get('section'3);
  69.  
  70.         $current_section 0;
  71.  
  72.         try
  73.         {
  74.             $app JFactory::getApplication();
  75.  
  76.             if ($app->isAdmin())
  77.             {
  78.                 $current_section 2;
  79.             }
  80.             elseif ($app->isSite())
  81.             {
  82.                 $current_section 1;
  83.             }
  84.         }
  85.         catch (Exception $exc)
  86.         {
  87.             $current_section 0;
  88.         }
  89.  
  90.         if (!($current_section $section))
  91.         {
  92.             return false;
  93.         }
  94.  
  95.         return (object) array(
  96.             'method' => $this->methodName,
  97.             'title'  => JText::_('PLG_TWOFACTORAUTH_YUBIKEY_METHOD_TITLE'),
  98.         );
  99.     }
  100.  
  101.     /**
  102.      * Shows the configuration page for this two factor authentication method.
  103.      *
  104.      * @param   object   $otpConfig  The two factor auth configuration object
  105.      * @param   integer  $user_id    The numeric user ID of the user whose form we'll display
  106.      *
  107.      * @return  boolean|string False if the method is not ours, the HTML of the configuration page otherwise
  108.      *
  109.      * @see     UsersModelUser::getOtpConfig
  110.      * @since   3.2
  111.      */
  112.     public function onUserTwofactorShowConfiguration($otpConfig$user_id null)
  113.     {
  114.         if ($otpConfig->method == $this->methodName)
  115.         {
  116.             // This method is already activated. Reuse the same Yubikey ID.
  117.             $yubikey $otpConfig->config['yubikey'];
  118.         }
  119.         else
  120.         {
  121.             // This methods is not activated yet. We'll need a Yubikey TOTP to setup this Yubikey.
  122.             $yubikey '';
  123.         }
  124.  
  125.         // Is this a new TOTP setup? If so, we'll have to show the code
  126.         // validation field.
  127.         $new_totp $otpConfig->method != $this->methodName;
  128.  
  129.         // Start output buffering
  130.         @ob_start();
  131.  
  132.         // Include the form.php from a template override. If none is found use the default.
  133.         $path FOFPlatform::getInstance()->getTemplateOverridePath('plg_twofactorauth_yubikey'true);
  134.  
  135.         JLoader::import('joomla.filesystem.file');
  136.  
  137.         if (JFile::exists($path 'form.php'))
  138.         {
  139.             include_once $path 'form.php';
  140.         }
  141.         else
  142.         {
  143.             include_once __DIR__ . '/tmpl/form.php';
  144.         }
  145.  
  146.         // Stop output buffering and get the form contents
  147.         $html @ob_get_clean();
  148.  
  149.         // Return the form contents
  150.         return array(
  151.             'method' => $this->methodName,
  152.             'form'   => $html,
  153.         );
  154.     }
  155.  
  156.     /**
  157.      * The save handler of the two factor configuration method's configuration
  158.      * page.
  159.      *
  160.      * @param   string  $method  The two factor auth method for which we'll show the config page
  161.      *
  162.      * @return  boolean|stdClass False if the method doesn't match or we have an error, OTP config object if it succeeds
  163.      *
  164.      * @see     UsersModelUser::setOtpConfig
  165.      * @since   3.2
  166.      */
  167.     public function onUserTwofactorApplyConfiguration($method)
  168.     {
  169.         if ($method != $this->methodName)
  170.         {
  171.             return false;
  172.         }
  173.  
  174.         // Get a reference to the input data object
  175.         $input JFactory::getApplication()->input;
  176.  
  177.         // Load raw data
  178.         $rawData $input->get('jform'array()'array');
  179.         $data $rawData['twofactor']['yubikey'];
  180.  
  181.         // Warn if the securitycode is empty
  182.         if (array_key_exists('securitycode'$data&& empty($data['securitycode']))
  183.         {
  184.             try
  185.             {
  186.                 $app JFactory::getApplication();
  187.                 $app->enqueueMessage(JText::_('PLG_TWOFACTORAUTH_YUBIKEY_ERR_VALIDATIONFAILED')'error');
  188.             }
  189.             catch (Exception $exc)
  190.             {
  191.                 // This only happens when we are in a CLI application. We cannot
  192.                 // enqueue a message, so just do nothing.
  193.             }
  194.  
  195.             return false;
  196.         }
  197.  
  198.         // Validate the Yubikey OTP
  199.         $check $this->validateYubikeyOTP($data['securitycode']);
  200.  
  201.         if (!$check)
  202.         {
  203.             $app JFactory::getApplication();
  204.             $app->enqueueMessage(JText::_('PLG_TWOFACTORAUTH_YUBIKEY_ERR_VALIDATIONFAILED')'error');
  205.  
  206.             // Check failed. Do not change two factor authentication settings.
  207.             return false;
  208.         }
  209.  
  210.         // Remove the last 32 digits and store the rest in the user configuration parameters
  211.         $yubikey substr($data['securitycode']0-32);
  212.  
  213.         // Check succeedeed; return an OTP configuration object
  214.         $otpConfig = (object )array(
  215.             'method'    => $this->methodName,
  216.             'config'    => array(
  217.                 'yubikey'    => $yubikey
  218.             ),
  219.             'otep'        => array()
  220.         );
  221.  
  222.         return $otpConfig;
  223.     }
  224.  
  225.     /**
  226.      * This method should handle any two factor authentication and report back
  227.      * to the subject.
  228.      *
  229.      * @param   array   $credentials  Array holding the user credentials
  230.      * @param   array   $options      Array of extra options
  231.      *
  232.      * @return  boolean  True if the user is authorised with this two-factor authentication method
  233.      *
  234.      * @since   3.2
  235.      */
  236.     public function onUserTwofactorAuthenticate($credentials$options)
  237.     {
  238.         // Get the OTP configuration object
  239.         $otpConfig $options['otp_config'];
  240.  
  241.         // Make sure it's an object
  242.         if (empty($otpConfig|| !is_object($otpConfig))
  243.         {
  244.             return false;
  245.         }
  246.  
  247.         // Check if we have the correct method
  248.         if ($otpConfig->method != $this->methodName)
  249.         {
  250.             return false;
  251.         }
  252.  
  253.         // Check if there is a security code
  254.         if (empty($credentials['secretkey']))
  255.         {
  256.             return false;
  257.         }
  258.  
  259.         // Check if the Yubikey starts with the configured Yubikey user string
  260.         $yubikey_valid $otpConfig->config['yubikey'];
  261.         $yubikey substr($credentials['secretkey']0-32);
  262.  
  263.         $check $yubikey == $yubikey_valid;
  264.  
  265.         if ($check)
  266.         {
  267.             $check $this->validateYubikeyOTP($credentials['secretkey']);
  268.         }
  269.  
  270.         return $check;
  271.     }
  272.  
  273.     /**
  274.      * Validates a Yubikey OTP against the Yubikey servers
  275.      *
  276.      * @param   string  $otp  The OTP generated by your Yubikey
  277.      *
  278.      * @return  boolean  True if it's a valid OTP
  279.      *
  280.      * @since   3.2
  281.      */
  282.     public function validateYubikeyOTP($otp)
  283.     {
  284.         $server_queue array(
  285.             'api.yubico.com''api2.yubico.com''api3.yubico.com',
  286.             'api4.yubico.com''api5.yubico.com'
  287.         );
  288.  
  289.         shuffle($server_queue);
  290.  
  291.         $gotResponse false;
  292.         $check false;
  293.  
  294.         $http JHttpFactory::getHttp();
  295.  
  296.         $token JSession::getFormToken();
  297.         $nonce md5($token uniqid(rand()));
  298.  
  299.         while (!$gotResponse && !empty($server_queue))
  300.         {
  301.             $server array_shift($server_queue);
  302.  
  303.             $uri new JUri('https://' $server '/wsapi/2.0/verify');
  304.  
  305.             // I don't see where this ID is used?
  306.             $uri->setVar('id'1);
  307.  
  308.             // The OTP we read from the user
  309.             $uri->setVar('otp'$otp);
  310.  
  311.             // This prevents a REPLAYED_OTP status of the token doesn't change
  312.             // after a user submits an invalid OTP
  313.             $uri->setVar('nonce'$nonce);
  314.  
  315.             // Minimum service level required: 50% (at least 50% of the YubiCloud
  316.             // servers must reply positively for the OTP to validate)
  317.             $uri->setVar('sl'50);
  318.  
  319.             // Timeou waiting for YubiCloud servers to reply: 5 seconds.
  320.             $uri->setVar('timeout'5);
  321.  
  322.             try
  323.             {
  324.                 $response $http->get($uri->toString()null6);
  325.  
  326.                 if (!empty($response))
  327.                 {
  328.                     $gotResponse true;
  329.                 }
  330.                 else
  331.                 {
  332.                     continue;
  333.                 }
  334.             }
  335.             catch (Exception $exc)
  336.             {
  337.                 // No response, continue with the next server
  338.                 continue;
  339.             }
  340.         }
  341.  
  342.         // No server replied; we can't validate this OTP
  343.         if (!$gotResponse)
  344.         {
  345.             return false;
  346.         }
  347.  
  348.         // Parse response
  349.         $lines explode("\n"$response->body);
  350.         $data array();
  351.  
  352.         foreach ($lines as $line)
  353.         {
  354.             $line trim($line);
  355.  
  356.             $parts explode('='$line2);
  357.  
  358.             if (count($parts2)
  359.             {
  360.                 continue;
  361.             }
  362.  
  363.             $data[$parts[0]] $parts[1];
  364.         }
  365.  
  366.         // Validate the response - We need an OK message reply
  367.         if ($data['status'!= 'OK')
  368.         {
  369.             return false;
  370.         }
  371.  
  372.         // Validate the response - We need a confidence level over 50%
  373.         if ($data['sl'50)
  374.         {
  375.             return false;
  376.         }
  377.  
  378.         // Validate the response - The OTP must match
  379.         if ($data['otp'!= $otp)
  380.         {
  381.             return false;
  382.         }
  383.  
  384.         // Validate the response - The token must match
  385.         if ($data['nonce'!= $nonce)
  386.         {
  387.             return false;
  388.         }
  389.  
  390.         return true;
  391.     }
  392. }

Documentation generated on Tue, 19 Nov 2013 15:18:38 +0100 by phpDocumentor 1.4.3