Koha/Token.pm

   1 package Koha::Token;
   2
   3 # Created as wrapper for CSRF and JWT tokens, but designed for more general use
   4
   5 # Copyright 2016 Rijksmuseum
   6 #
   7 # This file is part of Koha.
   8 #
   9 # Koha is free software; you can redistribute it and/or modify it
  10 # under the terms of the GNU General Public License as published by
  11 # the Free Software Foundation; either version 3 of the License, or
  12 # (at your option) any later version.
  13 #
  14 # Koha is distributed in the hope that it will be useful, but
  15 # WITHOUT ANY WARRANTY; without even the implied warranty of
  16 # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
  17 # GNU General Public License for more details.
  18 #
  19 # You should have received a copy of the GNU General Public License
  20 # along with Koha; if not, see <http://www.gnu.org/licenses>.
  21
  22 =head1 NAME
  23
  24 Koha::Token - Tokenizer
  25
  26 =head1 SYNOPSIS
  27
  28     use Koha::Token;
  29     my $tokenizer = Koha::Token->new;
  30     my $token = $tokenizer->generate({ length => 20 });
  31
  32     # safely generate a CSRF token (nonblocking)
  33     my $csrf_token = $tokenizer->generate({
  34         type => 'CSRF', id => $id, secret => $secret,
  35     });
  36
  37     # generate/check CSRF token with defaults and session id
  38     my $csrf_token = $tokenizer->generate_csrf({ session_id => $x });
  39     my $result = $tokenizer->check_csrf({
  40         session_id => $x, token => $token,
  41     });
  42
  43 =head1 DESCRIPTION
  44
  45     Designed for providing general tokens.
  46     Created due to the need for a nonblocking call to Bytes::Random::Secure
  47     when generating a CSRF token.
  48
  49 =cut
  50
  51 use Modern::Perl;
  52 use Bytes::Random::Secure;
  53 use String::Random;
  54 use WWW::CSRF;
  55 use Mojo::JWT;
  56 use Digest::MD5 qw( md5_base64 );
  57 use Encode;
  58 use C4::Context;
  59 use Koha::Exceptions::Token;
  60 use Koha::Session;
  61
  62 use base qw(Class::Accessor);
  63 use constant HMAC_SHA1_LENGTH => 20;
  64 use constant CSRF_EXPIRY_HOURS => 8; # 8 hours instead of 7 days..
  65 use constant DEFA_SESSION_ID => 0;
  66 use constant DEFA_SESSION_USERID => 'anonymous';
  67
  68 =head1 METHODS
  69
  70 =head2 new
  71
  72     Create object (via Class::Accessor).
  73
  74 =cut
  75
  76 sub new {
  77     my ( $class ) = @_;
  78     return $class->SUPER::new();
  79 }
  80
  81 =head2 generate
  82
  83     my $token = $tokenizer->generate({ length => 20 });
  84     my $csrf_token = $tokenizer->generate({
  85         type => 'CSRF', id => $id, secret => $secret,
  86     });
  87     my $jwt = $tokenizer->generate({
  88         type => 'JWT, id => $id, secret => $secret,
  89     });
  90
  91     Generate several types of tokens. Now includes CSRF.
  92     For non-CSRF tokens an optional pattern parameter overrides length.
  93     Room for future extension.
  94
  95     Pattern parameter could be write down using this subset of regular expressions:
  96     \w    Alphanumeric + "_".
  97     \d    Digits.
  98     \W    Printable characters other than those in \w.
  99     \D    Printable characters other than those in \d.
 100     .     Printable characters.
 101     []    Character classes.
 102     {}    Repetition.
 103     *     Same as {0,}.
 104     ?     Same as {0,1}.
 105     +     Same as {1,}.
 106
 107 =cut
 108
 109 sub generate {
 110     my ( $self, $params ) = @_;
 111     if( $params->{type} && $params->{type} eq 'CSRF' ) {
 112         $self->{lasttoken} = _gen_csrf( $params );
 113     } elsif( $params->{type} && $params->{type} eq 'JWT' ) {
 114         $self->{lasttoken} = _gen_jwt( $params );
 115     } else {
 116         $self->{lasttoken} = _gen_rand( $params );
 117     }
 118     return $self->{lasttoken};
 119 }
 120
 121 =head2 generate_csrf
 122
 123     Like: generate({ type => 'CSRF', ... })
 124     Note: id defaults to userid from context, secret to database password.
 125     session_id is mandatory; it is combined with id.
 126
 127 =cut
 128
 129 sub generate_csrf {
 130     my ( $self, $params ) = @_;
 131     return if !$params->{session_id};
 132     $params = _add_default_csrf_params( $params );
 133     return $self->generate({ %$params, type => 'CSRF' });
 134 }
 135
 136 =head2 generate_jwt
 137
 138     Like: generate({ type => 'JWT', ... })
 139     Note that JWT is designed to encode a structure but here we are actually only allowing a value
 140     that will be store in the key 'id'.
 141
 142 =cut
 143
 144 sub generate_jwt {
 145     my ( $self, $params ) = @_;
 146     return if !$params->{id};
 147     $params = _add_default_jwt_params( $params );
 148     return $self->generate({ %$params, type => 'JWT' });
 149 }
 150
 151 =head2 check
 152
 153     my $result = $tokenizer->check({
 154         type => 'CSRF', id => $id, token => $token,
 155     });
 156
 157     Check several types of tokens. Now includes CSRF.
 158     Room for future extension.
 159
 160 =cut
 161
 162 sub check {
 163     my ( $self, $params ) = @_;
 164     if( $params->{type} && $params->{type} eq 'CSRF' ) {
 165         return _chk_csrf( $params );
 166     }
 167     elsif( $params->{type} && $params->{type} eq 'JWT' ) {
 168         return _chk_jwt( $params );
 169     }
 170     return;
 171 }
 172
 173 =head2 check_csrf
 174
 175     Like: check({ type => 'CSRF', ... })
 176     Note: id defaults to userid from context, secret to database password.
 177     session_id is mandatory; it is combined with id.
 178
 179 =cut
 180
 181 sub check_csrf {
 182     my ( $self, $params ) = @_;
 183     return if !$params->{session_id};
 184     $params = _add_default_csrf_params( $params );
 185     return $self->check({ %$params, type => 'CSRF' });
 186 }
 187
 188 =head2 check_jwt
 189
 190     Like: check({ type => 'JWT', id => $id, token => $token })
 191
 192     Will return true if the token contains the passed id
 193
 194 =cut
 195
 196 sub check_jwt {
 197     my ( $self, $params ) = @_;
 198     $params = _add_default_jwt_params( $params );
 199     return $self->check({ %$params, type => 'JWT' });
 200 }
 201
 202 =head2 decode_jwt
 203
 204     $tokenizer->decode_jwt({ type => 'JWT', token => $token })
 205
 206     Will return the value of the id stored in the token.
 207
 208 =cut
 209 sub decode_jwt {
 210     my ( $self, $params ) = @_;
 211     $params = _add_default_jwt_params( $params );
 212     return _decode_jwt( $params );
 213 }
 214
 215 # --- Internal routines ---
 216
 217 sub _add_default_csrf_params {
 218     my ( $params ) = @_;
 219     $params->{session_id} //= DEFA_SESSION_ID;
 220
 221     my $id;
 222     my $session = Koha::Session->get_session( { sessionID => $params->{session_id} } );
 223     if ($session) {
 224         $id = $session->param('id');
 225     }
 226     if ( !$id ) {
 227         $id = DEFA_SESSION_USERID;
 228     }
 229
 230     $params->{id} //= Encode::encode( 'UTF-8', $id );
 231     $params->{id} .= '_' . $params->{session_id};
 232
 233     my $pw = C4::Context->config('pass');
 234     $params->{secret} //= md5_base64( Encode::encode( 'UTF-8', $pw ) ),
 235     return $params;
 236 }
 237
 238 sub _gen_csrf {
 239
 240 # Since WWW::CSRF::generate_csrf_token does not use the NonBlocking
 241 # parameter of Bytes::Random::Secure, we are passing random bytes from
 242 # a non blocking source to WWW::CSRF via its Random parameter.
 243
 244     my ( $params ) = @_;
 245     return if !$params->{id} || !$params->{secret};
 246
 247
 248     my $randomizer = Bytes::Random::Secure->new( NonBlocking => 1 );
 249         # this is most fundamental: do not use /dev/random since it is
 250         # blocking, but use /dev/urandom !
 251     my $random = $randomizer->bytes( HMAC_SHA1_LENGTH );
 252     my $token = WWW::CSRF::generate_csrf_token(
 253         $params->{id}, $params->{secret}, { Random => $random },
 254     );
 255
 256     return $token;
 257 }
 258
 259 sub _chk_csrf {
 260     my ( $params ) = @_;
 261     return if !$params->{id} || !$params->{secret} || !$params->{token};
 262
 263     my $csrf_status = WWW::CSRF::check_csrf_token(
 264         $params->{id},
 265         $params->{secret},
 266         $params->{token},
 267         { MaxAge => $params->{MaxAge} // ( CSRF_EXPIRY_HOURS * 3600 ) },
 268     );
 269     return $csrf_status == WWW::CSRF::CSRF_OK();
 270 }
 271
 272 sub _gen_rand {
 273     my ( $params ) = @_;
 274     my $length = $params->{length} || 1;
 275     $length = 1 unless $length > 0;
 276     my $pattern = $params->{pattern} // '.{'.$length.'}'; # pattern overrides length parameter
 277
 278     my $token;
 279     eval {
 280         $token = String::Random::random_regex( $pattern );
 281     };
 282     Koha::Exceptions::Token::BadPattern->throw($@) if $@;
 283     return $token;
 284 }
 285
 286 sub _add_default_jwt_params {
 287     my ( $params ) = @_;
 288     my $pw = C4::Context->config('pass');
 289     $params->{secret} //= md5_base64( Encode::encode( 'UTF-8', $pw ) ),
 290     return $params;
 291 }
 292
 293 sub _gen_jwt {
 294     my ( $params ) = @_;
 295     return if !$params->{id} || !$params->{secret};
 296
 297     return Mojo::JWT->new(
 298         claims => { id => $params->{id} },
 299         secret => $params->{secret}
 300     )->encode;
 301 }
 302
 303 sub _chk_jwt {
 304     my ( $params ) = @_;
 305     return if !$params->{id} || !$params->{secret} || !$params->{token};
 306
 307     my $claims = Mojo::JWT->new(secret => $params->{secret})->decode($params->{token});
 308
 309     return 1 if exists $claims->{id} && $claims->{id} == $params->{id};
 310 }
 311
 312 sub _decode_jwt {
 313     my ( $params ) = @_;
 314     return if !$params->{token} || !$params->{secret};
 315
 316     my $claims = Mojo::JWT->new(secret => $params->{secret})->decode($params->{token});
 317
 318     return $claims->{id};
 319 }
 320
 321 =head1 AUTHOR
 322
 323     Marcel de Rooy, Rijksmuseum Amsterdam, The Netherlands
 324
 325 =cut
 326
 327 1;