t/Token.t

   1 #!/usr/bin/perl
   2
   3 # tests for Koha::Token
   4
   5 # Copyright 2016 Rijksmuseum
   6 #
   7 # This file is part of Koha.
   8 #
   9 # Koha is free software; you can redistribute it and/or modify it
  10 # under the terms of the GNU General Public License as published by
  11 # the Free Software Foundation; either version 3 of the License, or
  12 # (at your option) any later version.
  13 #
  14 # Koha is distributed in the hope that it will be useful, but
  15 # WITHOUT ANY WARRANTY; without even the implied warranty of
  16 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
  17 # GNU General Public License for more details.
  18 #
  19 # You should have received a copy of the GNU General Public License
  20 # along with Koha; if not, see <http://www.gnu.org/licenses>.
  21
  22 use Modern::Perl;
  23 use Test::More tests => 12;
  24 use Test::Exception;
  25 use Time::HiRes qw|usleep|;
  26
  27 use C4::Context;
  28 use Koha::Token;
  29
  30 C4::Context->_new_userenv('DUMMY SESSION');
  31 C4::Context->set_userenv(0,42,0,'firstname','surname', 'CPL', 'Library 1', 0, '');
  32
  33 my $tokenizer = Koha::Token->new;
  34 is( length( $tokenizer->generate ), 1, "Generate without parameters" );
  35 my $token = $tokenizer->generate({ length => 20 });
  36 is( length($token), 20, "Token $token has 20 chars" );
  37
  38 my $id = $tokenizer->generate({ length => 8 });
  39 my $csrftoken = $tokenizer->generate_csrf({ session_id => $id });
  40 isnt( length($csrftoken), 0, "Token $csrftoken should not be empty" );
  41
  42 is( $tokenizer->check, undef, "Check without any parameters" );
  43 my $result = $tokenizer->check_csrf({
  44     session_id => $id, token => $csrftoken,
  45 });
  46 is( $result, 1, "CSRF token verified" );
  47
  48 $result = $tokenizer->check({
  49     type => 'CSRF', id => $id, token => $token,
  50 });
  51 isnt( $result, 1, "This token is no CSRF token" );
  52
  53 # Test MaxAge parameter
  54 my $age = 1; # 1 second
  55 $result = $tokenizer->check_csrf({
  56     session_id => $id, token => $csrftoken, MaxAge => $age,
  57 });
  58 is( $result, 1, "CSRF token still valid within one second" );
  59 usleep $age * 1000000 * 2; # micro (millionth) seconds + 100%
  60 $result = $tokenizer->check_csrf({
  61     session_id => $id, token => $csrftoken, MaxAge => $age,
  62 });
  63 isnt( $result, 1, "CSRF token expired after one second" );
  64
  65 subtest 'Same logged in user with another session (cookie CGISESSID)' => sub {
  66     plan tests => 2;
  67     C4::Context->set_userenv(0,42,0,'firstname','surname', 'CPL', 'Library 1', 0, '');
  68     $csrftoken = $tokenizer->generate_csrf({ session_id => $id });
  69     $result = $tokenizer->check_csrf({
  70         session_id => $id, token => $csrftoken,
  71     });
  72     is( $result, 1, "CSRF token verified" );
  73     # Get another session id
  74     $id = $tokenizer->generate({ length => 8 });
  75     $result = $tokenizer->check_csrf({
  76         session_id => $id, token => $csrftoken,
  77     });
  78     is( $result, '', "CSRF token is not verified if another session is used" );
  79 };
  80
  81 subtest 'Pattern parameter' => sub {
  82     plan tests => 5;
  83     my $id = $tokenizer->generate({ pattern => '\d\d', length => 8 });
  84     is( length($id), 2, 'Pattern overrides length' );
  85     ok( $id =~ /\d{2}/, 'Two digits found' );
  86     $id = $tokenizer->generate({ pattern => '[A-Z]{10}' });
  87     is( length($id), 10, 'Check length again' );
  88     ok( $id !~ /[^A-Z]/, 'Only uppercase letters' );
  89     throws_ok( sub { $tokenizer->generate({ pattern => 'abc{d,e}', }) }, 'Koha::Exceptions::Token::BadPattern', 'Exception should be thrown when wrong pattern is used');
  90 };
  91
  92 subtest 'JWT' => sub {
  93     plan tests => 3;
  94
  95     my $id = 42;
  96     my $jwt = $tokenizer->generate_jwt({ id => $id });
  97
  98     my $is_valid = $tokenizer->check_jwt({ id => $id, token => $jwt });
  99     is( $is_valid, 1, 'valid token should return 1' );
 100
 101     $is_valid = $tokenizer->check_jwt({ id => 24, token => $jwt });
 102     isnt( $is_valid, 1, 'invalid token should not return 1' );
 103
 104     my $retrieved_id = $tokenizer->decode_jwt({ token => $jwt });
 105     is( $retrieved_id, $id, 'id stored in jwt should be correct' );
 106 };
 107
 108 subtest 'testing _add_default_csrf_params with/without userenv (bug 27849)' => sub {
 109     plan tests => 8;
 110
 111     # Current userenv: userid == 42
 112     my $result = Koha::Token::_add_default_csrf_params({ session_id => '567' });
 113     is( $result->{session_id}, 567, 'Check session id' );
 114     is( $result->{id}, 'anonymous_567', 'Check userid' );
 115
 116     # Clear userenv
 117     C4::Context::_unset_userenv('DUMMY SESSION');
 118     is( C4::Context::userenv, undef, 'No userenv anymore' );
 119     $result = Koha::Token::_add_default_csrf_params({}); # pass no session_id
 120     is( $result->{session_id}, Koha::Token::DEFA_SESSION_ID, 'Check session id' );
 121     is( $result->{id}, Koha::Token::DEFA_SESSION_USERID. '_'. $result->{session_id}, 'Check userid' );
 122
 123     # Empty anonymous userenv (see C4::Auth::check_cookie_auth)
 124     C4::Context->_new_userenv('ANON SESSION');
 125     C4::Context->set_userenv( undef, q{} );
 126     ok( C4::Context->userenv, "Userenv exists" );
 127     $result = Koha::Token::_add_default_csrf_params( {} );    # pass no session_id
 128     is( $result->{session_id}, Koha::Token::DEFA_SESSION_ID, 'Check session id for anon session' );
 129     is(
 130         $result->{id}, Koha::Token::DEFA_SESSION_USERID . '_' . $result->{session_id},
 131         'Check userid for anon session'
 132     );
 133 };