custom/plugins/CioSso/src/Controller/SsoController.php line 145

Open in your IDE?
  1. <?php
  3. namespace CioSso\Controller;
  5. use CioSso\Service\Sso;
  6. use Psr\Log\LoggerInterface;
  7. use Shopware\Core\Checkout\Cart\Exception\CustomerNotLoggedInException;
  8. use Shopware\Core\Checkout\Customer\CustomerEntity;
  9. use Shopware\Core\Framework\Api\Context\AdminApiSource;
  10. use Shopware\Core\Framework\Context;
  11. use Shopware\Core\Framework\DataAbstractionLayer\EntityRepositoryInterface;
  12. use Shopware\Core\Framework\DataAbstractionLayer\Search\Criteria;
  13. use Shopware\Core\Framework\DataAbstractionLayer\Search\Filter\EqualsFilter;
  14. use Shopware\Core\Framework\Routing\Annotation\RouteScope;
  15. use Shopware\Core\System\SalesChannel\SalesChannelContext;
  16. use Shopware\Core\System\User\UserEntity;
  17. use Shopware\Storefront\Controller\StorefrontController;
  18. use Symfony\Component\HttpFoundation\RedirectResponse;
  19. use Symfony\Component\HttpFoundation\Request;
  20. use Symfony\Component\HttpFoundation\Response;
  21. use Symfony\Component\Routing\Annotation\Route;
  23. class SsoController extends StorefrontController
  24. {
  25.     private Sso $sso;
  26.     private ?LoggerInterface $logger;
  27.     private EntityRepositoryInterface $userRepository;
  29.     public function __construct(
  30.         Sso $sso,
  31.         EntityRepositoryInterface $userRepository
  32.     ) {
  33.         $this->sso $sso;
  34.         $this->userRepository $userRepository;
  35.     }
  37.     /**
  38.      * @RouteScope(scopes={"storefront"})
  39.      * @Route("/PraeTbSso/signOn", name="frontend.sso.signon")
  40.      */
  41.     public function signon(Request $requestSalesChannelContext $context): RedirectResponse
  42.     {
  43.         $userId $request->get('custExtenrId');
  44.         $timestamp $request->get('timestamp');
  45.         $hash $request->get('hash');
  46.         $newHash $this->sso->generateHash($userId$timestamp);
  48.         if ($this->sso->validateHash($hash$newHash)) {
  49.             if ($this->sso->validateTimestamp($timestamp)) {
  50.                 if ($customer $this->sso->getCustomer($userId$context)) {
  51.                     $cart $this->sso->login($customer$context);
  52.                     $this->addCartErrors($cart);
  54.                     if ($this->sso->validateCustomerEmail($customer)) {
  55.                         return $this->redirectToRoute('frontend.home.page');
  56.                     } else {
  57.                         return $this->redirectToRoute('frontend.loginpage.sso.email');
  58.                     }
  59.                 }
  60.             }
  61.         }
  63.         return $this->redirectToRoute('frontend.account.login.page');
  64.     }
  66.     /**
  67.      * @RouteScope(scopes={"storefront"})
  68.      * @Route("/loginpage/sso/email", name="frontend.loginpage.sso.email")
  69.      */
  70.     public function loginpage(Request $requestSalesChannelContext $context)
  71.     {
  72.         if (!$context->getCustomer() instanceof CustomerEntity) {
  73.             throw new CustomerNotLoggedInException();
  74.         }
  76.         if (strtoupper($request->getMethod()) === 'POST') {
  78.             $tmpCustomer = new CustomerEntity();
  79.             $tmpCustomer->setEmail(
  80.                 $request->request->get('email')
  81.             );
  82.             $tmpCustomer->setCustomerNumber(
  83.                 $context->getCustomer()->getCustomerNumber()
  84.             );
  86.             if ($request->request->get('email') && $this->sso->validateCustomerEmail($tmpCustomer)) {
  88.                 /** @var EntityRepositoryInterface $customerRepository */
  89.                 $customerRepository $this->container->get('customer.repository');
  91.                 $checkEmailCustomerCriteria = new Criteria();
  92.                 $checkEmailCustomerCriteria->addFilter(new EqualsFilter('email'$request->request->get('email')));
  94.                 $checkEmailCustomer $customerRepository->search($checkEmailCustomerCriteria$context->getContext())->first();
  96.                 if ($checkEmailCustomer instanceof CustomerEntity) {
  97.                     return $this->renderStorefront('@CioSso/storefront/page/sso/missingemail.html.twig', ['uniqueMailError' => true'oldMail' => $request->request->get('email')]);
  98.                 }
  100.                 $customerRepository->update([
  101.                     [
  102.                         'id' => $context->getCustomer()->getId(),
  103.                         'email' => $request->request->get('email')
  104.                     ]
  105.                 ], $context->getContext());
  107.                 return $this->redirectToRoute('frontend.home.page');
  108.             }
  110.         }
  112.         if ($this->sso->validateCustomerEmail($context->getCustomer())) {
  113.             return $this->redirectToRoute('frontend.home.page');
  114.         }
  116.         return $this->renderStorefront('@CioSso/storefront/page/sso/missingemail.html.twig');
  117.     }
  119.     /**
  120.      * @RouteScope(scopes={"storefront"})
  121.      * @Route("/sso/media/fallback", name="frontend.media.fallback")
  122.      */
  123.     public function media(Request $requestSalesChannelContext $context): Response
  124.     {
  125.         $path $request->query->get('path');
  127.         // Prüfen ob ein Kunde eingeloggt ist
  128.         if (!is_null($context->getCustomer()) && !empty($path)) {
  129.             return $this->serveMediaFile($path);
  130.         }
  132.         // Wenn kein Kunde eingeloggt ist, zur Admin-Route weiterleiten
  133.         // um dort zu prüfen ob ein Admin eingeloggt ist
  134.         if (!empty($path)) {
  135.             return $this->redirectToRoute('admin.media.fallback', ['path' => $path]);
  136.         }
  138.         return $this->redirectToRoute('frontend.account.login.page');
  139.     }
  141.     /**
  142.      * @RouteScope(scopes={"administration"})
  143.      * @Route("/admin/sso/media/fallback", name="admin.media.fallback", defaults={"auth_required"=false})
  144.      */
  145.     public function adminMedia(Request $request): Response
  146.     {
  147.         $path $request->query->get('path');
  149.         // Admin Bearer Token validieren
  150.         if (!$this->validateAdminBearerToken($request)) {
  151.             // Bei ungültigem Token zum Customer Login weiterleiten
  152.             return $this->redirectToRoute('frontend.account.login.page');
  153.         }
  155.         // Bei gültigem Admin Token die Media-Datei ausliefern
  156.         if (!empty($path)) {
  157.             return $this->serveMediaFile($path);
  158.         }
  160.         return new Response('Path parameter required'Response::HTTP_BAD_REQUEST);
  161.     }
  163.     /**
  164.      * Validiert den Admin Bearer Token mit Shopware Services
  165.      *
  166.      * @param Request $request HTTP Request
  167.      * @return bool True wenn Token gültig ist, false sonst
  168.      */
  169.     private function validateAdminBearerToken(Request $request): bool
  170.     {
  171.         try {
  172.             // 1. Authorization Header extrahieren (Shopware Standard)
  173.             $authHeader $request->headers->get('Authorization');
  174.             if (!$authHeader) {
  175.                 // Fallback auf Cookie (spezielle Anforderung)
  176.                 $authHeader $request->cookies->get('bearerAuth');
  177.             }
  179.             if (!$authHeader) {
  180.                 return false;
  181.             }
  183.             // 2. Bearer Token extrahieren (Shopware Standard Regex)
  184.             $jwt trim(preg_replace('/^(?:\s+)?Bearer\s/'''$authHeader) ?? '');
  185.             if (empty($jwt)) {
  186.                 return false;
  187.             }
  189.             // 3. Token mit Shopware Services validieren
  190.             return $this->validateTokenWithShopwareServices($jwt);
  192.         } catch (\Exception $e) {
  193.             return false;
  194.         }
  195.     }
  197.     /**
  198.      * Validiert JWT Token mit Shopware Services
  199.      *
  200.      * @param string $jwt JWT Token
  201.      * @return bool True wenn Token gültig ist
  202.      */
  203.     private function validateTokenWithShopwareServices(string $jwt): bool
  204.     {
  205.         try {
  206.             // JWT Payload dekodieren um User ID zu extrahieren
  207.             $payload $this->decodeJwtPayload($jwt);
  208.             if (!$payload || !isset($payload['sub'])) {
  209.                 return false;
  210.             }
  212.             // Token Ablaufzeit prüfen
  213.             if (isset($payload['exp']) && $payload['exp'] < time()) {
  214.                 return false;
  215.             }
  217.             // AdminApiSource mit User ID erstellen
  218.             $source = new AdminApiSource($payload['sub']);
  219.             $context = new Context($source);
  221.             // Admin User validieren
  222.             return $this->validateAdminUser($payload['sub'], $context);
  224.         } catch (\Exception $e) {
  225.             return false;
  226.         }
  227.     }
  229.     /**
  230.      * Dekodiert JWT Payload ohne Signatur-Validierung
  231.      *
  232.      * @param string $jwt JWT Token
  233.      * @return array|null Dekodiertes Payload oder null bei Fehler
  234.      */
  235.     private function decodeJwtPayload(string $jwt): ?array
  236.     {
  237.         try {
  238.             $parts explode('.'$jwt);
  239.             if (count($parts) !== 3) {
  240.                 return null;
  241.             }
  243.             // Base64 URL-Safe Dekodierung
  244.             $payload base64_decode(str_replace(['-''_'], ['+''/'], $parts[1]));
  245.             if (!$payload) {
  246.                 return null;
  247.             }
  249.             $decoded json_decode($payloadtrue);
  250.             return is_array($decoded) ? $decoded null;
  252.         } catch (\Exception $e) {
  253.             return null;
  254.         }
  255.     }
  257.     /**
  258.      * Validiert Admin User mit Shopware User Repository
  259.      *
  260.      * @param string $userId User ID aus JWT Token
  261.      * @param Context $context Shopware Context
  262.      * @return bool True wenn User gültig und aktiv ist
  263.      */
  264.     private function validateAdminUser(string $userIdContext $context): bool
  265.     {
  266.         try {
  267.             $criteria = new Criteria([$userId]);
  268.             $user $this->userRepository->search($criteria$context)->first();
  270.             if (!$user instanceof UserEntity) {
  271.                 return false;
  272.             }
  274.             // User muss aktiv sein
  275.             if (!$user->getActive()) {
  276.                 return false;
  277.             }
  279.             return true;
  281.         } catch (\Exception $e) {
  282.             return false;
  283.         }
  284.     }
  286.     /**
  287.      * Sichere Auslieferung von Media-Dateien aus dem public/media Verzeichnis
  288.      *
  289.      * @param string $path Relativer Pfad zur Media-Datei
  290.      * @return Response HTTP Response mit der Datei oder 404 wenn nicht gefunden
  291.      */
  292.     private function serveMediaFile(string $path): Response
  293.     {
  294.         // Sicherheitsprüfung: Pfad muss innerhalb von public/media liegen
  295.         $mediaBasePath realpath('public/media');
  296.         $requestedPath 'public/media/' ltrim($path'/');
  297.         $resolvedPath realpath($requestedPath);
  299.         // Prüfen ob der aufgelöste Pfad innerhalb des erlaubten Verzeichnisses liegt
  300.         if ($resolvedPath === false || strpos($resolvedPath$mediaBasePath) !== 0) {
  301.             return new Response('File not found'Response::HTTP_NOT_FOUND);
  302.         }
  304.         // Prüfen ob die Datei existiert
  305.         if (!file_exists($resolvedPath)) {
  306.             return new Response('File not found'Response::HTTP_NOT_FOUND);
  307.         }
  309.         // Datei laden und ausliefern
  310.         $fileContent file_get_contents($resolvedPath);
  311.         $fileName basename($resolvedPath);
  313.         return new Response($fileContentResponse::HTTP_OK, [
  314.             'Content-Type' => mime_content_type($resolvedPath),
  315.             'Content-Disposition' => 'filename=' $fileName
  316.         ]);
  317.     }
  318. }