Fix errors in URL creation when IdP context is bound to / - SIDP-417
[java-idp.git] / src / main / java / edu / internet2 / middleware / shibboleth / idp / authn / AuthenticationEngine.java
1 /*
2  * Copyright 2006 University Corporation for Advanced Internet Development, Inc.
3  *
4  * Licensed under the Apache License, Version 2.0 (the "License");
5  * you may not use this file except in compliance with the License.
6  * You may obtain a copy of the License at
7  *
8  * http://www.apache.org/licenses/LICENSE-2.0
9  *
10  * Unless required by applicable law or agreed to in writing, software
11  * distributed under the License is distributed on an "AS IS" BASIS,
12  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
13  * See the License for the specific language governing permissions and
14  * limitations under the License.
15  */
16
17 package edu.internet2.middleware.shibboleth.idp.authn;
18
19 import java.io.IOException;
20 import java.security.GeneralSecurityException;
21 import java.security.MessageDigest;
22 import java.security.Principal;
23 import java.util.ArrayList;
24 import java.util.Collection;
25 import java.util.HashMap;
26 import java.util.HashSet;
27 import java.util.Iterator;
28 import java.util.List;
29 import java.util.Map;
30 import java.util.Set;
31 import java.util.Map.Entry;
32
33 import javax.security.auth.Subject;
34 import javax.servlet.RequestDispatcher;
35 import javax.servlet.ServletConfig;
36 import javax.servlet.ServletContext;
37 import javax.servlet.ServletException;
38 import javax.servlet.http.Cookie;
39 import javax.servlet.http.HttpServlet;
40 import javax.servlet.http.HttpServletRequest;
41 import javax.servlet.http.HttpServletResponse;
42
43 import org.joda.time.DateTime;
44 import org.opensaml.saml2.core.AuthnContext;
45 import org.opensaml.util.URLBuilder;
46 import org.opensaml.util.storage.StorageService;
47 import org.opensaml.ws.transport.http.HTTPTransportUtils;
48 import org.opensaml.xml.util.Base64;
49 import org.opensaml.xml.util.DatatypeHelper;
50 import org.slf4j.Logger;
51 import org.slf4j.LoggerFactory;
52
53 import edu.internet2.middleware.shibboleth.common.session.SessionManager;
54 import edu.internet2.middleware.shibboleth.common.util.HttpHelper;
55 import edu.internet2.middleware.shibboleth.idp.profile.IdPProfileHandlerManager;
56 import edu.internet2.middleware.shibboleth.idp.session.AuthenticationMethodInformation;
57 import edu.internet2.middleware.shibboleth.idp.session.ServiceInformation;
58 import edu.internet2.middleware.shibboleth.idp.session.Session;
59 import edu.internet2.middleware.shibboleth.idp.session.impl.AuthenticationMethodInformationImpl;
60 import edu.internet2.middleware.shibboleth.idp.session.impl.ServiceInformationImpl;
61 import edu.internet2.middleware.shibboleth.idp.util.HttpServletHelper;
62
63 /** Manager responsible for handling authentication requests. */
64 public class AuthenticationEngine extends HttpServlet {
65
66     /**
67      * Name of the Servlet config init parameter that indicates whether the public credentials of a {@link Subject} are
68      * retained after authentication.
69      */
70     public static final String RETAIN_PUBLIC_CREDENTIALS = "retainSubjectsPublicCredentials";
71
72     /**
73      * Name of the Servlet config init parameter that indicates whether the private credentials of a {@link Subject} are
74      * retained after authentication.
75      */
76     public static final String RETAIN_PRIVATE_CREDENTIALS = "retainSubjectsPrivateCredentials";
77
78     /** Name of the Servlet config init parameter that holds the partition name for login contexts. */
79     public static final String LOGIN_CONTEXT_PARTITION_NAME_INIT_PARAM_NAME = "loginContextPartitionName";
80
81     /** Name of the Servlet config init parameter that holds lifetime of a login context in the storage service. */
82     public static final String LOGIN_CONTEXT_LIFETIME_INIT_PARAM_NAME = "loginContextEntryLifetime";
83
84     /** Name of the IdP Cookie containing the IdP session ID. */
85     public static final String IDP_SESSION_COOKIE_NAME = "_idp_session";
86
87     /** Name of the key under which to bind the storage service key for a login context. */
88     public static final String LOGIN_CONTEXT_KEY_NAME = "_idp_authn_lc_key";
89
90     /** Serial version UID. */
91     private static final long serialVersionUID = -8479060989001890156L;
92
93     /** Class logger. */
94     private static final Logger LOG = LoggerFactory.getLogger(AuthenticationEngine.class);
95
96     // TODO remove once HttpServletHelper does redirects
97     private static ServletContext context;
98
99     /** Storage service used to store {@link LoginContext}s while authentication is in progress. */
100     private static StorageService<String, LoginContextEntry> storageService;
101
102     /** Whether the public credentials of a {@link Subject} are retained after authentication. */
103     private boolean retainSubjectsPublicCredentials;
104
105     /** Whether the private credentials of a {@link Subject} are retained after authentication. */
106     private boolean retainSubjectsPrivateCredentials;
107
108     /** Profile handler manager. */
109     private IdPProfileHandlerManager handlerManager;
110
111     /** Session manager. */
112     private SessionManager<Session> sessionManager;
113
114     /** {@inheritDoc} */
115     public void init(ServletConfig config) throws ServletException {
116         super.init(config);
117
118         String retain = DatatypeHelper.safeTrimOrNullString(config.getInitParameter(RETAIN_PRIVATE_CREDENTIALS));
119         if (retain != null) {
120             retainSubjectsPrivateCredentials = Boolean.parseBoolean(retain);
121         } else {
122             retainSubjectsPrivateCredentials = false;
123         }
124
125         retain = DatatypeHelper.safeTrimOrNullString(config.getInitParameter(RETAIN_PUBLIC_CREDENTIALS));
126         if (retain != null) {
127             retainSubjectsPublicCredentials = Boolean.parseBoolean(retain);
128         } else {
129             retainSubjectsPublicCredentials = false;
130         }
131         context = config.getServletContext();
132         handlerManager = HttpServletHelper.getProfileHandlerManager(context);
133         sessionManager = HttpServletHelper.getSessionManager(context);
134         storageService = (StorageService<String, LoginContextEntry>) HttpServletHelper.getStorageService(context);
135     }
136
137     /**
138      * Returns control back to the authentication engine.
139      * 
140      * @param httpRequest current HTTP request
141      * @param httpResponse current HTTP response
142      */
143     public static void returnToAuthenticationEngine(HttpServletRequest httpRequest, HttpServletResponse httpResponse) {
144         LOG.debug("Returning control to authentication engine");
145         LoginContext loginContext = HttpServletHelper.getLoginContext(storageService, context, httpRequest);
146         if (loginContext == null) {
147             LOG.warn("No login context available, unable to return to authentication engine");
148             forwardRequest("/error.jsp", httpRequest, httpResponse);
149         } else {
150             forwardRequest(loginContext.getAuthenticationEngineURL(), httpRequest, httpResponse);
151         }
152     }
153
154     /**
155      * Returns control back to the profile handler that invoked the authentication engine.
156      * 
157      * @param httpRequest current HTTP request
158      * @param httpResponse current HTTP response
159      */
160     public static void returnToProfileHandler(HttpServletRequest httpRequest, HttpServletResponse httpResponse) {
161         LOG.debug("Returning control to profile handler");
162         LoginContext loginContext = HttpServletHelper.getLoginContext(storageService, context, httpRequest);
163         if (loginContext == null) {
164             LOG.warn("No login context available, unable to return to profile handler");
165             forwardRequest("/error.jsp", httpRequest, httpResponse);
166         }
167
168         String profileUrl = HttpServletHelper.getContextRelativeUrl(httpRequest, loginContext.getProfileHandlerURL())
169                 .buildURL();
170         LOG.debug("Redirecting user to profile handler at {}", profileUrl);
171         try {
172             httpResponse.sendRedirect(profileUrl);
173         } catch (IOException e) {
174             LOG.warn("Error sending user back to profile handler at " + profileUrl, e);
175         }
176     }
177
178     /**
179      * Forwards a request to the given path.
180      * 
181      * @param forwardPath path to forward the request to
182      * @param httpRequest current HTTP request
183      * @param httpResponse current HTTP response
184      */
185     protected static void forwardRequest(String forwardPath, HttpServletRequest httpRequest,
186             HttpServletResponse httpResponse) {
187         try {
188             RequestDispatcher dispatcher = httpRequest.getRequestDispatcher(forwardPath);
189             dispatcher.forward(httpRequest, httpResponse);
190             return;
191         } catch (IOException e) {
192             LOG.error("Unable to return control back to authentication engine", e);
193         } catch (ServletException e) {
194             LOG.error("Unable to return control back to authentication engine", e);
195         }
196     }
197
198     /** {@inheritDoc} */
199     @SuppressWarnings("unchecked")
200     protected void service(HttpServletRequest httpRequest, HttpServletResponse httpResponse) throws ServletException,
201             IOException {
202         LOG.debug("Processing incoming request");
203
204         if (httpResponse.isCommitted()) {
205             LOG.error("HTTP Response already committed");
206         }
207
208         LoginContext loginContext = HttpServletHelper.getLoginContext(storageService, getServletContext(), httpRequest);
209         if (loginContext == null) {
210             LOG.error("Incoming request does not have attached login context");
211             throw new ServletException("Incoming request does not have attached login context");
212         }
213
214         if (!loginContext.getAuthenticationAttempted()) {
215             startUserAuthentication(loginContext, httpRequest, httpResponse);
216         } else {
217             completeAuthentication(loginContext, httpRequest, httpResponse);
218         }
219     }
220
221     /**
222      * Begins the authentication process. Determines if forced re-authentication is required or if an existing, active,
223      * authentication method is sufficient. Also determines, when authentication is required, which handler to use
224      * depending on whether passive authentication is required.
225      * 
226      * @param loginContext current login context
227      * @param httpRequest current HTTP request
228      * @param httpResponse current HTTP response
229      */
230     protected void startUserAuthentication(LoginContext loginContext, HttpServletRequest httpRequest,
231             HttpServletResponse httpResponse) {
232         LOG.debug("Beginning user authentication process.");
233         try {
234             Session idpSession = (Session) httpRequest.getAttribute(Session.HTTP_SESSION_BINDING_ATTRIBUTE);
235             if (idpSession != null) {
236                 LOG.debug("Existing IdP session available for principal {}", idpSession.getPrincipalName());
237             }
238
239             Map<String, LoginHandler> possibleLoginHandlers = determinePossibleLoginHandlers(idpSession, loginContext);
240
241             // Filter out possible candidate login handlers by forced and passive authentication requirements
242             if (loginContext.isForceAuthRequired()) {
243                 filterByForceAuthentication(idpSession, loginContext, possibleLoginHandlers);
244             }
245
246             if (loginContext.isPassiveAuthRequired()) {
247                 filterByPassiveAuthentication(idpSession, loginContext, possibleLoginHandlers);
248             }
249
250             LoginHandler loginHandler = selectLoginHandler(possibleLoginHandlers, loginContext, idpSession);
251             loginContext.setAuthenticationAttempted();
252             loginContext.setAuthenticationEngineURL(HttpHelper.getRequestUriWithoutContext(httpRequest));
253
254             // Send the request to the login handler
255             HttpServletHelper.bindLoginContext(loginContext, storageService, getServletContext(), httpRequest,
256                     httpResponse);
257             loginHandler.login(httpRequest, httpResponse);
258         } catch (AuthenticationException e) {
259             loginContext.setAuthenticationFailure(e);
260             returnToProfileHandler(httpRequest, httpResponse);
261         }
262     }
263
264     /**
265      * Determines which configured login handlers will support the requested authentication methods.
266      * 
267      * @param loginContext current login context
268      * @param idpSession current user's session, or null if they don't have one
269      * 
270      * @return login methods that may be used to authenticate the user
271      * 
272      * @throws AuthenticationException thrown if no login handler meets the given requirements
273      */
274     protected Map<String, LoginHandler> determinePossibleLoginHandlers(Session idpSession, LoginContext loginContext)
275             throws AuthenticationException {
276         Map<String, LoginHandler> supportedLoginHandlers = new HashMap<String, LoginHandler>(
277                 handlerManager.getLoginHandlers());
278         LOG.debug("Filtering configured LoginHandlers: {}", supportedLoginHandlers);
279
280         // First, if the service provider requested a particular authentication method, filter out everything but
281         List<String> requestedMethods = loginContext.getRequestedAuthenticationMethods();
282         if (requestedMethods != null && !requestedMethods.isEmpty()) {
283             LOG.debug("Filtering possible login handlers by requested authentication methods: {}", requestedMethods);
284             Iterator<Entry<String, LoginHandler>> supportedLoginHandlerItr = supportedLoginHandlers.entrySet()
285                     .iterator();
286             Entry<String, LoginHandler> supportedLoginHandlerEntry;
287             while (supportedLoginHandlerItr.hasNext()) {
288                 supportedLoginHandlerEntry = supportedLoginHandlerItr.next();
289                 if (!supportedLoginHandlerEntry.getKey().equals(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX)
290                         && !requestedMethods.contains(supportedLoginHandlerEntry.getKey())) {
291                     LOG.debug(
292                             "Filtering out login handler for authentication {}, it does not provide a requested authentication method",
293                             supportedLoginHandlerEntry.getKey());
294                     supportedLoginHandlerItr.remove();
295                 }
296             }
297         }
298
299         // Next, determine, if present, if the previous session handler can be used
300         filterPreviousSessionLoginHandler(supportedLoginHandlers, idpSession, loginContext);
301
302         if (supportedLoginHandlers.isEmpty()) {
303             LOG.warn("No authentication method, requested by the service provider, is supported");
304             throw new AuthenticationException(
305                     "No authentication method, requested by the service provider, is supported");
306         }
307
308         return supportedLoginHandlers;
309     }
310
311     /**
312      * Filters out the previous session login handler if there is no existing IdP session, no active authentication
313      * methods, or if at least one of the active authentication methods do not match the requested authentication
314      * methods.
315      * 
316      * @param supportedLoginHandlers login handlers supported by the authentication engine for this request, never null
317      * @param idpSession current IdP session, may be null if no session currently exists
318      * @param loginContext current login context, never null
319      */
320     protected void filterPreviousSessionLoginHandler(Map<String, LoginHandler> supportedLoginHandlers,
321             Session idpSession, LoginContext loginContext) {
322         if (!supportedLoginHandlers.containsKey(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX)) {
323             return;
324         }
325
326         if (idpSession == null) {
327             LOG.debug("Filtering out previous session login handler because there is no existing IdP session");
328             supportedLoginHandlers.remove(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX);
329             return;
330         }
331         Collection<AuthenticationMethodInformation> currentAuthnMethods = idpSession.getAuthenticationMethods()
332                 .values();
333
334         Iterator<AuthenticationMethodInformation> methodItr = currentAuthnMethods.iterator();
335         while (methodItr.hasNext()) {
336             AuthenticationMethodInformation info = methodItr.next();
337             if (info.isExpired()) {
338                 methodItr.remove();
339             }
340         }
341         if (currentAuthnMethods.isEmpty()) {
342             LOG.debug("Filtering out previous session login handler because there are no active authentication methods");
343             supportedLoginHandlers.remove(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX);
344             return;
345         }
346
347         List<String> requestedMethods = loginContext.getRequestedAuthenticationMethods();
348         if (requestedMethods != null && !requestedMethods.isEmpty()) {
349             boolean retainPreviousSession = false;
350             for (AuthenticationMethodInformation currentAuthnMethod : currentAuthnMethods) {
351                 if (loginContext.getRequestedAuthenticationMethods().contains(
352                         currentAuthnMethod.getAuthenticationMethod())) {
353                     retainPreviousSession = true;
354                     break;
355                 }
356             }
357
358             if (!retainPreviousSession) {
359                 LOG.debug("Filtering out previous session login handler, no active authentication methods match required methods");
360                 supportedLoginHandlers.remove(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX);
361                 return;
362             }
363         }
364     }
365
366     /**
367      * Filters out any login handler based on the requirement for forced authentication.
368      * 
369      * During forced authentication any handler that has not previously been used to authenticate the user or any
370      * handlers that have been and support force re-authentication may be used. Filter out any of the other ones.
371      * 
372      * @param idpSession user's current IdP session
373      * @param loginContext current login context
374      * @param loginHandlers login handlers to filter
375      * 
376      * @throws ForceAuthenticationException thrown if no handlers remain after filtering
377      */
378     protected void filterByForceAuthentication(Session idpSession, LoginContext loginContext,
379             Map<String, LoginHandler> loginHandlers) throws ForceAuthenticationException {
380         LOG.debug("Forced authentication is required, filtering possible login handlers accordingly");
381
382         ArrayList<AuthenticationMethodInformation> activeMethods = new ArrayList<AuthenticationMethodInformation>();
383         if (idpSession != null) {
384             activeMethods.addAll(idpSession.getAuthenticationMethods().values());
385         }
386
387         loginHandlers.remove(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX);
388
389         LoginHandler loginHandler;
390         for (AuthenticationMethodInformation activeMethod : activeMethods) {
391             loginHandler = loginHandlers.get(activeMethod.getAuthenticationMethod());
392             if (loginHandler != null && !loginHandler.supportsForceAuthentication()) {
393                 for (String handlerSupportedMethods : loginHandler.getSupportedAuthenticationMethods()) {
394                     LOG.debug("Removing LoginHandler {}, it does not support forced re-authentication", loginHandler
395                             .getClass().getName());
396                     loginHandlers.remove(handlerSupportedMethods);
397                 }
398             }
399         }
400
401         LOG.debug("Authentication handlers remaining after forced authentication requirement filtering: {}",
402                 loginHandlers);
403
404         if (loginHandlers.isEmpty()) {
405             LOG.info("Force authentication requested but no login handlers available to support it");
406             throw new ForceAuthenticationException();
407         }
408     }
409
410     /**
411      * Filters out any login handler that doesn't support passive authentication if the login context indicates passive
412      * authentication is required.
413      * 
414      * @param idpSession user's current IdP session
415      * @param loginContext current login context
416      * @param loginHandlers login handlers to filter
417      * 
418      * @throws PassiveAuthenticationException thrown if no handlers remain after filtering
419      */
420     protected void filterByPassiveAuthentication(Session idpSession, LoginContext loginContext,
421             Map<String, LoginHandler> loginHandlers) throws PassiveAuthenticationException {
422         LOG.debug("Passive authentication is required, filtering poassible login handlers accordingly.");
423
424         if (idpSession == null) {
425             loginHandlers.remove(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX);
426         }
427
428         LoginHandler loginHandler;
429         Iterator<Entry<String, LoginHandler>> authnMethodItr = loginHandlers.entrySet().iterator();
430         while (authnMethodItr.hasNext()) {
431             loginHandler = authnMethodItr.next().getValue();
432             if (!loginHandler.supportsPassive()) {
433                 authnMethodItr.remove();
434             }
435         }
436
437         LOG.debug("Authentication handlers remaining after passive authentication requirement filtering: {}",
438                 loginHandlers);
439
440         if (loginHandlers.isEmpty()) {
441             LOG.warn("Passive authentication required but no login handlers available to support it");
442             throw new PassiveAuthenticationException();
443         }
444     }
445
446     /**
447      * Selects a login handler from a list of possible login handlers that could be used for the request.
448      * 
449      * @param possibleLoginHandlers list of possible login handlers that could be used for the request
450      * @param loginContext current login context
451      * @param idpSession current IdP session, if one exists
452      * 
453      * @return the login handler to use for this request
454      * 
455      * @throws AuthenticationException thrown if no handler can be used for this request
456      */
457     protected LoginHandler selectLoginHandler(Map<String, LoginHandler> possibleLoginHandlers,
458             LoginContext loginContext, Session idpSession) throws AuthenticationException {
459         LOG.debug("Selecting appropriate login handler from filtered set {}", possibleLoginHandlers);
460         LoginHandler loginHandler;
461         if (idpSession != null && possibleLoginHandlers.containsKey(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX)) {
462             LOG.debug("Authenticating user with previous session LoginHandler");
463             loginHandler = possibleLoginHandlers.get(AuthnContext.PREVIOUS_SESSION_AUTHN_CTX);
464
465             for (AuthenticationMethodInformation authnMethod : idpSession.getAuthenticationMethods().values()) {
466                 if (authnMethod.isExpired()) {
467                     continue;
468                 }
469
470                 if (loginContext.getRequestedAuthenticationMethods().isEmpty()
471                         || loginContext.getRequestedAuthenticationMethods().contains(
472                                 authnMethod.getAuthenticationMethod())) {
473                     LOG.debug("Basing previous session authentication on active authentication method {}",
474                             authnMethod.getAuthenticationMethod());
475                     loginContext.setAttemptedAuthnMethod(authnMethod.getAuthenticationMethod());
476                     loginContext.setAuthenticationMethodInformation(authnMethod);
477                     return loginHandler;
478                 }
479             }
480         }
481
482         if (loginContext.getDefaultAuthenticationMethod() != null
483                 && possibleLoginHandlers.containsKey(loginContext.getDefaultAuthenticationMethod())) {
484             loginHandler = possibleLoginHandlers.get(loginContext.getDefaultAuthenticationMethod());
485             loginContext.setAttemptedAuthnMethod(loginContext.getDefaultAuthenticationMethod());
486         } else {
487             Entry<String, LoginHandler> chosenLoginHandler = possibleLoginHandlers.entrySet().iterator().next();
488             loginContext.setAttemptedAuthnMethod(chosenLoginHandler.getKey());
489             loginHandler = chosenLoginHandler.getValue();
490         }
491
492         LOG.debug("Authenticating user with login handler of type {}", loginHandler.getClass().getName());
493         return loginHandler;
494     }
495
496     /**
497      * Completes the authentication process.
498      * 
499      * The principal name set by the authentication handler is retrieved and pushed in to the login context, a
500      * Shibboleth session is created if needed, information indicating that the user has logged into the service is
501      * recorded and finally control is returned back to the profile handler.
502      * 
503      * @param loginContext current login context
504      * @param httpRequest current HTTP request
505      * @param httpResponse current HTTP response
506      */
507     protected void completeAuthentication(LoginContext loginContext, HttpServletRequest httpRequest,
508             HttpServletResponse httpResponse) {
509         LOG.debug("Completing user authentication process");
510
511         Session idpSession = (Session) httpRequest.getAttribute(Session.HTTP_SESSION_BINDING_ATTRIBUTE);
512
513         try {
514             // We allow a login handler to override the authentication method in the
515             // event that it supports multiple methods
516             String actualAuthnMethod = DatatypeHelper.safeTrimOrNullString((String) httpRequest
517                     .getAttribute(LoginHandler.AUTHENTICATION_METHOD_KEY));
518             if (actualAuthnMethod != null) {
519                 if (!loginContext.getRequestedAuthenticationMethods().isEmpty()
520                         && !loginContext.getRequestedAuthenticationMethods().contains(actualAuthnMethod)) {
521                     String msg = "Relying patry required an authentication method of "
522                             + loginContext.getRequestedAuthenticationMethods() + " but the login handler performed "
523                             + actualAuthnMethod;
524                     LOG.error(msg);
525                     throw new AuthenticationException(msg);
526                 }
527             } else {
528                 actualAuthnMethod = loginContext.getAttemptedAuthnMethod();
529             }
530
531             // Check to make sure the login handler did the right thing
532             validateSuccessfulAuthentication(loginContext, httpRequest, actualAuthnMethod);
533
534             // Get the Subject from the request. If force authentication was required then make sure the
535             // Subject identifies the same user that authenticated before
536             Subject subject = getLoginHandlerSubject(httpRequest);
537             if (loginContext.isForceAuthRequired()) {
538                 validateForcedReauthentication(idpSession, actualAuthnMethod, subject);
539             }
540
541             loginContext.setPrincipalAuthenticated(true);
542             updateUserSession(loginContext, subject, actualAuthnMethod, httpRequest, httpResponse);
543             LOG.debug("User {} authenticated with method {}", loginContext.getPrincipalName(),
544                     loginContext.getAuthenticationMethod());
545         } catch (AuthenticationException e) {
546             LOG.error("Authentication failed with the error:", e);
547             loginContext.setPrincipalAuthenticated(false);
548             loginContext.setAuthenticationFailure(e);
549         }
550
551         returnToProfileHandler(httpRequest, httpResponse);
552     }
553
554     /**
555      * Validates that the authentication was successfully performed by the login handler. An authentication is
556      * considered successful if no error is bound to the request attribute {@link LoginHandler#AUTHENTICATION_ERROR_KEY}
557      * and there is a value for at least one of the following request attributes: {@link LoginHandler#SUBJECT_KEY},
558      * {@link LoginHandler#PRINCIPAL_KEY}, or {@link LoginHandler#PRINCIPAL_NAME_KEY}.
559      * 
560      * @param loginContext current login context
561      * @param httpRequest current HTTP request
562      * @param authenticationMethod the authentication method used to authenticate the user
563      * 
564      * @throws AuthenticationException thrown if the authentication was not successful
565      */
566     protected void validateSuccessfulAuthentication(LoginContext loginContext, HttpServletRequest httpRequest,
567             String authenticationMethod) throws AuthenticationException {
568         LOG.debug("Validating authentication was performed successfully");
569
570         if (authenticationMethod == null) {
571             LOG.error("No authentication method reported by login handler.");
572             throw new AuthenticationException("No authentication method reported by login handler.");
573         }
574
575         String errorMessage = DatatypeHelper.safeTrimOrNullString((String) httpRequest
576                 .getAttribute(LoginHandler.AUTHENTICATION_ERROR_KEY));
577         if (errorMessage != null) {
578             LOG.error("Error returned from login handler for authentication method {}:\n{}",
579                     loginContext.getAttemptedAuthnMethod(), errorMessage);
580             throw new AuthenticationException(errorMessage);
581         }
582
583         AuthenticationException authnException = (AuthenticationException) httpRequest
584                 .getAttribute(LoginHandler.AUTHENTICATION_EXCEPTION_KEY);
585         if (authnException != null) {
586             throw authnException;
587         }
588
589         Subject subject = (Subject) httpRequest.getAttribute(LoginHandler.SUBJECT_KEY);
590         Principal principal = (Principal) httpRequest.getAttribute(LoginHandler.PRINCIPAL_KEY);
591         String principalName = DatatypeHelper.safeTrimOrNullString((String) httpRequest
592                 .getAttribute(LoginHandler.PRINCIPAL_NAME_KEY));
593
594         if (subject == null && principal == null && principalName == null) {
595             LOG.error("No user identified by login handler.");
596             throw new AuthenticationException("No user identified by login handler.");
597         }
598     }
599
600     /**
601      * Gets the subject from the request coming back from the login handler.
602      * 
603      * @param httpRequest request coming back from the login handler
604      * 
605      * @return the {@link Subject} created from the request
606      * 
607      * @throws AuthenticationException thrown if no subject can be retrieved from the request
608      */
609     protected Subject getLoginHandlerSubject(HttpServletRequest httpRequest) throws AuthenticationException {
610         Subject subject = (Subject) httpRequest.getAttribute(LoginHandler.SUBJECT_KEY);
611         Principal principal = (Principal) httpRequest.getAttribute(LoginHandler.PRINCIPAL_KEY);
612         String principalName = DatatypeHelper.safeTrimOrNullString((String) httpRequest
613                 .getAttribute(LoginHandler.PRINCIPAL_NAME_KEY));
614
615         if (subject == null && (principal != null || principalName != null)) {
616             subject = new Subject();
617             if (principal == null) {
618                 principal = new UsernamePrincipal(principalName);
619             }
620             subject.getPrincipals().add(principal);
621         }
622
623         return subject;
624     }
625
626     /**
627      * If forced authentication was required this method checks to ensure that the re-authenticated subject contains a
628      * principal name that is equal to the principal name associated with the authentication method. If this is the
629      * first time the subject has authenticated with this method than this check always passes.
630      * 
631      * @param idpSession user's IdP session
632      * @param authnMethod method used to authenticate the user
633      * @param subject subject that was authenticated
634      * 
635      * @throws AuthenticationException thrown if this check fails
636      */
637     protected void validateForcedReauthentication(Session idpSession, String authnMethod, Subject subject)
638             throws AuthenticationException {
639         if (idpSession != null) {
640             AuthenticationMethodInformation authnMethodInfo = idpSession.getAuthenticationMethods().get(authnMethod);
641             if (authnMethodInfo != null) {
642                 boolean princpalMatch = false;
643                 for (Principal princpal : subject.getPrincipals()) {
644                     if (authnMethodInfo.getAuthenticationPrincipal().equals(princpal)) {
645                         princpalMatch = true;
646                         break;
647                     }
648                 }
649
650                 if (!princpalMatch) {
651                     throw new ForceAuthenticationException(
652                             "Authenticated principal does not match previously authenticated principal");
653                 }
654             }
655         }
656     }
657
658     /**
659      * Updates the user's Shibboleth session with authentication information. If no session exists a new one will be
660      * created.
661      * 
662      * @param loginContext current login context
663      * @param authenticationSubject subject created from the authentication method
664      * @param authenticationMethod the method used to authenticate the subject
665      * @param httpRequest current HTTP request
666      * @param httpResponse current HTTP response
667      */
668     protected void updateUserSession(LoginContext loginContext, Subject authenticationSubject,
669             String authenticationMethod, HttpServletRequest httpRequest, HttpServletResponse httpResponse) {
670         Principal authenticationPrincipal = authenticationSubject.getPrincipals().iterator().next();
671         LOG.debug("Updating session information for principal {}", authenticationPrincipal.getName());
672
673         Session idpSession = (Session) httpRequest.getAttribute(Session.HTTP_SESSION_BINDING_ATTRIBUTE);
674         if (idpSession == null) {
675             LOG.debug("Creating shibboleth session for principal {}", authenticationPrincipal.getName());
676             idpSession = (Session) sessionManager.createSession();
677             loginContext.setSessionID(idpSession.getSessionID());
678             addSessionCookie(httpRequest, httpResponse, idpSession);
679         }
680
681         // Merge the information in the current session subject with the information from the
682         // login handler subject
683         idpSession.setSubject(mergeSubjects(idpSession.getSubject(), authenticationSubject));
684
685         // Check if an existing authentication method was used (i.e. SSO occurred), if not record the new information
686         AuthenticationMethodInformation authnMethodInfo = idpSession.getAuthenticationMethods().get(
687                 authenticationMethod);
688         if (authnMethodInfo == null) {
689             LOG.debug("Recording authentication and service information in Shibboleth session for principal: {}",
690                     authenticationPrincipal.getName());
691             LoginHandler loginHandler = handlerManager.getLoginHandlers().get(loginContext.getAttemptedAuthnMethod());
692             authnMethodInfo = new AuthenticationMethodInformationImpl(idpSession.getSubject(), authenticationPrincipal,
693                     authenticationMethod, new DateTime(), loginHandler.getAuthenticationDuration());
694         }
695
696         loginContext.setAuthenticationMethodInformation(authnMethodInfo);
697         idpSession.getAuthenticationMethods().put(authnMethodInfo.getAuthenticationMethod(), authnMethodInfo);
698         sessionManager.indexSession(idpSession, authnMethodInfo.getAuthenticationPrincipal().getName());
699
700         ServiceInformation serviceInfo = new ServiceInformationImpl(loginContext.getRelyingPartyId(), new DateTime(),
701                 authnMethodInfo);
702         idpSession.getServicesInformation().put(serviceInfo.getEntityID(), serviceInfo);
703     }
704
705     /**
706      * Merges the two {@link Subject}s in to a new {@link Subject}. The new subjects contains all the {@link Principal}s
707      * from both subjects. If {@link #retainSubjectsPrivateCredentials} is true then the new subject will contain all
708      * the private credentials from both subjects, if not the new subject will not contain private credentials. If
709      * {@link #retainSubjectsPublicCredentials} is true then the new subject will contain all the public credentials
710      * from both subjects, if not the new subject will not contain public credentials.
711      * 
712      * @param subject1 first subject to merge, may be null
713      * @param subject2 second subject to merge, may be null
714      * 
715      * @return subject containing the merged information
716      */
717     protected Subject mergeSubjects(Subject subject1, Subject subject2) {
718         if (subject1 == null && subject2 == null) {
719             return new Subject();
720         }
721
722         if (subject1 == null) {
723             return subject2;
724         }
725
726         if (subject2 == null) {
727             return subject1;
728         }
729
730         Set<Principal> principals = new HashSet<Principal>(3);
731         principals.addAll(subject1.getPrincipals());
732         principals.addAll(subject2.getPrincipals());
733
734         Set<Object> publicCredentials = new HashSet<Object>(3);
735         if (retainSubjectsPublicCredentials) {
736             LOG.debug("Merging in subjects public credentials");
737             publicCredentials.addAll(subject1.getPublicCredentials());
738             publicCredentials.addAll(subject2.getPublicCredentials());
739         }
740
741         Set<Object> privateCredentials = new HashSet<Object>(3);
742         if (retainSubjectsPrivateCredentials) {
743             LOG.debug("Merging in subjects private credentials");
744             privateCredentials.addAll(subject1.getPrivateCredentials());
745             privateCredentials.addAll(subject2.getPrivateCredentials());
746         }
747
748         return new Subject(false, principals, publicCredentials, privateCredentials);
749     }
750
751     /**
752      * Adds an IdP session cookie to the outbound response.
753      * 
754      * @param httpRequest current request
755      * @param httpResponse current response
756      * @param userSession user's session
757      */
758     protected void addSessionCookie(HttpServletRequest httpRequest, HttpServletResponse httpResponse,
759             Session userSession) {
760         httpRequest.setAttribute(Session.HTTP_SESSION_BINDING_ATTRIBUTE, userSession);
761
762         byte[] remoteAddress = httpRequest.getRemoteAddr().getBytes();
763         byte[] sessionId = userSession.getSessionID().getBytes();
764
765         String signature = null;
766         try {
767             MessageDigest digester = MessageDigest.getInstance("SHA");
768             digester.update(userSession.getSessionSecret());
769             digester.update(remoteAddress);
770             digester.update(sessionId);
771             signature = Base64.encodeBytes(digester.digest());
772         } catch (GeneralSecurityException e) {
773             LOG.error("Unable to compute signature over session cookie material", e);
774         }
775
776         LOG.debug("Adding IdP session cookie to HTTP response");
777         StringBuilder cookieValue = new StringBuilder();
778         cookieValue.append(Base64.encodeBytes(remoteAddress, Base64.DONT_BREAK_LINES)).append("|");
779         cookieValue.append(Base64.encodeBytes(sessionId, Base64.DONT_BREAK_LINES)).append("|");
780         cookieValue.append(signature);
781
782         String cookieDomain = HttpServletHelper.getCookieDomain(context);
783
784         Cookie sessionCookie = new Cookie(IDP_SESSION_COOKIE_NAME, HTTPTransportUtils.urlEncode(cookieValue.toString()));
785         sessionCookie.setVersion(1);
786         if (cookieDomain != null) {
787             sessionCookie.setDomain(cookieDomain);
788         }
789         sessionCookie.setPath("".equals(httpRequest.getContextPath()) ? "/" : httpRequest.getContextPath());
790         sessionCookie.setSecure(httpRequest.isSecure());
791         httpResponse.addCookie(sessionCookie);
792     }
793 }