]> BookStack Code Mirror - bookstack/blob - app/Access/Oidc/OidcUserinfoResponse.php
projects / bookstack / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
OIDC Userinfo: Fixed issues with validation logic from changes
[bookstack] / app / Access / Oidc / OidcUserinfoResponse.php
1 <?php
2
3 namespace BookStack\Access\Oidc;
4
5 use Psr\Http\Message\ResponseInterface;
6
7 class OidcUserinfoResponse implements ProvidesClaims
8 {
9     protected array $claims = [];
10     protected ?OidcJwtWithClaims $jwt = null;
11
12     public function __construct(ResponseInterface $response, string $issuer, array $keys)
13     {
14         $contentType = $response->getHeader('Content-Type')[0];
15         if ($contentType === 'application/json') {
16             $this->claims = json_decode($response->getBody()->getContents(), true);
17         }
18
19         if ($contentType === 'application/jwt') {
20             $this->jwt = new OidcJwtWithClaims($response->getBody()->getContents(), $issuer, $keys);
21             $this->claims = $this->jwt->getAllClaims();
22         }
23     }
24
25     /**
26      * @throws OidcInvalidTokenException
27      */
28     public function validate(string $idTokenSub, string $clientId): bool
29     {
30         if (!is_null($this->jwt)) {
31             $this->jwt->validateCommonTokenDetails($clientId);
32         }
33
34         $sub = $this->getClaim('sub');
35
36         // Spec: v1.0 5.3.2: The sub (subject) Claim MUST always be returned in the UserInfo Response.
37         if (!is_string($sub) || empty($sub)) {
38             throw new OidcInvalidTokenException("No valid subject value found in userinfo data");
39         }
40
41         // Spec: v1.0 5.3.2: The sub Claim in the UserInfo Response MUST be verified to exactly match the sub Claim in the ID Token;
42         // if they do not match, the UserInfo Response values MUST NOT be used.
43         if ($idTokenSub !== $sub) {
44             throw new OidcInvalidTokenException("Subject value provided in the userinfo endpoint does not match the provided ID token value");
45         }
46
47         // Spec v1.0 5.3.4 Defines the following:
48         // Verify that the OP that responded was the intended OP through a TLS server certificate check, per RFC 6125 [RFC6125].
49           // This is effectively done as part of the HTTP request we're making through CURLOPT_SSL_VERIFYHOST on the request.
50         // If the Client has provided a userinfo_encrypted_response_alg parameter during Registration, decrypt the UserInfo Response using the keys specified during Registration.
51           // We don't currently support JWT encryption for OIDC
52         // If the response was signed, the Client SHOULD validate the signature according to JWS [JWS].
53           // This is done as part of the validateCommonClaims above.
54
55         return true;
56     }
57
58     public function getClaim(string $claim): mixed
59     {
60         return $this->claims[$claim] ?? null;
61     }
62
63     public function getAllClaims(): array
64     {
65         return $this->claims;
66     }
67 }
The core source code for the BookStack project.