app/GraphQL/Security/Authenticator/PasetoAuthenticator.php line 17

Open in your IDE?
  1. <?php
  3. namespace Sq\GraphQL\Security\Authenticator;
  5. use Psr\Log\LoggerInterface;
  6. use Sq\GraphQL\Security\TokenManager;
  7. use Symfony\Component\HttpFoundation\Request;
  8. use Symfony\Component\HttpFoundation\RequestStack;
  9. use Symfony\Component\HttpFoundation\Response;
  10. use Symfony\Component\Security\Core\Authentication\Token\TokenInterface;
  11. use Symfony\Component\Security\Core\Exception\AuthenticationException;
  12. use Symfony\Component\Security\Http\Authenticator\AbstractAuthenticator;
  13. use Symfony\Component\Security\Http\Authenticator\Passport\Badge\UserBadge;
  14. use Symfony\Component\Security\Http\Authenticator\Passport\Passport;
  15. use Symfony\Component\Security\Http\Authenticator\Passport\SelfValidatingPassport;
  17. class PasetoAuthenticator extends AbstractAuthenticator
  18. {
  19.     use ImpersonationTrait;
  21.     protected const AUTH_HEADER 'Authorization';
  23.     protected const IMPERSONATE_HEADER 'Impersonate-Uid';
  25.     protected const BEARER_REGEX '/^(?:\s+)?Bearer\s/';
  27.     public function __construct(
  28.         protected TokenManager $tokenManager,
  29.         protected LoggerInterface $logger,
  30.         protected RequestStack $requestStack,
  31.     ) {
  32.     }
  34.     public function createToken(Passport $passportstring $firewallName): TokenInterface
  35.     {
  36.         $token parent::createToken($passport$firewallName);
  38.         $impersonateUid $this->requestStack->getMainRequest()->headers->get(static::IMPERSONATE_HEADER);
  39.         if ($impersonateUid)
  40.         {
  41.             $token $this->createImpersonationToken($token, (int) $impersonateUid$firewallName);
  42.         }
  43.         return $token;
  44.     }
  46.     public function supports(Request $request): bool
  47.     {
  48.         return $request->headers->has(static::AUTH_HEADER)
  49.             && preg_match(static::BEARER_REGEX$request->headers->get(static::AUTH_HEADER));
  50.     }
  52.     public function authenticate(Request $request): Passport
  53.     {
  54.         $header $request->headers->get(static::AUTH_HEADER);
  55.         $token trim(preg_replace(static::BEARER_REGEX''$header));
  56.         return new SelfValidatingPassport(new UserBadge((string) $this->tokenManager->getAccessTokenOwnerId($token)));
  57.     }
  59.     public function onAuthenticationFailure(Request $requestAuthenticationException $exception): ?Response
  60.     {
  61.         $this->logger && $this->logger->debug('Authentication failure', [
  62.             'exception' => $exception,
  63.             'guard' => __CLASS__,
  64.         ]);
  65.         // Normally we would throw an exception or return a redirect response back to the login page, but...
  66.         // Similar to onAuthenticationSuccess(), continue execution flow but with no authenticated user. This is because
  67.         // this particular guard is for GraphQL and we want all errors (including auth errors resulting from no-one logged
  68.         // in) to be handled by the GraphQL controller so it can return a properly formatted GraphQL error response.
  69.         return null;
  70.     }
  72.     public function onAuthenticationSuccess(Request $requestTokenInterface $token$providerKey): ?Response
  73.     {
  74.         // As this is authenticating for an API and authenticated on every request, just continue the request onto the
  75.         // appropriate controller instead of returning a response here (for a successful login page or redirect to last
  76.         // page user visited, etc).
  77.         return null;
  78.     }
  79. }