vendor/symfony/security-csrf/CsrfTokenManager.php line 27

Open in your IDE?
  1. <?php
  3. /*
  4.  * This file is part of the Symfony package.
  5.  *
  6.  * (c) Fabien Potencier <fabien@symfony.com>
  7.  *
  8.  * For the full copyright and license information, please view the LICENSE
  9.  * file that was distributed with this source code.
  10.  */
  12. namespace Symfony\Component\Security\Csrf;
  14. use Symfony\Component\HttpFoundation\RequestStack;
  15. use Symfony\Component\Security\Core\Exception\InvalidArgumentException;
  16. use Symfony\Component\Security\Csrf\TokenGenerator\TokenGeneratorInterface;
  17. use Symfony\Component\Security\Csrf\TokenGenerator\UriSafeTokenGenerator;
  18. use Symfony\Component\Security\Csrf\TokenStorage\NativeSessionTokenStorage;
  19. use Symfony\Component\Security\Csrf\TokenStorage\TokenStorageInterface;
  21. /**
  22.  * Default implementation of {@link CsrfTokenManagerInterface}.
  23.  *
  24.  * @author Bernhard Schussek <bschussek@gmail.com>
  25.  * @author Kévin Dunglas <dunglas@gmail.com>
  26.  */
  27. class CsrfTokenManager implements CsrfTokenManagerInterface
  28. {
  29.     private $generator;
  30.     private $storage;
  31.     private \Closure|string $namespace;
  33.     /**
  34.      * @param $namespace
  35.      *                   * null: generates a namespace using $_SERVER['HTTPS']
  36.      *                   * string: uses the given string
  37.      *                   * RequestStack: generates a namespace using the current main request
  38.      *                   * callable: uses the result of this callable (must return a string)
  39.      */
  40.     public function __construct(TokenGeneratorInterface $generator nullTokenStorageInterface $storage nullstring|RequestStack|callable $namespace null)
  41.     {
  42.         $this->generator $generator ?? new UriSafeTokenGenerator();
  43.         $this->storage $storage ?? new NativeSessionTokenStorage();
  45.         $superGlobalNamespaceGenerator = function () {
  46.             return !empty($_SERVER['HTTPS']) && 'off' !== strtolower($_SERVER['HTTPS']) ? 'https-' '';
  47.         };
  49.         if (null === $namespace) {
  50.             $this->namespace $superGlobalNamespaceGenerator;
  51.         } elseif ($namespace instanceof RequestStack) {
  52.             $this->namespace = function () use ($namespace$superGlobalNamespaceGenerator) {
  53.                 if ($request $namespace->getMainRequest()) {
  54.                     return $request->isSecure() ? 'https-' '';
  55.                 }
  57.                 return $superGlobalNamespaceGenerator();
  58.             };
  59.         } elseif ($namespace instanceof \Closure || \is_string($namespace)) {
  60.             $this->namespace $namespace;
  61.         } elseif (\is_callable($namespace)) {
  62.             $this->namespace \Closure::fromCallable($namespace);
  63.         } else {
  64.             throw new InvalidArgumentException(sprintf('$namespace must be a string, a callable returning a string, null or an instance of "RequestStack". "%s" given.'get_debug_type($namespace)));
  65.         }
  66.     }
  68.     /**
  69.      * {@inheritdoc}
  70.      */
  71.     public function getToken(string $tokenId): CsrfToken
  72.     {
  73.         $namespacedId $this->getNamespace().$tokenId;
  74.         if ($this->storage->hasToken($namespacedId)) {
  75.             $value $this->storage->getToken($namespacedId);
  76.         } else {
  77.             $value $this->generator->generateToken();
  79.             $this->storage->setToken($namespacedId$value);
  80.         }
  82.         return new CsrfToken($tokenId$this->randomize($value));
  83.     }
  85.     /**
  86.      * {@inheritdoc}
  87.      */
  88.     public function refreshToken(string $tokenId): CsrfToken
  89.     {
  90.         $namespacedId $this->getNamespace().$tokenId;
  91.         $value $this->generator->generateToken();
  93.         $this->storage->setToken($namespacedId$value);
  95.         return new CsrfToken($tokenId$this->randomize($value));
  96.     }
  98.     /**
  99.      * {@inheritdoc}
  100.      */
  101.     public function removeToken(string $tokenId): ?string
  102.     {
  103.         return $this->storage->removeToken($this->getNamespace().$tokenId);
  104.     }
  106.     /**
  107.      * {@inheritdoc}
  108.      */
  109.     public function isTokenValid(CsrfToken $token): bool
  110.     {
  111.         $namespacedId $this->getNamespace().$token->getId();
  112.         if (!$this->storage->hasToken($namespacedId)) {
  113.             return false;
  114.         }
  116.         return hash_equals($this->storage->getToken($namespacedId), $this->derandomize($token->getValue()));
  117.     }
  119.     private function getNamespace(): string
  120.     {
  121.         return \is_callable($ns $this->namespace) ? $ns() : $ns;
  122.     }
  124.     private function randomize(string $value): string
  125.     {
  126.         $key random_bytes(32);
  127.         $value $this->xor($value$key);
  129.         return sprintf('%s.%s.%s'substr(md5($key), 0+ (\ord($key[0]) % 32)), rtrim(strtr(base64_encode($key), '+/''-_'), '='), rtrim(strtr(base64_encode($value), '+/''-_'), '='));
  130.     }
  132.     private function derandomize(string $value): string
  133.     {
  134.         $parts explode('.'$value);
  135.         if (!== \count($parts)) {
  136.             return $value;
  137.         }
  138.         $key base64_decode(strtr($parts[1], '-_''+/'));
  139.         $value base64_decode(strtr($parts[2], '-_''+/'));
  141.         return $this->xor($value$key);
  142.     }
  144.     private function xor(string $valuestring $key): string
  145.     {
  146.         if (\strlen($value) > \strlen($key)) {
  147.             $key str_repeat($keyceil(\strlen($value) / \strlen($key)));
  148.         }
  150.         return $value $key;
  151.     }
  152. }