accounts/api/components/OAuth2/Storage/ScopeStorage.php

<?php
namespace api\components\OAuth2\Storage;

use api\components\OAuth2\Entities\ClientEntity;
use api\components\OAuth2\Entities\ScopeEntity;
use Assert\Assert;
use common\rbac\Permissions as P;
use League\OAuth2\Server\Storage\AbstractStorage;
use League\OAuth2\Server\Storage\ScopeInterface;

class ScopeStorage extends AbstractStorage implements ScopeInterface {

    public const OFFLINE_ACCESS = 'offline_access';

    private const PUBLIC_SCOPES_TO_INTERNAL_PERMISSIONS = [
        'account_info' => P::OBTAIN_OWN_ACCOUNT_INFO,
        'account_email' => P::OBTAIN_ACCOUNT_EMAIL,
        'account_block' => P::BLOCK_ACCOUNT,
        'internal_account_info' => P::OBTAIN_EXTENDED_ACCOUNT_INFO,
    ];

    private const AUTHORIZATION_CODE_PERMISSIONS = [
        P::OBTAIN_OWN_ACCOUNT_INFO,
        P::OBTAIN_ACCOUNT_EMAIL,
        P::MINECRAFT_SERVER_SESSION,
        self::OFFLINE_ACCESS,
    ];

    private const CLIENT_CREDENTIALS_PERMISSIONS = [
    ];

    private const CLIENT_CREDENTIALS_PERMISSIONS_INTERNAL = [
        P::CHANGE_ACCOUNT_USERNAME,
        P::CHANGE_ACCOUNT_PASSWORD,
        P::BLOCK_ACCOUNT,
        P::OBTAIN_EXTENDED_ACCOUNT_INFO,
        P::ESCAPE_IDENTITY_VERIFICATION,
    ];

    /**
     * @param string $scope
     * @param string $grantType передаётся, если запрос поступает из grant. В этом случае нужно отфильтровать
     *                          только те права, которые можно получить на этом grant.
     * @param string $clientId
     *
     * @return ScopeEntity|null
     */
    public function get($scope, $grantType = null, $clientId = null): ?ScopeEntity {
        $permission = $this->convertToInternalPermission($scope);

        if ($grantType === 'authorization_code') {
            $permissions = self::AUTHORIZATION_CODE_PERMISSIONS;
        } elseif ($grantType === 'client_credentials') {
            $permissions = self::CLIENT_CREDENTIALS_PERMISSIONS;
            $isTrusted = false;
            if ($clientId !== null) {
                /** @var ClientEntity $client */
                $client = $this->server->getClientStorage()->get($clientId);
                Assert::that($client)->isInstanceOf(ClientEntity::class);

                /** @noinspection NullPointerExceptionInspection */
                $isTrusted = $client->isTrusted();
            }

            if ($isTrusted) {
                $permissions = array_merge($permissions, self::CLIENT_CREDENTIALS_PERMISSIONS_INTERNAL);
            }
        } else {
            $permissions = array_merge(
                self::AUTHORIZATION_CODE_PERMISSIONS,
                self::CLIENT_CREDENTIALS_PERMISSIONS,
                self::CLIENT_CREDENTIALS_PERMISSIONS_INTERNAL
            );
        }

        if (!in_array($permission, $permissions, true)) {
            return null;
        }

        $entity = new ScopeEntity($this->server);
        $entity->setId($permission);

        return $entity;
    }

    private function convertToInternalPermission(string $publicScope): string {
        return self::PUBLIC_SCOPES_TO_INTERNAL_PERMISSIONS[$publicScope] ?? $publicScope;
    }

}
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
+								<?php
-												Все классы, отвечающие за oAuth передвинуты в компоненты API, освежён код, поправлены неймспейсы

											
										
										
											2016-11-27 03:13:42 +05:30
+								namespace api\components\OAuth2\Storage;
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								use api\components\OAuth2\Entities\ClientEntity;
-												Все классы, отвечающие за oAuth передвинуты в компоненты API, освежён код, поправлены неймспейсы

											
										
										
											2016-11-27 03:13:42 +05:30
+								use api\components\OAuth2\Entities\ScopeEntity;
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								use Assert\Assert;
 								use common\rbac\Permissions as P;
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
+								use League\OAuth2\Server\Storage\AbstractStorage;
 								use League\OAuth2\Server\Storage\ScopeInterface;
 								class ScopeStorage extends AbstractStorage implements ScopeInterface {
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								    public const OFFLINE_ACCESS = 'offline_access';
 								    private const PUBLIC_SCOPES_TO_INTERNAL_PERMISSIONS = [
 								        'account_info' => P::OBTAIN_OWN_ACCOUNT_INFO,
 								        'account_email' => P::OBTAIN_ACCOUNT_EMAIL,
 								        'account_block' => P::BLOCK_ACCOUNT,
 								        'internal_account_info' => P::OBTAIN_EXTENDED_ACCOUNT_INFO,
 								    ];
 								    private const AUTHORIZATION_CODE_PERMISSIONS = [
 								        P::OBTAIN_OWN_ACCOUNT_INFO,
 								        P::OBTAIN_ACCOUNT_EMAIL,
 								        P::MINECRAFT_SERVER_SESSION,
 								        self::OFFLINE_ACCESS,
 								    ];
 								    private const CLIENT_CREDENTIALS_PERMISSIONS = [
 								    ];
 								    private const CLIENT_CREDENTIALS_PERMISSIONS_INTERNAL = [
-												Добавлена возможность получить права на смену ника/пароля пользователя и тесты под это дело.

											
										
										
											2017-09-30 03:34:26 +05:30
+								        P::CHANGE_ACCOUNT_USERNAME,
 								        P::CHANGE_ACCOUNT_PASSWORD,
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								        P::BLOCK_ACCOUNT,
 								        P::OBTAIN_EXTENDED_ACCOUNT_INFO,
-												Добавлено право на избегание удостоверения личности для внутренних приложений

											
										
										
											2017-09-30 03:14:05 +05:30
+								        P::ESCAPE_IDENTITY_VERIFICATION,
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								    ];
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
+								    /**
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								     * @param string $scope
 								     * @param string $grantType передаётся, если запрос поступает из grant. В этом случае нужно отфильтровать
 								     *                          только те права, которые можно получить на этом grant.
 								     * @param string $clientId
 								     *
 								     * @return ScopeEntity|null
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
+								     */
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								    public function get($scope, $grantType = null, $clientId = null): ?ScopeEntity {
 								        $permission = $this->convertToInternalPermission($scope);
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								        if ($grantType === 'authorization_code') {
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								            $permissions = self::AUTHORIZATION_CODE_PERMISSIONS;
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								        } elseif ($grantType === 'client_credentials') {
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								            $permissions = self::CLIENT_CREDENTIALS_PERMISSIONS;
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								            $isTrusted = false;
 								            if ($clientId !== null) {
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								                /** @var ClientEntity $client */
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								                $client = $this->server->getClientStorage()->get($clientId);
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								                Assert::that($client)->isInstanceOf(ClientEntity::class);
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
-												Добавлено право на избегание удостоверения личности для внутренних приложений

											
										
										
											2017-09-30 03:14:05 +05:30
+								                /** @noinspection NullPointerExceptionInspection */
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								                $isTrusted = $client->isTrusted();
 								            }
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								            if ($isTrusted) {
 								                $permissions = array_merge($permissions, self::CLIENT_CREDENTIALS_PERMISSIONS_INTERNAL);
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								            }
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								        } else {
 								            $permissions = array_merge(
 								                self::AUTHORIZATION_CODE_PERMISSIONS,
 								                self::CLIENT_CREDENTIALS_PERMISSIONS,
 								                self::CLIENT_CREDENTIALS_PERMISSIONS_INTERNAL
 								            );
-												Добавлен контроллер для блокировки аккаунта
Добавлен client_credentials grant для oAuth
Рефакторинг структуры OauthScopes чтобы можно было разделить владельца прав на пользовательские и общие (машинные)
Исправлена стилистика кода, внедряются фишки PHP 7.1

											
										
										
											2016-12-18 04:50:53 +05:30
+								        }
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								        if (!in_array($permission, $permissions, true)) {
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
+								            return null;
 								        }
 								        $entity = new ScopeEntity($this->server);
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								        $entity->setId($permission);
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
 								        return $entity;
 								    }
-												Объединены сущности для авторизации посредством JWT токенов и токенов, выданных через oAuth2.
Все действия, связанные с аккаунтами, теперь вызываются через url `/api/v1/accounts/<id>/<action>`.
Добавлена вменяемая система разграничения прав на основе RBAC.
Теперь oAuth2 токены генерируются как случайная строка в 40 символов длинной, а не UUID.
Исправлен баг с неправильным временем жизни токена в ответе успешного запроса аутентификации.
Теперь все unit тесты можно успешно прогнать без наличия интернета.

											
										
										
											2017-09-19 22:36:16 +05:30
+								    private function convertToInternalPermission(string $publicScope): string {
 								        return self::PUBLIC_SCOPES_TO_INTERNAL_PERMISSIONS[$publicScope] ?? $publicScope;
 								    }
-												Реализована логика oAuth авторизации приложений, добавлен Redis, удалены лишние тесты, пофикшены старые.

											
										
										
											2016-02-14 23:20:10 +05:30
+								}